проксирование https для пользователей без полного доступа в инет

[netraven]

На шлюзе интернета настроен прокси на squid 3.1.8
 Изначально в режиме прозрачного прокси, но теперь его адрес и порт указывается явно в настройках IE большинства  пользователей из-за необходимости жестко исключать внутренние подсетки.
 Пользователи ,компьютерам  которых разрешен доступ только по списку необходимых  сайтов не могут зайти на них по https,  а пользователи с более широким и неограниченным доступом - спокойно туда же заходят.
 Группы доступа настроены по  IP .
В логах для первой группы "...tcp_denied/403 connect ... адрес_сайта:443"
Фрагмент squid.conf

Код: [Выделить]

..... стандартные наборы безопасных и портов  и тд..
.......
acl CONNECT method CONNECT

acl deny_url url_regex "/etc/squid/access/deny_url.txt" адреса запрещенные компьютерам из группы native_access
acl allow_url url_regex "/etc/squid/access/allow_url.txt" адреса сайтов доступные всем компьютерам нашей сети

acl full_access src "/etc/squid/access/access_full.txt" адреса компьютеров с неограниченным доступом
acl native_access src "/etc/squid/access/access.txt"  адреса компьютеров с слегка ограниченным доступом

acl HTTP proto HTTP
acl FTP proto FTP.


http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

http_access allow localhost

http_access allow full_access  # проблем с https нет
http_access deny deny_url native_access
http_access deny !allow_url FTP
http_access allow native_access # проблем с https нет 
http_access allow allow_url all # по этому правилу предполагалось разрешить Http и Https  "безынтернетным"
http_access allow localhost

always_direct allow localhost
## allow connections from localhost (HAVP) #вышестоящий прокси с проверкой траффика антивирем, не участвуeт при CONNECT
always_direct allow CONNECT.
## always allow SSL connections direct without havp

То есть, стоит мне добавить ip компьютера в access.txt ,и всё начинает работать.
Как же правильно разрешить общедоступные адреса по HTTPS в таком случае? 

[KPbIC]

Ммм... Не совсем понял. Есть группа юзеров, которые могут зайти допустим на http://site.ru, а на https://site.ru уже не пускает?
Попробуй в списке правил создать новый acl:

Код: [Выделить]

acl good_url dst site.ru
acl unpriv_users src ip/32
http_access allow unpriv_users good_url
http_access deny unpriv_users allИ проверь, чтоб стояла галочка "использовать (твой) прокси сервер для всех протоколов".

[netraven]

Есть группа адресов сайтов  с именем allow_url, которые должны быть доступны всем компьютерам. Пользователей как таковых нет. Пропуск в инет  ведется по группам IP адресов или целым подсетям .
Http_access allow allow_url и разрешает проход на "хорошие" сайты с любого внутреннего  ip , даже не находящегося ни в каком ACL . Это удобно.
Вот только не получается тоже самое с доступом по HTTPS 
Метод CONNECT разрешен для всех по безопасным портам .  А проблема началась с того , что тот же www.translate.google.ru теперь перенаправляет всех на https://translate.google.ru/* , и пользователи с ограниченным доступом не могут открыть страницу.

[KPbIC]

Попробуй сначала перечислить все разрешающие правила, а после них - запрещающие.
В "allow_url.txt" сайты как перечислены? Тот же translate.google.ru?

[netraven]

Разрешающее правило для всех  уже поднимал повыше, никакого эффекта. В списке разрешенных URL занесено так  : .translate.google.ru.
Порядок правил рабочий , иначе бы не было и http доступа. И порт 443  разрешенный.
Правило для группы IP и правило для всех буквально рядом стоят. Не могу понять почему разрешение  группе компов отрабатывает для метода CONNECT , а разрешение выхода всем  на список внешних  URL -нет.  Вот так выглядит в логе  попытка выйти с машины "без интернета" на разрешенный всем адрес.

Код: [Выделить]

1399532959.300     72 192.168.0.29 TCP_MISS/302 795 GET http://www.translate.google.ru/ - DIRECT/173.194.71.94 text/html
1399532959.446     61 192.168.0.29 TCP_MISS/302 787 GET http://translate.google.ru/ - DIRECT/173.194.71.94 text/html
1399532959.448      0 192.168.0.29 TCP_DENIED/403 3767 CONNECT translate.google.ru:443 - NONE/- text/html

[KPbIC]

.translate.google.ru

Перед translate стоит точка?

[netraven]

Да. Иначе ничего ниже уровнем не пройдет. А отслеживать все изменения адресов сайта запаришься.

[KPbIC]

https://translate.google.ru/
намек ясен?

[netraven]

Если намек на то ,что надо в список разрешенных адресов добавить адрес с указанием протокола, то не сработало.

[KPbIC]

Если намек на то ,что надо в список разрешенных адресов добавить адрес с указанием протокола, то не сработало.

Перед translate.google.ru убрать точку.

[netraven]

Да, так действительно заработало.) Странно , что на других сайтах, где только http доступ, подобная  точка не влияет. Этому конфигу не один месяц и до этого никаких проблем с этими же сайтами.
На версии сквида  3.1.19 точки перед именем домена  уже не влияют так , кстати.