Форум русскоязычного сообщества Ubuntu


Получить помощь и пообщаться с другими пользователями Ubuntu можно
на irc канале #ubuntu-ru в сети Freenode
и в Jabber конференции ubuntu@conference.jabber.ru

Автор Тема: Squid проблема с HTTPS  (Прочитано 3164 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн rud.bodya

  • Автор темы
  • Новичок
  • *
  • Сообщений: 19
    • Просмотр профиля
Squid проблема с HTTPS
« : 11 Июль 2012, 16:57:19 »
Всем привет! Появилась странная проблема, может кто-то сталкивался...
Есть прозрачный прокси сервер squid на ubuntu 10.04. Через сквид пропускаю только http.
Однако последнее время стала возникать проблема с доступом на большинство https-сайтов (не заходит ни куда, кроме yandex и google).
Данной строкой я заворачиваю пакеты на сквид:
-A PREROUTING -s 192.168.1.0/24 -p tcp --dport 80 -j REDIRECT --to-ports 3128Как видно, https-пакеты вообще не трогаю, однако, когда данное правило активно, то зайти не получается... Если правило убрать (теперь веб-трафик должен проходить мимо сквида просто через шлюз?), то (!!!) не заходит вообще никуда, даже на http  (КАК ТАК ТО???). Маскарадинг включен, форвардинг тоже, остановка сквида не помогает.
Если правило отключить и сделать ребут, то заходит куда-угодно (мимо сквида). Если правило оставить включенным и сделать ребут, то первое время тоже все нормально, а потом снова случается данный баг...
Конфиг сквида:
(Нажмите, чтобы показать/скрыть)
При попытке зайти на https, в логах сквида ничего нет (и правильно, я ведь не трогаю https).
Со шлюза на https заходит без проблем.
Пожалуйста, помогите, кто-нибудь!:)

Оффлайн xeon_greg

  • Активист
  • *
  • Сообщений: 981
    • Просмотр профиля
Re: Squid проблема с HTTPS
« Ответ #1 : 11 Июль 2012, 17:38:50 »
Цитировать
Маскарадинг включен, форвардинг тоже,
гд это видно?  где результат sudo iptables-save -c
sudo sysctl net.ipv4.ip_forward

Оффлайн rud.bodya

  • Автор темы
  • Новичок
  • *
  • Сообщений: 19
    • Просмотр профиля
Re: Squid проблема с HTTPS
« Ответ #2 : 11 Июль 2012, 17:46:53 »
iptables-save (вывод обрезан)
(Нажмите, чтобы показать/скрыть)

$ sudo sysctl net.ipv4.ip_forward
net.ipv4.ip_forward = 1

Пользователь решил продолжить мысль 11 Июль 2012, 17:49:22:
Обратил внимание на эту строчку:
-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:65495 -j TCPMSS --clamp-mss-to-pmtu
COMMIT
Она сгенерировалась автоматически при подключении по pppoe. Может в ней дело?

Пользователь решил продолжить мысль 11 Июль 2012, 17:53:57:
Хотя опять же...перегрузил шлюз, и все пока работает нормально при таких же настройках...
« Последнее редактирование: 11 Июль 2012, 17:53:57 от rud.bodya »

Оффлайн xeon_greg

  • Активист
  • *
  • Сообщений: 981
    • Просмотр профиля
Re: Squid проблема с HTTPS
« Ответ #3 : 11 Июль 2012, 17:55:53 »
Цитировать
iptables-save (вывод обрезан)
ну ты конечно молодец. информации не даешь и хочешь чтобы тебе помогали. может тогда тебе к гадалке сходить? цепочки INPUT и FORWARD вообще не показал, может ты там огород нагородил который дропает половину трафика

Пользователь решил продолжить мысль 11 Июль 2012, 17:59:56:
Цитировать
Обратил внимание на эту строчку:
Код: [Выделить]

-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:65495 -j TCPMSS --clamp-mss-to-pmtu
COMMIT

Она сгенерировалась автоматически при подключении по pppoe. Может в ней дело?
если она создалась автоматом, значит она ж для чего-то нужна. не находишь? и нет не в ней.
« Последнее редактирование: 11 Июль 2012, 17:59:56 от xeon_greg »

Оффлайн rud.bodya

  • Автор темы
  • Новичок
  • *
  • Сообщений: 19
    • Просмотр профиля
Re: Squid проблема с HTTPS
« Ответ #4 : 11 Июль 2012, 18:01:32 »
Цитировать
:FORWARD ACCEPT [3231631:726687819]
Вот и вся цепочка forward:)

А input...
Все закрыто, открыто только:
Цитировать
-A INPUT -s 192.168.1.0/24 -i eth0 -p tcp -m tcp --dport 3128 -j ACCEPT
-A INPUT -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT
Ну и пинги еще открыты.


Пользователь решил продолжить мысль 11 Июль 2012, 18:04:05:
Цитировать
если она создалась автоматом, значит она ж для чего-то нужна. не находишь? и нет не в ней.
Я то это понимаю, но ты видишь какая ситуация непонятная (я бы даже сказал бредовая)...поэтому я пытаюсь ухватиться хоть за что-то...
« Последнее редактирование: 11 Июль 2012, 18:04:05 от rud.bodya »

Оффлайн xeon_greg

  • Активист
  • *
  • Сообщений: 981
    • Просмотр профиля
Re: Squid проблема с HTTPS
« Ответ #5 : 11 Июль 2012, 18:20:22 »
Цитировать
а потом снова случается данный баг...
потом это через сколько? что за этот период происходит? что меняется?
Цитировать
Со шлюза на https заходит без проблем.

это тем более подтверждает что дело именно форварде.
Цитировать
Вот и вся цепочка forward:)
ну а чего сразу целиком было не показать? и с ключем я же не просто так его просил указать. с текущим кол-вом информации  , все что могу посоветовать, смотреть логи, пинги, tracert до и во время глюка. смотреть что указано в браузерах клиентов, там точно прокси нигде не указан..

Пользователь решил продолжить мысль 11 Июль 2012, 18:24:37:
ifconfig также не помешал бы
« Последнее редактирование: 11 Июль 2012, 18:24:37 от xeon_greg »

Оффлайн koshev

  • Старожил
  • *
  • Сообщений: 1707
  • חתול המדען
    • Просмотр профиля
Re: Squid проблема с HTTPS
« Ответ #6 : 11 Июль 2012, 20:42:15 »
Проксирование https, осуществляется подменой сертификатов. Рано с форвардом разбираться.
Пример.
И еще сквид должен быть собран с поддержкой ssl.
Debian GNU\Linux 7.11; ICH7; r8169; Linux 4.14.32-atomd525mv-imq-ja1 (i686)
Ubuntu GNU\Linux 18.04; MCP61; forcedeth; 4.15.0-20-generic (x86_64)

 

Страница сгенерирована за 0.107 секунд. Запросов: 24.