Squid проблема с HTTPS

[rud.bodya]

Всем привет! Появилась странная проблема, может кто-то сталкивался...
Есть прозрачный прокси сервер squid на ubuntu 10.04. Через сквид пропускаю только http.
Однако последнее время стала возникать проблема с доступом на большинство https-сайтов (не заходит ни куда, кроме yandex и google).
Данной строкой я заворачиваю пакеты на сквид:

Код: [Выделить]

-A PREROUTING -s 192.168.1.0/24 -p tcp --dport 80 -j REDIRECT --to-ports 3128Как видно, https-пакеты вообще не трогаю, однако, когда данное правило активно, то зайти не получается... Если правило убрать (теперь веб-трафик должен проходить мимо сквида просто через шлюз?), то (!!!) не заходит вообще никуда, даже на http  (КАК ТАК ТО???). Маскарадинг включен, форвардинг тоже, остановка сквида не помогает.
Если правило отключить и сделать ребут, то заходит куда-угодно (мимо сквида). Если правило оставить включенным и сделать ребут, то первое время тоже все нормально, а потом снова случается данный баг...
Конфиг сквида:

(Нажмите, чтобы показать/скрыть)

acl exclude urlpath_regex [-i] \.gif* \.png* \.jpg* \.css* \.swf* \.js*
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32
acl SSL_ports port 443
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localnet
http_access allow localhost
http_access deny all
icp_access deny all
htcp_access deny all
http_port 192.168.1.1:3128 transparent
tcp_outgoing_address 1.1.1.1
hierarchy_stoplist cgi-bin ?
access_log /var/log/squid3/access.log squid
log_access deny exclude
strip_query_terms off
refresh_pattern ^ftp:      1440   20%   10080
refresh_pattern ^gopher:   1440   0%   1440
refresh_pattern (cgi-bin|\?)   0   0%   0
refresh_pattern .      0   20%   4320
icp_port 3130
icap_enable on
icap_preview_enable on
icap_preview_size 128
icap_send_client_ip on
 icap_service service_avi_req reqmod_precache 0 icap://localhost:1344/srv_clamav
        icap_service service_avi respmod_precache 1 icap://localhost:1344/srv_clamav
 icap_class class_antivirus service_avi
icap_class class_antivirus service_avi_req
 icap_access class_antivirus allow all
dns_nameservers 8.8.8.8 8.8.4.4
forwarded_for off
coredump_dir /var/spool/squid3

При попытке зайти на https, в логах сквида ничего нет (и правильно, я ведь не трогаю https).
Со шлюза на https заходит без проблем.
Пожалуйста, помогите, кто-нибудь!:)

[xeon_greg]

Маскарадинг включен, форвардинг тоже,

гд это видно?  где результат

Код: [Выделить]

sudo iptables-save -c
sudo sysctl net.ipv4.ip_forward


[rud.bodya]

iptables-save (вывод обрезан)

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.4 on Wed Jul 11 16:44:36 2012
*mangle
:PREROUTING ACCEPT [5442770:1981291974]
:INPUT ACCEPT [2142519:1247852920]
:FORWARD ACCEPT [3231631:726687819]
:OUTPUT ACCEPT [2426850:1038151185]
:POSTROUTING ACCEPT [5658481:1764839004]
-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:65495 -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Wed Jul 11 16:44:36 2012
# Generated by iptables-save v1.4.4 on Wed Jul 11 16:44:36 2012
*nat
:PREROUTING ACCEPT [111622:11581773]
:POSTROUTING ACCEPT [5573:390168]
:OUTPUT ACCEPT [16539:1110146]
-A PREROUTING -s 192.168.1.0/24 -p tcp --dport 80 -j REDIRECT --to-ports 3128
-A POSTROUTING -o ppp0 -j MASQUERADE
COMMIT
# Completed on Wed Jul 11 16:44:36 2012
# Generated by iptables-save v1.4.4 on Wed Jul 11 16:44:36 2012
*filter
:INPUT DROP [12371:1633646]
:FORWARD ACCEPT [3231631:726687819]
:OUTPUT ACCEPT [2426818:1038148817]
..........................................................................
-A INPUT -s 192.168.1.0/24 -i eth2 -p tcp -m tcp --dport 3128 -j ACCEPT
COMMIT
# Completed on Wed Jul 11 16:44:36 2012

$ sudo sysctl net.ipv4.ip_forward
net.ipv4.ip_forward = 1
Пользователь решил продолжить мысль 11 Июля 2012, 17:49:22:Обратил внимание на эту строчку:

Код: [Выделить]

-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:65495 -j TCPMSS --clamp-mss-to-pmtu
COMMITОна сгенерировалась автоматически при подключении по pppoe. Может в ней дело?
Пользователь решил продолжить мысль 11 Июля 2012, 17:53:57:Хотя опять же...перегрузил шлюз, и все пока работает нормально при таких же настройках...

[xeon_greg]

iptables-save (вывод обрезан)

ну ты конечно молодец. информации не даешь и хочешь чтобы тебе помогали. может тогда тебе к гадалке сходить? цепочки INPUT и FORWARD вообще не показал, может ты там огород нагородил который дропает половину трафика
Пользователь решил продолжить мысль 11 Июля 2012, 17:59:56:

Обратил внимание на эту строчку:
Код: [Выделить]

-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:65495 -j TCPMSS --clamp-mss-to-pmtu
COMMIT

Она сгенерировалась автоматически при подключении по pppoe. Может в ней дело?

если она создалась автоматом, значит она ж для чего-то нужна. не находишь? и нет не в ней.

[rud.bodya]

:FORWARD ACCEPT [3231631:726687819]

Вот и вся цепочка forward:)

А input...
Все закрыто, открыто только:

-A INPUT -s 192.168.1.0/24 -i eth0 -p tcp -m tcp --dport 3128 -j ACCEPT
-A INPUT -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT

Ну и пинги еще открыты.

Пользователь решил продолжить мысль 11 Июля 2012, 18:04:05:

если она создалась автоматом, значит она ж для чего-то нужна. не находишь? и нет не в ней.

Я то это понимаю, но ты видишь какая ситуация непонятная (я бы даже сказал бредовая)...поэтому я пытаюсь ухватиться хоть за что-то...

[xeon_greg]

а потом снова случается данный баг...

потом это через сколько? что за этот период происходит? что меняется?

Со шлюза на https заходит без проблем.

это тем более подтверждает что дело именно форварде.

Вот и вся цепочка forward:)

ну а чего сразу целиком было не показать? и с ключем -с я же не просто так его просил указать. с текущим кол-вом информации  , все что могу посоветовать, смотреть логи, пинги, tracert до и во время глюка. смотреть что указано в браузерах клиентов, там точно прокси нигде не указан..
Пользователь решил продолжить мысль 11 Июля 2012, 18:24:37:ifconfig также не помешал бы

[koshev]

Проксирование https, осуществляется подменой сертификатов. Рано с форвардом разбираться.
Пример.
И еще сквид должен быть собран с поддержкой ssl.