не открывается Сбербанк бизнес онлайн через прокси squid

[igogo56136]

Здравствуйте, есть подсети Vlan (10.0.101.0/24 шлюз 10.0.101.1, 10.0.102.0/24 шлюз 10.0.102.1 )с выходом в интернет через прокси squid3. Прокси в отдельной подсети 192.168.0.0/24 192.168.0.119 . проблема в том что прокси не открывает сайт https://sbi.sberbank.ru:9443/ic . ПРобовал настраивать Nat командой sudo iptables -A FORWARD -s 192.168.0.0/24 ! -d 192.168.0.0/24 -p tcp -m multiport --dports 25,110,465,995,9443 -j ACCEPT  не помогло. Подскажите что надо сделать чтобы открывал. Сайт в обход прокси открывается. На прокси сервере две сетевые eth0 192.168.0.119 шлюз 192.168.0.1 и eth1(смотрит на шлюз выхода в интернет) 192.168.1.205 шлюз 192.168.1.1 . Прокси непрозрачный, у всех прописан в мозилле

[fisher74]

Код: [Выделить]

ip a; ip r
sudo iptables-saveВыхлоп в студию. Паранойю можете успокоить, заменив первые три октета "белых" адресов всякими иксами, игреками и зетами.

[igogo56136]

Код: [Выделить]

ip a; ip r
sudo iptables-saveВыхлоп в студию. Паранойю можете успокоить, заменив первые три октета "белых" адресов всякими иксами, игреками и зетами.

ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1464 qdisc pfifo_fast state UP qlen 1000
    link/ether 00:1d:92:69:fe:70 brd ff:ff:ff:ff:ff:ff
    inet 192.168.0.119/24 brd 192.168.0.255 scope global eth0
       valid_lft forever preferred_lft forever
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1464 qdisc pfifo_fast state UNKNOWN qlen 1000
    link/ether 00:e0:53:0b:10:dd brd ff:ff:ff:ff:ff:ff
    inet 192.168.1.205/24 brd 192.168.1.255 scope global eth1
       valid_lft forever preferred_lft forever

@proxy:~$ ip r
default via 192.168.1.1 dev eth1  metric 100
10.0.101.0/24 via 192.168.0.1 dev eth0
10.0.102.0/24 via 192.168.0.1 dev eth0
10.0.103.0/24 via 192.168.0.1 dev eth0
10.0.104.0/24 via 192.168.0.1 dev eth0
10.0.105.0/24 via 192.168.0.1 dev eth0
10.0.106.0/24 via 192.168.0.1 dev eth0
10.0.107.0/24 via 192.168.0.1 dev eth0
10.0.108.0/24 via 192.168.0.1 dev eth0
10.0.109.0/24 via 192.168.0.1 dev eth0
192.168.0.0/24 dev eth0  proto kernel  scope link  src 192.168.0.119
192.168.1.0/24 dev eth1  proto kernel  scope link  src 192.168.1.205


@proxy:~$ sudo iptables-save
[sudo] password for user:
# Generated by iptables-save v1.4.12 on Thu Jul 30 08:16:29 2015
*filter
:INPUT ACCEPT [23117550:17479274650]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [24535973:18384199979]
-A FORWARD -s 192.168.0.0/24 ! -d 192.168.0.0/24 -p tcp -m multiport --dports 25,110,465,993 -j ACCEPT
COMMIT
# Completed on Thu Jul 30 08:16:29 2015
# Generated by iptables-save v1.4.12 on Thu Jul 30 08:16:29 2015
*nat
:PREROUTING ACCEPT [310786:15922177]
:INPUT ACCEPT [301919:15456583]
:OUTPUT ACCEPT [242778:14581278]
:POSTROUTING ACCEPT [14:840]
-A POSTROUTING -o eth1 -j SNAT --to-source 192.168.1.205
COMMIT
# Completed on Thu Jul 30 08:16:29 2015

[fisher74]

Прокси непрозрачный, у всех прописан в мозилле

Добавьте адрес сбербанка в исключения прокси и гоните его через NAT (он у Вас уже настроен)

[igogo56136]

Прокси непрозрачный, у всех прописан в мозилле

Добавьте адрес сбербанка в исключения прокси и гоните его через NAT (он у Вас уже настроен)

я вводил sudo iptables -A FORWARD -s 192.168.0.0/24 ! -d 192.168.0.0/24 -p tcp -m multiport --dports 9443 -j ACCEPT   так? я пробовал, может не сохраняет в исключениях?
@proxy:~$ sudo iptables-save
# Generated by iptables-save v1.4.12 on Thu Jul 30 09:23:31 2015
*filter
:INPUT ACCEPT [3612:2076441]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [4266:2600950]
-A FORWARD -s 192.168.0.0/24 ! -d 192.168.0.0/24 -p tcp -m multiport --dports 25,110,465,993 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 ! -d 192.168.0.0/24 -p tcp -m multiport --dports 9443 -j ACCEPT
COMMIT
# Completed on Thu Jul 30 09:23:31 2015
# Generated by iptables-save v1.4.12 on Thu Jul 30 09:23:31 2015
*nat
:PREROUTING ACCEPT [336125:17177503]
:INPUT ACCEPT [327028:16699797]
:OUTPUT ACCEPT [264803:15903154]
:POSTROUTING ACCEPT [15:900]
-A POSTROUTING -o eth1 -j SNAT --to-source 192.168.1.205
COMMIT
# Completed on Thu Jul 30 09:23:31 2015

[fisher74]

я Вам слова не сказал про изменения в iptables.
Исключения прокси настраивается в браузере. Я специально заквотил выше высказывание про настройки браузера, но Вы, как и многие, игнорировали намёк

[igogo56136]

я Вам слова не сказал про изменения в iptables.
Исключения прокси настраивается в браузере. Я специально заквотил выше высказывание про настройки браузера, но Вы, как и многие, игнорировали намёк

Сделал исключение, но чтобы оно работало нужен прямой доступ в интернет? работает только с прямым доступом. а как сделать с непрямым через прокси?)Неужели придется делать переадресацию со шлюзов подсетей порта 9443 на прокси? Как бы этого избежать...

[fisher74]

так как это https, то возможно из-за этого и не работает через прокси. Прозрачный точно работать не будет.
Кстати, а где конфиг кальмара?

Код: [Выделить]

grep -v "^#\|^$" /etc/squid*/squid.conf

[igogo56136]

так как это https, то возможно из-за этого и не работает через прокси. Прозрачный точно работать не будет.
Кстати, а где конфиг кальмара?

Код: [Выделить]

grep -v "^#\|^$" /etc/squid*/squid.conf

(Нажмите, чтобы показать/скрыть)

auth_param basic realm squid
auth_param basic credentialsttl 2 hour
auth_param basic program /etc/webmin/squid/squid-auth.pl /etc/webmin/squid/users
auth_param basic children 15
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32
acl baraban src 192.168.0.69
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 110
acl Safe_ports port 25
acl Safe_ports port 465
acl Safe_ports port 995
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
acl DFN proxy_auth REQUIRED
acl block dstdomain "/etc/squid3/block.acl"
acl InetAll proxy_auth u019 u123 u056 u002 u003 u035 u052 u062 u068 u069 u130 u0                                                                                                  20
acl BadUsers proxy_auth u001 u004 u005 u006 u007 u008 u009 u010 u011 u012 u013 u                                                                                                  014 u015 u016 u017 u018 u021 u022 u023 u024 u025 u026 u027 u028 u029 u030 u031 u                                                                                                  032 u033 u034 u036 u037 u038 u039 u040 u041 u042 u043 u044 u045 u046 u047 u048 u                                                                                                  049 u050 u051 u053 u054 u055 u057 u058 u059 u060 u061 u063 u064 u065 u066 u067 u                                                                                                  070 u071 u072 u073 u074 u075 u076 u077 u078 u079 u080 u081 u082 u083 u084 u085 u                                                                                                  086 u087 u088 u089 u090 u091 u092 u093 u094 u095 u096 u097 u098 u099 u100 u101 u                                                                                                  102 u103 u104 u105 u106 u107 u108 u109 u110 u111 u112 u113 u114 u115 u116 u117 u                                                                                                  118 u119 u120 u121 u122 u124 u125 u126 u127 u128 u129 u131 u132 u133 u134 u135 u                                                                                                  136 u137 u138 u139 u140 u141 u142 u143 u144 u145 u146 u147 u148 u149 u150 u151 u                                                                                                  152 u153 u154 u155 u156 u157 u158 u159 u160 u161 u162 u163 u164 u165 u166 u167 u                                                                                                  168 u169 u170 u171 u172 u173 u174 u175 u176 u177 u178 u179 u180 u181 u182 u183 u                                                                                                  184 u185 u186 u187 u188 u189 u190 u191 u192 u193 u194 u195 u196 u197 u198 u199 u                                                                                                  200
acl BlockSite dstdomain 2ip.ru alawar.com alawar.ru cameleo.ru cmle.ru freeproxy                                                                                                  .ru hide-me.be hideme.ru mycdn.me odnoklassniki.ru ok.ru pingway.ru rrdb.org unl                                                                                                  umen.ru vk.com vk.me vkadre.ru vkontakte.ru wbprx.com webmasta.org westfeed.ru w                                                                                                  ww.2ip.ru www.alawar.com www.alawar.ru www.anonim.pro www.anonimizing.com www.ca                                                                                                  meleo.ru www.cmle.ru www.hideme.ru www.mycdn.me www.odnoklassniki.ru www.ok.ru w                                                                                                  ww.pingway.ru www.vk.com www.vk.me www.vkadre.ru www.wbprx.com www.webmasta.org                                                                                                   www.westfeed.ru xanproxy.be zapretanet.ru zen3.info zend24.info zendproxy.com zn                                                                                                  6.ru nblk.ru www.nblk.ru noblock.ru www.noblock.ru
http_access allow InetAll
http_access allow BadUsers !BlockSite
http_access deny all
http_access allow manager localhost
http_access deny manager
http_access allow DFN
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_port 3128
cache_mem 1024 MB
cache_dir ufs /var/spool/squid3 2048 16 256
cache_swap_low 90
cache_swap_high 95
emulate_httpd_log on
log_fqdn on
coredump_dir /var/spool/squid3
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern (Release|Packages(.gz)*)$      0       20%     2880
refresh_pattern .               0       20%     4320
cache_mgr скрыто
dns_nameservers 77.88.8.7 77.88.8.3
ipcache_size 1024
ipcache_low 90
ipcache_high 95
fqdncache_size 1024

[fisher74]

Пробуйте добавить строку

Код: [Выделить]

acl SSL_ports port 9443
P.S. не забудьте reconfigure сделать

[igogo56136]

Пробуйте добавить строку

Код: [Выделить]

acl SSL_ports port 9443
P.S. не забудьте reconfigure сделать

Не помогло, таймаут

[fisher74]

Покажите что у Вас получилось (только в спойлер заверните).
Я специально проверил на одном из подопечных кальмаров. После добавления вышеуказанной строчки сайт стал открываться

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

~$ grep -v "^#\|^$" /etc/squid*/squid.conf | grep port
acl SSL_ports port 443
acl SSL_ports port 9443         # testSberbank
acl Safe_ports port 80-82               # http
acl Safe_ports port 83          # http for belov
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl ICQ port 5190 443           # AOL
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_port 3128 transparent
icp_port 3130


[igogo56136]

Покажите что у Вас получилось (только в спойлер заверните).
Я специально проверил на одном из подопечных кальмаров. После добавления вышеуказанной строчки сайт стал открываться

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

~$ grep -v "^#\|^$" /etc/squid*/squid.conf | grep port
acl SSL_ports port 443
acl SSL_ports port 9443         # testSberbank
acl Safe_ports port 80-82               # http
acl Safe_ports port 83          # http for belov
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl ICQ port 5190 443           # AOL
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_port 3128 transparent
icp_port 3130


(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

grep -v "^#\|^$" /etc/squid*/squid.conf | grep port
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 110
acl Safe_ports port 25
acl Safe_ports port 465
acl Safe_ports port 995
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 9443 #sberbank ssl
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_port 3128


[fisher74]

Как говориться: найдите пять различий

Код: [Выделить]

acl SSL_ports port 9443

Код: [Выделить]

acl Safe_ports port 9443 #sberbank ssl