squid transparent olarak calisiyor. http trafigi iptables tarafindan dansguardian 8080 portuna yonlendiriyor. dansguardian squid 3128 port ile haberlesiyor. lokal kullanicilar 80 portuna web isteginde bulundugu zaman bu istekleri iptables 8080 portuna (dansguardian) yonlendiriyor. bu yapi ile http trafiginde bir sorun yok, fakat https i gecirmek istedigimde https calismiyor. yani https blokmak istemiyorum zaten, aksine proxy üzerinden calissin istiyorum ki domain bazli olarak dansguardian da filtreleme yapabileyim.
lokal bilgisayarlarin firefox veya internet explorer ayarlarinda manuel olarak proxy ayarlari yapilip, dogrudan proxy ip ve port bilgisi girilerek hem http hem de https trafigi calisiyor. bunda sorun yok. fakat iptables ile https satiri devreye sokuldugunda maalesef calismiyor iptables satırı aşağıdaki gibidir. (bunda bir sorun yok, calisiyor) iptables -t nat -A PREROUTING -p tcp -m tcp -s 192.168.16.0/24 --dport 80 -j DNAT --to-destination 192.168.16.5:8080 https trafigi icin de : iptables -t nat -A PREROUTING -p tcp -m tcp -s 192.168.16.0/24 --dport 443 -j DNAT --to-destination 192.168.16.5:8080 yaptigimda https calismiyor. -- 13.05.2011 21:58, A.Gurcan Ozturk yazmış: > Squid httpsten anlamaz. Yapmaniz gereken sadece http trafigini squid > portuna yonlendirmek. https trafigini engellemek istiyorsaniz firewall > ile cozun. > > Sent from my iPhone > > On May 13, 2011, at 6:51 PM, Mehmet Ali GÖKBAŞ<[email protected]> wrote: > >> proxy üzerinden https baglantilari gerceklestiren yok mu? >> >> -- >> >> 13.05.2011 11:34, Mehmet Ali GÖKBAŞ yazmış: >>> proxy üzerinden https sitelere giriş yapilamiyor. bütün problem bu. >>> normal http protokolune erisimde bir sıkıntı yok. hersey normal >>> calisiyor. fakat https ile sitelere baglanilamiyor proxy üzerinden. >>> >>> -- >>> >>> 13.05.2011 00:41, A.Gurcan Ozturk yazmış: >>>> SSL baglantilari intercept mi etmeye calisiyorsunuz? >>>> >>>> Sorun su ki, karsidaki sunucu 443. portuna baglandiginizda sizden SSL >>>> handshake beklerken siz plain text gonderiyorsunuz gibi geldi bana, >>>> dogal olarak karsidaki sunucu "mevlana degilim ben" diyor. >>>> >>>> Onur Yerlikaya'nin onerdigi dokumanda da ayni bilgi var aslinda. >>>> >>>> "This generally indicates that the remote peer system has a flawed >>>> implementation of SSL, and is violating the SSL specification." >>>> >>>> Eger SSL intercept edecekseniz, squid icin bir self-signed certificate >>>> olusturun, squid.conf'ta bunu belirtin, tum clientlariniza da >>>> self-signed sertifikayi import edin. Ama akilli kullanicilar farkeder >>>> yine unutmayin ;) >>>> >>>> >>>> 2011/5/12 Mehmet Ali GÖKBAŞ<[email protected]>: >>>>> merhaba, >>>>> >>>>> iptables+dansguardian+squid kullaniyorum. ssl baglantilara erisim >>>>> saglayamiyorum. ssl_error_rx_record_too_long diye bir mesaj veriyor. >>>>> iptables ile port 80,443,1863 portlarini dansguardian 8080 gonderiyorum. >>>>> dansguardian squid 3128 haberlesiyor. >>>>> >>>>> squid: >>>>> >>>>> http_port 3128 transparent >>>>> >>>>> acl all src 0.0.0.0/0.0.0.0 >>>>> acl manager proto cache_object >>>>> acl localhost src 127.0.0.1/255.255.255.255 >>>>> acl to_localhost dst 127.0.0.0/8 >>>>> acl SSL_ports port 443 >>>>> acl Safe_ports port 80 # http >>>>> acl Safe_ports port 21 # ftp >>>>> acl Safe_ports port 443 # https >>>>> acl Safe_ports port 70 # gopher >>>>> acl Safe_ports port 210 # wais >>>>> acl Safe_ports port 1025-65535 # unregistered ports >>>>> acl Safe_ports port 280 # http-mgmt >>>>> acl Safe_ports port 488 # gss-http >>>>> acl Safe_ports port 591 # filemaker >>>>> acl Safe_ports port 777 # multiling http >>>>> acl CONNECT method CONNECT >>>>> >>>>> http_access allow manager localhost >>>>> http_access deny manager >>>>> http_access deny !Safe_ports >>>>> http_access deny CONNECT !SSL_ports >>>>> >>>>> acl LAN src 192.168.16.0/255.255.255.0 >>>>> >>>>> acl dansguardian srcdomain .merkez.domain.com >>>>> follow_x_forwarded_for allow localhost >>>>> follow_x_forwarded_for allow dansguardian >>>>> >>>>> http_access allow localhost >>>>> http_access allow LAN >>>>> http_access deny all >>>>> >>>>> >>>>> _______________________________________________ >>>>> Linux E-Posta Listesi >>>>> [email protected] >>>>> Liste kurallari: http://liste.linux.org.tr/kurallar.php >>>>> >>>>> Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen >>>>> e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 >>>>> dakika içinde üyeliğinizi sonlandırabilirsiniz. >>>>> https://liste.linux.org.tr/mailman/listinfo/linux >>>>> >>>> _______________________________________________ >>>> Linux E-Posta Listesi >>>> [email protected] >>>> Liste kurallari: http://liste.linux.org.tr/kurallar.php >>>> >>>> Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen >>>> e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 >>>> dakika içinde üyeliğinizi sonlandırabilirsiniz. >>>> https://liste.linux.org.tr/mailman/listinfo/linux >>> _______________________________________________ >>> Linux E-Posta Listesi >>> [email protected] >>> Liste kurallari: http://liste.linux.org.tr/kurallar.php >>> >>> Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen >>> e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 >>> dakika içinde üyeliğinizi sonlandırabilirsiniz. >>> https://liste.linux.org.tr/mailman/listinfo/linux >> _______________________________________________ >> Linux E-Posta Listesi >> [email protected] >> Liste kurallari: http://liste.linux.org.tr/kurallar.php >> >> Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen >> e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 >> dakika içinde üyeliğinizi sonlandırabilirsiniz. >> https://liste.linux.org.tr/mailman/listinfo/linux > _______________________________________________ > Linux E-Posta Listesi > [email protected] > Liste kurallari: http://liste.linux.org.tr/kurallar.php > > Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen > e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 > dakika içinde üyeliğinizi sonlandırabilirsiniz. > https://liste.linux.org.tr/mailman/listinfo/linux _______________________________________________ Linux E-Posta Listesi [email protected] Liste kurallari: http://liste.linux.org.tr/kurallar.php Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux
