LINUX.ORG.RU
ФорумAdmin

Выручайте! Наболевший вопрос с портом 443


0

0 

Привет всем!
Выручайте! Не могу понять где грабли закопаны. Проблема с выходом на сайты HTTPS.
Мне не нужен Transparent Proxy! 
Все внутрення сетка 192.168.1.0 выходит наружу через шлюз D-Link, 
имеющий адрес 195.230.x.y (который еще служит как DHCP-серевер для внутренней сетки),
сервер под RH7.1 со Squid Version 2.3.STABLE4 имеющий адрес 195.230.x.x.

ПРОБЛЕМА: в данной конфигурации мои юзеры могут выходить на сайты HTTPS, 
НО и "внешние" тоже могут пользоваться моим прокси!

НУЖДА: где я ошибся и что мне нужно исправить/добавить чтобы ТОЛЬКО мои юзеры
могли пользоваться прокси, и при этом, могли выходить на сайты HTTPS?

Всем спасибо за скорую помощь )))
С благодарностью,
Владимир
--------------
Имеется:
1. Cisco 1720
IOS (tm) C1700 Software (C1700-Y-M), Version 12.1(3), RELEASE SOFTWARE (fc1)
( WCCP - не поддерживается ! )

interface FastEthernet0
 ip policy route-map Squid

access-list 100 deny   tcp host 195.230.x.x any eq www
access-list 100 deny   tcp host 195.230.x.x any eq 443
access-list 100 permit tcp host 195.230.x.y any eq www
access-list 100 permit tcp host 195.230.x.y any eq 443

route-map Squid permit 10
 match ip address 100
 set ip next-hop 195.230.x.x
--------------
2. IPTABLES
/sbin/iptables -t nat -A PREROUTING -i eth0 -p tcp -s 195.230.x.y --dport 80 -j REDIRECT --to-port 3128
/sbin/iptables -t nat -A PREROUTING -i eth0 -p tcp -s 195.230.x.y --dport 443 -j REDIRECT --to-port 3128
--------------
3. SQUID
acl all src 0.0.0.0/0.0.0.0
acl local src 195.230.x.y/255.255.255.255
acl manager proto cache_objet
acl localhost src 127.0.0.1/255.255.255.255

acl SSL_ports port 443 563
acl Safe_ports port 80 21 443 563 70 210 1025-65535
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT
acl adminsnmp snmp_community squidmrtg

#Default configuration:
http_access allow manager berger
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
http_access allow localhost
http_access deny manager !localhost
http_access allow local
http_access deny all
icp_access allow all
miss_access allow all
cache_effective_user squid
cache_effective_group squid

always_direct allow local-servers
acl FTP proto FTP
always_direct allow FTP
anonymous
Apache проблема
Cyrus IMAP & quota

Не знаю но может по пробывать закрыть доступ всем кроме 192.168.1.x

SKULL

anonymous
()

А в чем трабл? Закрой порт 3128 на внешнет интерфейсе. и (или) скажи сквиду слушать только внутренний интерфейс и (или) внимательно посмотри свои acl и исправь.

anonymous
()

имхо вот ето :
acl local src 195.230.x.y/255.255.255.255
надо поменять на вот ето:
acl local src 195.168.1.0/255.255.255.0


кроме того чтоб не лезли:
iptables -I INPUT -s !192.168.1.0 -p tcp --dport 3128 -j DROP

>Мне не нужен Transparent Proxy!
тогда зачем все редайректы?
просто настрой в клиенте прокси:порт...

gfdsa
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Apache проблема
Admin
Cyrus IMAP & quota