не пускает на https [РЕШЕНО]

[dormidont3]

С доступом происходит какая то беда и я не могу даже придумать в какую сторону смотреть.

Не пускает на почту в mail и  yandex пишет - соединение закрыто удалённым сервером. При чём не пускает 100% школьный сервак, потому что во первых при подключении не через него на почту заходит, во вторых если зайти на сервер при помощь ssh  и там воспользоваться links то зайти разрешает, то есть что то не пускает на внутреннем интерфейсе.

На сервере установлен
 прозрачный squid на порту 3128
контентфильтр dansguardian порт 8081
настроены не моного iptables
адреса раздаются dhcp

Что странно если в настройках браузера указать порт 8081, то зайти можно, если указано без прокси, то не пускает на почту, а на остальные сайты без проблем...

Пробовал скидывать iptables на стандартные настройки, не помогло.

Чистил кэш сквида, не помогло...

Даже не догадываюсь в каких логах и что смотреть

[asy]

Даже не догадываюсь в каких логах и что смотреть

НАчинать с tcpdump на входящем и исходящем интерфейсах (это когда без всяких прокси). Смотреть, что пришло, что ушло, будет понятно, где пропало.

[dormidont3]

А как это сделать?

И новая информация. Если в настройках браузера указать без прокси, то на почту не пускает, пишет время ожидания истекло, а если вручную указать адрес и порт, хоть 3128 хоть 8081 то на почту заходит без проблем.

[dormidont3]

О, ещё и на google.com такая же проблема...

[asy]

А как это сделать ?

Как-то так:
http://linuxshare.ru/docs/net/tcpdump.html
http://computerlib.narod.ru/html/tcpipdump.htm
В Гугле полно ссылок про tcpdump и tshark.

Если в настройках браузера указать без прокси, то на почту не пускает

Кстати, web-браузер не может ходить на почтовые сервера, да и squid не является прокси для imap, pop и smtp. Web-браузер может ходить только на веб-интерфейсы к почтовым серверам, то есть, на те же самые web-сайты. Стоит этот нюанс понимать и учитывать.

[berkut_174]

Аутентификация на почте проходит через защищенный протокол https, на прозрачный прокси его не завернуть, либо IPTABLES -t filter -A FORWARD -p tcp --dport 443 -j ACCEPT (http://www.opennet.ru/openforum/vsluhforumID12/5890.html#8), либо вручную в браузере прописывайте https прокси или в acc.

PS. Кстати, ни только на почте...
PPS. Если найдёте как завернуть на прозрачный прокси https, без подмены сертификата, то сообщите... мне бы пригодилось :)

[dormidont3]

Аутентификация на почте проходит через защищенный протокол https, на прозрачный прокси его не завернуть, либо IPTABLES -t filter -A FORWARD -p tcp --dport 443 -j ACCEPT (http://www.opennet.ru/openforum/vsluhforumID12/5890.html#8), либо вручную в браузере прописывайте https прокси или в acc.

PS. Кстати, ни только на почте...
PPS. Если найдёте как завернуть на прозрачный прокси https, без подмены сертификата, то сообщите... мне бы пригодилось :)

Возможно, но как google.com связано с https?

[berkut_174]

Возможно, но как google.com связано с https?

На google.ru заходите, здесь прозрачный прокси работает (http), а вот если вы захотите войти в почту, то ваши данные (логин и пароль) передаются по https.

[dormidont3]

О блин, оказывается гугл по https протоколу гоняет, как то раньше и не думал об этом... В общем он меня на https не пускает

[berkut_174]

оказывается гугл по https протоколу гоняет

Сервисы гугла - да, а сам поиск по http.

[yaleks]

Сервисы гугла - да, а сам поиск по http.

поиск тоже можно по https.

[dormidont3]

Народ, не знаю что произошло и на сколько это правильно, но после войны с iptables у меня через прозрачный прокси, без настройк в браузере стало возможным попасть на сайты через протокол https

вот настройки
filter/INPUT

Код: [Выделить]

-P ACCEPT
-f -j DROP
-m state --state ESTABLISHED,RELATED -j ACCEPT
-j ULOG --ulog-nlgroup 1 --ulog-cprange 48 --ulog-qthreshold 50 --ulog-prefix "icount"
-i eth1 -p tcp --dport 8080 -j ACCEPT
-i eth1 -p tcp --dport 20 -j ACCEPT
-i eth1 -p udp --dport 20 -j ACCEPT
-i eth1 -p tcp --dport 21 -j ACCEPT
-i eth1 -p udp --dport 21 -j ACCEPT
-i eth1 -p tcp --dport 110 -j ACCEPT
-i eth1 -p udp --dport 110 -j ACCEPT
-i eth1 -p tcp --dport 995 -j ACCEPT
-i eth1 -p udp --dport 995 -j ACCEPT
-i eth1 -p tcp --dport 25 -j ACCEPT
-i eth1 -p udp --dport 25 -j ACCEPT
-i eth1 -p tcp --dport 465 -j ACCEPT
-i eth1 -p tcp --dport 587 -j ACCEPT
-i eth1 -p udp --dport 587 -j ACCEPT
-i eth1 -p tcp --dport 80 -j ACCEPT
-i eth1 -p udp --dport 80 -j ACCEPT
-i eth1 -p tcp --dport 443 -j ACCEPT
-i eth1 -p udp --dport 443 -j ACCEPT
-i eth1 -p icmp -j ACCEPT
-i eth1 -p tcp --dport 25 -j ACCEPT
-i eth1 -j DROP
-i ppp1 -p tcp --dport 8080 -j ACCEPT
-i ppp1 -p tcp --dport 20 -j ACCEPT
-i ppp1 -p udp --dport 20 -j ACCEPT
-i ppp1 -p tcp --dport 21 -j ACCEPT
-i ppp1 -p udp --dport 21 -j ACCEPT
-i ppp1 -p tcp --dport 110 -j ACCEPT
-i ppp1 -p udp --dport 110 -j ACCEPT
-i ppp1 -p tcp --dport 995 -j ACCEPT
-i ppp1 -p udp --dport 995 -j ACCEPT
-i ppp1 -p tcp --dport 25 -j ACCEPT
-i ppp1 -p udp --dport 25 -j ACCEPT
-i ppp1 -p tcp --dport 465 -j ACCEPT
-i ppp1 -p tcp --dport 587 -j ACCEPT
-i ppp1 -p udp --dport 587 -j ACCEPT
-i ppp1 -p tcp --dport 80 -j ACCEPT
-i ppp1 -p udp --dport 80 -j ACCEPT
-i ppp1 -p tcp --dport 443 -j ACCEPT
-i ppp1 -p udp --dport 443 -j ACCEPT
-i ppp1 -p icmp -j ACCEPT
-i ppp1 -p tcp --dport 25 -j ACCEPT
-i ppp1 -j DROP
filtr/OUTPUT

Код: [Выделить]

-P ACCEPT
-f -j DROP
-m state --state ESTABLISHED,RELATED -j ACCEPT
-j ULOG --ulog-nlgroup 1 --ulog-cprange 48 --ulog-qthreshold 50 --ulog-prefix "ocount"
filter/FORWARD

Код: [Выделить]

-P ACCEPT
-f -j DROP
-m state --state ESTABLISHED,RELATED -j ACCEPT
-j ULOG --ulog-nlgroup 1 --ulog-cprange 48 --ulog-qthreshold 50 --ulog-prefix "fcount"
-i eth1 -d 10.2.70.0/24 -j ACCEPT
-m physdev --physdev-is-bridged -j ACCEPT
-i eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
-i eth1 -j DROP
-m physdev --physdev-is-bridged -j ACCEPT
-i ppp1 -m state --state ESTABLISHED,RELATED -j ACCEPT
-i ppp1 -j DROP
nat/POSTROUTING

Код: [Выделить]

-o eth1 -j MASQUERADE
-o ppp1 -j MASQUERADE
nat/PREROUTING

Код: [Выделить]

-i eth0 -p tcp --dport 21 -j REDIRECT --to-port 3128
-i eth2 -p tcp --dport 21 -j REDIRECT --to-port 3128
-i eth0 -p tcp --dport 70 -j REDIRECT --to-port 3128
-i eth2 -p tcp --dport 70 -j REDIRECT --to-port 3128
-i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
-i eth2 -p tcp --dport 80 -j REDIRECT --to-port 3128
-i eth0 -p tcp --dport 777 -j REDIRECT --to-port 3128
-i eth2 -p tcp --dport 777 -j REDIRECT --to-port 3128
nat/OUTPUT Пусто


Все настройки стандартные, настроены из вебморды.

[berkut_174]

у меня через прозрачный прокси, без настройк в браузере стало возможным попасть на сайты через протокол https

Не через прозрачный прокси, а минуя его, т.е. NAT'ом (смотрите внимательней что у вас в iptables, там как раз это есть).

Не работает https через прозрачную проксю!  :)

[dormidont3]

у меня через прозрачный прокси, без настройк в браузере стало возможным попасть на сайты через протокол https

Не через прозрачный прокси, а минуя его, т.е. NAT'ом (смотрите внимательней что у вас в iptables, там как раз это есть).

Не работает https через прозрачную проксю!  :)

А подскажите, какая конкретно сточка за это отвеяает и в какой таблице? а то я не доконца ещё со всем этим разобрался...

[ksa]

Обычно (но не всегда), https слушает на 443 порту, соответственно строчки, содержащие правила для этого порта, и отвечают. Только я бы udp убрал, это явно лишнее.