ALT5.0.1+прозрачный SQUID+HTTPS/SSL/FTP не пускает без настроки браузера

[mc-sim]

Доброго времени!
Уважаемые форумчане! Кучу тем по сабжу перерыл, но вразумительного ответа так и не обнаружил.
В общем установил ALTLinux Shcool Server 5.0.1, включил прозрачный прокси, у пользователей перестал работать FTP, HTTPS, SSL, Jabber через SSL.
Если вручную пропишешь прокси в браузере, то заводиться... Но смысл прозрачного прокси в том, чтобы не настраивать кучу пользовательских браузеров.
Подскажите, как можно исправить проблему?
Может пустить мимио прокси данные протоколы?
НО все же желательно оставить контроль HTTPS сайтов...
Заранее спасибо.

[MisHel64]

В общем установил ALTLinux Shcool Server 5.0.1, включил прозрачный прокси, у пользователей перестал работать FTP, HTTPS, SSL, Jabber через SSL.
Если вручную пропишешь прокси в браузере, то заводиться...

Тут две проблемы разом.
Нужно перенаправлять порты для указанных вами служб на прокси сервер. Больше чем уверен, что кроме стандартного 80/tcp и возможно 8080/tcp порты на прокси вы не заворачиваете.
Очень внимательно покурить доки на тему FTP и SHTTP и прозрачный прокси.

Может пустить мимио прокси данные протоколы?

Если не заведется, то придется пустить мимо. Джабер, аська, фтп, почтовый агент у меня ходят мимо прокси.

Но смысл прозрачного прокси в том, чтобы не настраивать кучу пользовательских браузеров.

Вас не верно информировали.
Нормальному обозревателю можно минимум тремя способами рассказать, что в сети есть прокси, и его нужно использовать ничего не настраивая на клиенте.

[mc-sim]

Проблема отчасти решена.
При удалении в алтераторе в разделе:
Серверы - Прокси-сервер - Разрешенные протоколы...
Из списка удалить HTTPS, то он идет мимо прокси сервера. Соответственно - работает.
Недостаток: не учитывается сквидом, соответственно не контроллируется :(

Конечно странно, что при ручном прописывании, все хорошо заворачивается, в логах сквида:

1276699559.820  11001 10.0.0.20 TCP_MISS/200 3874 CONNECT secure.comodo.net:443 - DIRECT/91.199.212.132 -
1276699567.497  19452 10.0.0.20 TCP_MISS/200 1160 CONNECT forums.comodo.com:443 - DIRECT/91.199.212.149 -
1276699567.505  19465 10.0.0.20 TCP_MISS/200 2391 CONNECT forums.comodo.com:443 - DIRECT/91.199.212.149 -
1276699567.509  19468 10.0.0.20 TCP_MISS/200 3153 CONNECT forums.comodo.com:443 - DIRECT/91.199.212.149 -
1276699567.513  19470 10.0.0.20 TCP_MISS/200 29280 CONNECT forums.comodo.com:443 - DIRECT/91.199.212.149 -
1276699567.573  21141 10.0.0.20 TCP_MISS/200 26789 CONNECT forums.comodo.com:443 - DIRECT/91.199.212.149 -
1276699567.601  19558 10.0.0.20 TCP_MISS/200 3105 CONNECT forums.comodo.com:443 - DIRECT/91.199.212.149 -

а при прозрачном прокси - соединение отваливается, в логах сквида:

1276690201.398      0 10.0.0.20 NONE/400 1825 NONE error:unsupported-request-method - NONE/- text/html
1276690249.423      0 10.0.0.20 NONE/400 1818 NONE error:unsupported-request-method - NONE/- text/html
1276690249.539      0 10.0.0.20 NONE/400 1812 NONE error:unsupported-request-method - NONE/- text/html
1276690249.646      0 10.0.0.20 NONE/400 1812 NONE error:unsupported-request-method - NONE/- text/html
1276690249.751      0 10.0.0.20 NONE/400 1812 NONE error:unsupported-request-method - NONE/- text/html
1276690249.861      0 10.0.0.20 NONE/400 1812 NONE error:unsupported-request-method - NONE/- text/html
1276690249.972      0 10.0.0.20 NONE/400 1812 NONE error:unsupported-request-method - NONE/- text/html
1276690250.076      0 10.0.0.20 NONE/400 1812 NONE error:unsupported-request-method - NONE/- text/html
1276690303.045      0 10.0.0.20 NONE/400 1818 NONE error:unsupported-request-method - NONE/- text/html
1276690303.175      0 10.0.0.20 NONE/400 1818 NONE error:unsupported-request-method - NONE/- text/html
1276690303.280      0 10.0.0.20 NONE/400 1818 NONE error:unsupported-request-method - NONE/- text/html
1276690303.384      0 10.0.0.20 NONE/400 1818 NONE error:unsupported-request-method - NONE/- text/html
1276690303.490      0 10.0.0.20 NONE/400 1818 NONE error:unsupported-request-method - NONE/- text/html

в браузере:

SSL получило запись, длина которой превышает максимально допустимую.

(Код ошибки: ssl_error_rx_record_too_long)

Хотелось бы узнать решение данной проблемы у разработчиков ALTLinux shcool 5.0.1

[MisHel64]

Хотелось бы узнать решение данной проблемы у разработчиков ALTLinux shcool 5.0.1

Это не к ним, а к разработчикам сквида.
Копать начинать отсюда: http://ru.wikipedia.org/wiki/Squid

[mc-sim]

ну спасибо и на этом :)

[DmitryBratsk]

У меня решилось удалением HTTPS (C) и HTTPS из списка доступных сетей. Работает, при этом отдельно настраивать браузер не требуется.

[A.Serg]

а если через NAT
в PREROUTING пишем:

-i <локальный интерфейс>  -p tcp --dport 80 -j REDIRECT --to-port 3128 <- порт SQUID
-i <локальный интерфейс>  -p tcp --dport 443 -j REDIRECT --to-port 3128 <- порт SQUID
и т.д.

ребут...

если прокси прозрачный все будет работать и не надо настраивать каждую машину...

[mc-sim]

В общем, я пока решил таким образом костылем:

Код: [Выделить]

cat /etc/rc.d/rc.local
iptables -t nat -A POSTROUTING -p tcp --destination-port 443 -j MASQUERADE
iptables -t nat -A POSTROUTING -p tcp --destination-port 995 -j MASQUERADE
iptables -t nat -A POSTROUTING -p tcp --destination-port 465 -j MASQUERADE
iptables -t nat -A POSTROUTING -p tcp --destination-port 2042 -j MASQUERADE
iptables -t nat -A POSTROUTING -p tcp --destination-port 5222 -j MASQUERADE
iptables -t nat -A POSTROUTING -p tcp --destination-port 5223 -j MASQUERADE
chmod 755 /etc/rc.d/rc.local

[andrey-sw]

Времени прошло много но возможно кому поможет, вот гдето вычитал...

На 443-й порт соединение устанавливается сразу завёрнутое в SSL и полностью зашифрованное, там нет никаких текстовых заголовков -- соответственно, Squid не может распознать, к какому хосту обращается браузер.

В случае соединения через настроенный прокси браузер делает приблизительно такой запрос и прокси может определить к какому хосту соединяться:

CONNECT mail.google.com:443 HTTP/1.1
User-Agent: Mozilla/5.0
Proxy-Connection: keep-alive
Host: mail.google.com

<дальше идёт SSL>

проверьте при помощи tcpdump


хотя есть некоторые варианты ...
http://www.opennet.ru/openforum/vsluhforumID12/5890.html