Hallo

Ich habe einen transparent squid.
Per iptables leite ich die Anfragen an den squid weiter:


# fuer http
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-ports 3128
#fuer https
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 443 -j REDIRECT --to-ports 3128


http funktioniert aber mit HTTPS bekomme ich folgende Fehlermeldung:

squid.log


1456994895.366 0 10.10.14.200 TCP_DENIED/400 1461 NONE NONE:// - NONE/- text/html


auf der console von einem client:


wget https://www.raiba-bobingen.de
--2016-03-03 09:15:27-- https://www.raiba-bobingen.de/
Auflösen des Hostnamen »www.raiba-bobingen.de (www.raiba-bobingen.de)«... 195.200.38.41
Verbindungsaufbau zu www.raiba-bobingen.de (www.raiba-bobingen.de)|195.200.38.41|:443... verbunden.
OpenSSL: error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol
Es ist nicht möglich, eine SSL-Verbindung herzustellen.



squid.conf


http_port 192.168.17.253:3128 transparent


wenn ich beim Client einen Proxy angebe, dann kann funktioniert HTTPS.


export https_proxy=http://192.168.17.253:3128




wget https://www.raiba-bobingen.de
--2016-03-03 09:17:33-- https://www.raiba-bobingen.de/
Verbindungsaufbau zu 10.10.14.253:3128... verbunden.
...
Proxy-Anforderung gesendet, warte auf Antwort... 200 OK



Kann mir jemand sagen, was noch fehlt?

Vielen Dank

Kann mir jemand sagen, was noch fehlt?
HTTPS kann man nicht über einen transparent Proxy leiten. Auch wenn der Proxy im Browser eingetragen ist, leitet er die HTTPS-Anfrage lediglich weiter.

Es gibt aber auch intercepting Proxys, die die TLS-Verbindung selbst aufbauen und dann den Datenstrom mitlesen können. Ssinnvoll ist das z.B. zum AntiViren-Scan, ist aber auch ein Thema der Privatsphäre.

Gruß
L00NIX