PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Squid und HTTPS



richy19
09.04.03, 12:28
Hallo Leute, ich habe ein kleines Problem.

Ich habe einen Squid Proxy 2.4STABLE6 installiert (Debian Woody) als transparenten Proxy.

Meine Iptables für transparent proxy:

iptables -t nat -A PREROUTING -i eth0 –s 192.168.1.0/24 -p tcp --dport 80 -j REDIRECT --to-port 8080

Naja und dann halt noch eine regel für DNS anfragen vom client, aber das ist ja alles ok.

Wenn ich jetzt mit meinem Client surfen möchte funzt alles wunderbar, ohne einen Proxy eingetragen zu haben (ist ja transparen). Die obige regel habe ich dann auch nochmal für https also --dport 443 erstellt, aber das funzt dann nicht mehr.

KOMISCHERWEISE: wenn ich im "internet exploder" nur einen proxy für secure also https eintrage, was ja der gleiche Squid Proxy ist, funzt es.

Warum?

Bitte Idee und Lösungen


Richy

MrIch
09.04.03, 12:36
transparent proxy und https funktioniert eigentlich grundsätzlich nicht, das ist ja gerade das Sicherheitsfeature von https, dass man nur zu dem richtigen Server kommt und nicht über irgendwelche abgehörte Umwege.

Wenn squid eine https Verbindung macht, baut er eine Art Tunnel auf und loggt innerhalb der https Verbindung auch nichts. Die Methoe heiß CONNECT

richy19
09.04.03, 12:45
Naja, das klingt einleuchten mit dem HTTPS und der Abhörsicherheit, allerdings wenn ich den Proxy im Browser für https eintrage funzt es ja, nur nicht mit dem redirect.

Also denke ich mal das der Proxy das ja irgendwie macht, auch wenn er das tunnelt

MrIch
09.04.03, 14:22
schon richtig, es ist aber ein Unterschied ob ein Browser nen GET oder nen CONNECT über den Proxy macht...

richy19
09.04.03, 15:07
Das habe ich soweit dann auch verstanden, aber es löst mein eigentliches Problem noch nicht so ganz.

Also: Ich kann wenn ich im "Internet Exploder" einen secure Proxy eintrage auf https seiten zugreifen, dieser secure proxy den ich angebe ist aber der gleich Proxy den ich auch für http nehme mit gleichem port und es funktioniert!

Mache ich jetzt aber mit iptables ein redirect von port 443 auf Port 8080 meines Proxys bekomme ich keine verbindung!
Die gleiche portumleitung in bezug auf http funktioniert allerdings wunderbar,
ich wollte ja auch einen transparenten Proxy haben.

Es fehlen mir also noch https und FTP

Wie löse ich das Problem?


Richy

MrIch
09.04.03, 16:07
gar nicht?

Also https wird zu 99% nicht lösbar sein.
Bei ftp bin ich mir nicht so ganz sicher, aber bei ftp wird es auch nicht so einfach gehen, da FTP-Verbindungen ja etwas anderes sind als einfach http-get oder post-anforderungen.

richy19
09.04.03, 16:29
Es muss lösbar sein, denn ich verstehe einfach nicht warum wenn ich meinen Proxy im internet explorer als secure proxy eintrage alles funktioniert und wenn ich auf dem router/firewall ein port redirect von 443 auf 8080 mache dann geht es nicht.

das macht für mich keinen Sinn,

vor allen dingen steht die https verbindung immer mit CONNECT im access.log des proxys also geht doch https über den proxy. es kommt mir ja nicht auf den cache an, sondern einfach dass ich das nicht immer als proxyeinstellung eintragen muss.