Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
846 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  Squid - connexion HTTPS impossible

 



 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Squid - connexion HTTPS impossible

n°898268
madsurfer
Boulet's eradicator
Posté le 27-03-2007 à 09:36:09  profilanswer
 

:hello:
 
J'ai un serveur squid qui interdit toute connexion vers les sites en HTTPS.
Pourtant j'ai bien une ACL qui autorise ce protocole.
 

Code :
  1. acl Safe_ports port 80
  2. acl SSL_ports port 443 563
  3. acl purge method PURGE
  4. acl CONNECT method CONNECT
  5. # Only allow cachemgr access from localhost
  6. http_access allow manager localhost
  7. http_access deny manager
  8. http_access allow purge localhost
  9. http_access deny purge
  10. # Deny requests to unknown ports
  11. http_access deny !Safe_ports
  12. # Deny CONNECT to other than SSL ports
  13. http_access deny CONNECT !SSL_ports


 

Code :
  1. 1174979551.483      0 10.10.100.120 TCP_DENIED/403 1450 CONNECT www.google.com:443 - NONE/- text/html
  2. 1174979671.500      0 10.10.100.120 TCP_DENIED/403 1450 CONNECT www.google.com:443 - NONE/- text/html
  3. 1174979791.510      0 10.10.100.120 TCP_DENIED/403 1450 CONNECT www.google.com:443 - NONE/- text/html
  4. 1174979911.528      0 10.10.100.120 TCP_DENIED/403 1450 CONNECT www.google.com:443 - NONE/- text/html
  5. 1174980031.547      0 10.10.100.120 TCP_DENIED/403 1450 CONNECT www.google.com:443 - NONE/- text/html
  6. 1174980151.571      0 10.10.100.120 TCP_DENIED/403 1450 CONNECT www.google.com:443 - NONE/- text/html
  7. 1174980271.575      1 10.10.100.120 TCP_DENIED/403 1450 CONNECT www.google.com:443 - NONE/- text/html
  8. 1174980391.581      0 10.10.100.120 TCP_DENIED/403 1450 CONNECT www.google.com:443 - NONE/- text/html
  9. 1174980511.589      0 10.10.100.120 TCP_DENIED/403 1450 CONNECT www.google.com:443 - NONE/- text/html

mood
Publicité
Posté le 27-03-2007 à 09:36:09  profilanswer
 

n°898269
toniotonio
Posté le 27-03-2007 à 09:44:32  profilanswer
 

question simple mais bon on sait jamais:
tu as bien des allow plus loin dans ta conf ?  
 

n°898275
madsurfer
Boulet's eradicator
Posté le 27-03-2007 à 10:22:45  profilanswer
 

:hello:  
 
J'ai défini plusieurs ACL pour les réseaux : net1, net2...
J'ai défini également défini une ACL pour l'authentification NTLM
 
Si l'adresse réseau et l'authentification NTLM fonctionne, le flux est accepté.
 

Code :
  1. http_access allow net1 NTLMUsers
  2. http_access allow net2 NTLMUsers
  3. http_access allow net3 NTLMUsers
  4. http_access allow paris NTLMUsers
  5. http_access allow lyon NTLMUsers
  6. http_access allow tou NTLMUsers
  7. http_access allow secureclient NTLMUsers


 
D'autre ACL ont été défini au dessus de bloquer MSN, certaines extensions...
 
Par contre je n'ai pas défini d'ACL suplémentaire pour SSL_port.
Pour etre tranquille j'ai mis à la fin des ACL ci dessus, un http_access allow SSL_ports


Message édité par madsurfer le 27-03-2007 à 10:23:09
n°898277
toniotonio
Posté le 27-03-2007 à 10:29:55  profilanswer
 

a priori tu n'as pas besoin d'un http_access allow SSL_ports
 
je te conseillerai de simplifier tes acl pour debugger
 
 
essaie egalement de te connecter a un site qui gere le ssl totalement (pas google)

n°898287
fracolo
Posté le 27-03-2007 à 11:08:10  profilanswer
 

Citation :


   1.      acl Safe_ports port 80
   2.      acl SSL_ports port 443 563
   3.      acl purge method PURGE
   4.      acl CONNECT method CONNECT
   5.        
   6.      # Only allow cachemgr access from localhost
   7.      http_access allow manager localhost
   8.      http_access deny manager
   9.      http_access allow purge localhost
  10.      http_access deny purge
  11.      # Deny requests to unknown ports
  12.      http_access deny !Safe_ports
  13.      # Deny CONNECT to other than SSL ports
  14.      http_access deny CONNECT !SSL_ports


 Bonjour,
 
Si la définition de l'ACL Safe_ports se réduit à la ligne 1., il me semble normal que Squid refuse toutes les connexions HTTPS.
A la ligne 12., il est spécifié que toutes les connexions sur d'autres ports que ceux définis dans SAfe_ports sont refusés.
Lors d'une tentative de connexion sur un port 443, Squid applique donc cette règle ET NE CHERCHE PAS plus loin si une autre règle autoriserait cette connexion.
 
Edit: Il serait donc nécessaire d'ajouter le port 443 dans l'ACL Safe_ports


Message édité par fracolo le 27-03-2007 à 11:09:38
n°898650
madsurfer
Boulet's eradicator
Posté le 28-03-2007 à 13:44:42  profilanswer
 

:hello:  
 
Merci pour ces infos, il s'agissait d'une ACL qui était mal positionné et qui bloquait les flux en HTTPS.
 
 :jap:


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  Squid - connexion HTTPS impossible

 

Sujets relatifs
Questions sur Squid et les ACLConnexion à un gestionnaire X-Windows
Problème SQUIDImpossible de lancer X a cause du clavier ??
squid guard interdire des expression mais pas sur certain sitesSQUID Sarko... [Résolu]
Installation impossible à cause du SCSISquid pas très performant
[Ubuntu server] Partager une connexion PPPOETrojan System.exe - Impossible à détecter et à éradiquer
Plus de sujets relatifs à : Squid - connexion HTTPS impossible


Copyright © 1997-2018 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR