Задать вопрос

Как пробросить порт через squid?

Суть такова:
Интернет ходит через некий прокси на котором есть авторизация, все идет через порт 8080.
Нужно избавится от этой авторизации путем установки шлюза. Т.е. конечные пользователи не должны ничего настраивать вообще - воткнул провод и ты в интернете.
Есть комп с двумя сетевухами и Дебианом на борту - он будет шлюзом.
Настроен HDCP в локальной сети, внешний интернет получается по статику.
Поставлен и настроен squid по данной инструкции:
Инструкция на Хабре

авторизация сделана так:
cache_peer DOMAINIP parent 8080 0 no-query no-digest default login=LOGIN:PASSWORD
never_direct allow all


Все работает как надо, осталась только проблема с https. Проброс как в инструкции мне не подходит, ибо внеший прокси не дает ssl через 443 а дает через 8080.
Как решить данную проблему?

Конфиг squid.conf целиком:
spoiler
dns_v4_first on

acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
acl my_network src 192.168.100.0/24

cache_peer DOMAINIP parent 8080 0 no-query no-digest default login=LOGIN:PASSWORD
never_direct allow all

acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

http_access allow my_network
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access deny all

http_port 3128 transparent

hierarchy_stoplist cgi-bin ?
coredump_dir /var/spool/squid3
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320

shutdown_lifetime 5.00 second
cache_dir ufs /var/cache/squid 2048 16 256
maximum_object_size 10024.00 bytes


PS.
Раньше все это делалось на винде при помощи Траффик Инспектора и как-то работало с грехом пополоам.
  • Вопрос задан
  • 6856 просмотров
Подписаться 4 Оценить 1 комментарий
Решения вопроса 1
@Shm13 Автор вопроса
Шаманю
Запилил непрозрачный прокси, сделал файл wpad.dat - закинул куда надо, вроде работает.
Ответ написан
Комментировать
Пригласить эксперта
Ответы на вопрос 1
Heizenberg
@Heizenberg
необходимо завернуть ssl порт на ваш прокси, типа того:
iptables -t nat -A PREROUTING -i $LAN -p tcp --dport 443 -j DNAT --to $IP:3128
iptables -t nat -A PREROUTING -i $WAN -p tcp --dport 443 -j REDIRECT --to-port 3128
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы