FreeBSD. Squid, прозрачный прокси. Почему работает только HTTPS?

Question

[luxter]

Установил Squid на FreeBSd 10.1, хочу сделать прозрачный прокси. Сервер является шлюзом.

В squid.conf:

http_port 3128 trasparent

acl localnet src 10.0.0.0/24
http_access allow localnet

В правила фаервола добавил:

add fwd 127.0.0.1, 3128 tcp from any to any 80 via em1

После рестарта фаервола и реконфигурации squid открывает сайты только по https, хотя если пингануть через консоль, пинг идёт на все сайты. Почему так? Я же не вводил никаких запретов ещё

Answer 1

[athacker]

А с чего вы решили, что у вас HTTPS вообще через squid проходит? В файрволе у вас заворот только обращений на 80-ый порт, а не 443, по которому работает HTTPS. Получается, что 80-ый порт у вас (теоретически) заворачивается на squid, а 443-ый -- проходит мимо, и берёт интернет откуда-то ещё :-)

Ну и кроме того, tcp from ANY to any 80 -- это косяк вооот такого размера. Правильнее писать:

add fwd 127.0.0.1, 3128 tcp from 10.0.0.0/24 to any 80 in via em1 keep-state

Вот это будет другой разговор. Предполагается, что подсеть вашей локалки -- 10.0.0.0/24, и интерфейс, на котором поднят адрес из этой подсети -- em1

Но это предположения исходя из неполных данных. А вообще, покажите результат ifconfig и полные конфиги ipfw и squid.

Comments

[Rad1us]

А если записать так:
add fwd 127.0.0.1, 3128 tcp from any to any 80, 443 via em1
то правильно я понимаю, что сайты с https не будут работать?

[luxter]

Спасибо, что откликнулись. Вообще, делаю всё по книге Корниенко, собственно, конфиги такие же, как в книге, кроме интерфейсов , ибо на виртуалке фря.
ifconfig: https://pp.vk.me/c627925/v627925683/46a9/ajuQZnE6_...
squid: https://pp.vk.me/c627925/v627925683/46b8/SHL8ruTbT...
ipfw (с Вашим предложенным вариантом только) : https://pp.vk.me/c627925/v627925683/46b1/XvS09eioA...

[Rad1us]

The Lost: Я тоже по этой книге делаю. Получилось сделать непрозрачнй прокси. Все работает. Как только пытаюсь сделать его прозрачным, он перестает работать. Разбираюсь...

[luxter]

Rad1us: Аналогично, а хочу сделать именно прозрачный. Придется искать другие источники информации.

[Rad1us]

The Lost: я задал вопрос - Squid на FreeBSD. Почему не настраивается прозрачность?
Следи, возможно тоже найдешь ответ)

[athacker]

Rad1us: HTTPS невозможно проксировать прозрачно. Потому что это получается атака типа man-in-the-middle. Точнее, проксировать возможно (google for "squid ssl bump"), но это грязный хак, и клиентам такое точно не понравится. Кроме того, при открытии любого HTTPS-сайта при использовании SSL bump браузер будет ругаться на кривой сертификат.

[athacker]

The Lost: полного конфига сквида я так и не увидел. Это во-первых.

Во-вторых, книга несколько устарела :-) natd уже давно не используется, так как уже есть встроенный в ядро NAT (по-моему, с FreeBSD 7.0 уже появился). Привыкайте пользоваться родной документацией -- man ipfw, там даже примеры организации NAT есть. Но это лирика.

Отключите пока NAT, и разберитесь с прозрачным прокси. Пакеты на него вообще приходят? Что пишет Squid в логах?

Answer 2

[Александр]

И никто не говорит про версию сквида, а это важно. Синтаксис для мажорных версий различается. Все везде пишут устаревшее transparent, свойственное для 2х-версий, вместо intercept, которе используется в последних.
"http_port 127.0.0.1:3128 intercept" попробуйте написать.
Логи так же, видимо, не изучаются.