iptables SNAT kurali yazin ve 443. portu da yonlendirin, ben bu sekilde cozmustum.
iptables -t nat -A POSTROUTING -p tcp --dport 443 -o eth0 -j SNAT --to 192.168.16.5 2011/5/18 Mehmet Ali GÖKBAŞ <[email protected]>: > squid transparent olarak calisiyor. http trafigi iptables tarafindan > dansguardian 8080 portuna yonlendiriyor. dansguardian squid 3128 port > ile haberlesiyor. lokal kullanicilar 80 portuna web isteginde bulundugu > zaman bu istekleri iptables 8080 portuna (dansguardian) yonlendiriyor. > bu yapi ile http trafiginde bir sorun yok, fakat https i gecirmek > istedigimde https calismiyor. yani https blokmak istemiyorum zaten, > aksine proxy üzerinden calissin istiyorum ki domain bazli olarak > dansguardian da filtreleme yapabileyim. > > lokal bilgisayarlarin firefox veya internet explorer ayarlarinda manuel > olarak proxy ayarlari yapilip, dogrudan proxy ip ve port bilgisi > girilerek hem http hem de https trafigi calisiyor. bunda sorun yok. > fakat iptables ile https satiri devreye sokuldugunda maalesef calismiyor > > iptables satırı aşağıdaki gibidir. (bunda bir sorun yok, calisiyor) > iptables -t nat -A PREROUTING -p tcp -m tcp -s 192.168.16.0/24 > --dport 80 -j DNAT --to-destination 192.168.16.5:8080 > > https trafigi icin de : > iptables -t nat -A PREROUTING -p tcp -m tcp -s 192.168.16.0/24 > --dport 443 -j DNAT --to-destination 192.168.16.5:8080 > yaptigimda https calismiyor. > > > -- > > > 13.05.2011 21:58, A.Gurcan Ozturk yazmış: >> Squid httpsten anlamaz. Yapmaniz gereken sadece http trafigini squid >> portuna yonlendirmek. https trafigini engellemek istiyorsaniz firewall >> ile cozun. >> >> Sent from my iPhone >> >> On May 13, 2011, at 6:51 PM, Mehmet Ali GÖKBAŞ<[email protected]> wrote: >> >>> proxy üzerinden https baglantilari gerceklestiren yok mu? >>> >>> -- >>> >>> 13.05.2011 11:34, Mehmet Ali GÖKBAŞ yazmış: >>>> proxy üzerinden https sitelere giriş yapilamiyor. bütün problem bu. >>>> normal http protokolune erisimde bir sıkıntı yok. hersey normal >>>> calisiyor. fakat https ile sitelere baglanilamiyor proxy üzerinden. >>>> >>>> -- >>>> >>>> 13.05.2011 00:41, A.Gurcan Ozturk yazmış: >>>>> SSL baglantilari intercept mi etmeye calisiyorsunuz? >>>>> >>>>> Sorun su ki, karsidaki sunucu 443. portuna baglandiginizda sizden SSL >>>>> handshake beklerken siz plain text gonderiyorsunuz gibi geldi bana, >>>>> dogal olarak karsidaki sunucu "mevlana degilim ben" diyor. >>>>> >>>>> Onur Yerlikaya'nin onerdigi dokumanda da ayni bilgi var aslinda. >>>>> >>>>> "This generally indicates that the remote peer system has a flawed >>>>> implementation of SSL, and is violating the SSL specification." >>>>> >>>>> Eger SSL intercept edecekseniz, squid icin bir self-signed certificate >>>>> olusturun, squid.conf'ta bunu belirtin, tum clientlariniza da >>>>> self-signed sertifikayi import edin. Ama akilli kullanicilar farkeder >>>>> yine unutmayin ;) >>>>> >>>>> >>>>> 2011/5/12 Mehmet Ali GÖKBAŞ<[email protected]>: >>>>>> merhaba, >>>>>> >>>>>> iptables+dansguardian+squid kullaniyorum. ssl baglantilara erisim >>>>>> saglayamiyorum. ssl_error_rx_record_too_long diye bir mesaj veriyor. >>>>>> iptables ile port 80,443,1863 portlarini dansguardian 8080 gonderiyorum. >>>>>> dansguardian squid 3128 haberlesiyor. >>>>>> >>>>>> squid: >>>>>> >>>>>> http_port 3128 transparent >>>>>> >>>>>> acl all src 0.0.0.0/0.0.0.0 >>>>>> acl manager proto cache_object >>>>>> acl localhost src 127.0.0.1/255.255.255.255 >>>>>> acl to_localhost dst 127.0.0.0/8 >>>>>> acl SSL_ports port 443 >>>>>> acl Safe_ports port 80 # http >>>>>> acl Safe_ports port 21 # ftp >>>>>> acl Safe_ports port 443 # https >>>>>> acl Safe_ports port 70 # gopher >>>>>> acl Safe_ports port 210 # wais >>>>>> acl Safe_ports port 1025-65535 # unregistered ports >>>>>> acl Safe_ports port 280 # http-mgmt >>>>>> acl Safe_ports port 488 # gss-http >>>>>> acl Safe_ports port 591 # filemaker >>>>>> acl Safe_ports port 777 # multiling http >>>>>> acl CONNECT method CONNECT >>>>>> >>>>>> http_access allow manager localhost >>>>>> http_access deny manager >>>>>> http_access deny !Safe_ports >>>>>> http_access deny CONNECT !SSL_ports >>>>>> >>>>>> acl LAN src 192.168.16.0/255.255.255.0 >>>>>> >>>>>> acl dansguardian srcdomain .merkez.domain.com >>>>>> follow_x_forwarded_for allow localhost >>>>>> follow_x_forwarded_for allow dansguardian >>>>>> >>>>>> http_access allow localhost >>>>>> http_access allow LAN >>>>>> http_access deny all >>>>>> >>>>>> >>>>>> _______________________________________________ >>>>>> Linux E-Posta Listesi >>>>>> [email protected] >>>>>> Liste kurallari: http://liste.linux.org.tr/kurallar.php >>>>>> >>>>>> Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden >>>>>> gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini >>>>>> kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. >>>>>> https://liste.linux.org.tr/mailman/listinfo/linux >>>>>> >>>>> _______________________________________________ >>>>> Linux E-Posta Listesi >>>>> [email protected] >>>>> Liste kurallari: http://liste.linux.org.tr/kurallar.php >>>>> >>>>> Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen >>>>> e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 >>>>> dakika içinde üyeliğinizi sonlandırabilirsiniz. >>>>> https://liste.linux.org.tr/mailman/listinfo/linux >>>> _______________________________________________ >>>> Linux E-Posta Listesi >>>> [email protected] >>>> Liste kurallari: http://liste.linux.org.tr/kurallar.php >>>> >>>> Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen >>>> e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 >>>> dakika içinde üyeliğinizi sonlandırabilirsiniz. >>>> https://liste.linux.org.tr/mailman/listinfo/linux >>> _______________________________________________ >>> Linux E-Posta Listesi >>> [email protected] >>> Liste kurallari: http://liste.linux.org.tr/kurallar.php >>> >>> Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen >>> e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 >>> dakika içinde üyeliğinizi sonlandırabilirsiniz. >>> https://liste.linux.org.tr/mailman/listinfo/linux >> _______________________________________________ >> Linux E-Posta Listesi >> [email protected] >> Liste kurallari: http://liste.linux.org.tr/kurallar.php >> >> Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen >> e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 >> dakika içinde üyeliğinizi sonlandırabilirsiniz. >> https://liste.linux.org.tr/mailman/listinfo/linux > _______________________________________________ > Linux E-Posta Listesi > [email protected] > Liste kurallari: http://liste.linux.org.tr/kurallar.php > > Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen > e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 > dakika içinde üyeliğinizi sonlandırabilirsiniz. > https://liste.linux.org.tr/mailman/listinfo/linux > _______________________________________________ Linux E-Posta Listesi [email protected] Liste kurallari: http://liste.linux.org.tr/kurallar.php Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux
