ben de şu anda oyle çalıştırıyorum https trafigini. proxy'e sokmadan nat yaptiriyorum.
cevaplar için teşekkürler. -- 18.05.2011 17:02, A.Gurcan Ozturk yazmış: > iptables SNAT kurali yazin ve 443. portu da yonlendirin, ben bu > sekilde cozmustum. > > > iptables -t nat -A POSTROUTING -p tcp --dport 443 -o eth0 -j SNAT --to > 192.168.16.5 > > > 2011/5/18 Mehmet Ali GÖKBAŞ<[email protected]>: >> squid transparent olarak calisiyor. http trafigi iptables tarafindan >> dansguardian 8080 portuna yonlendiriyor. dansguardian squid 3128 port >> ile haberlesiyor. lokal kullanicilar 80 portuna web isteginde bulundugu >> zaman bu istekleri iptables 8080 portuna (dansguardian) yonlendiriyor. >> bu yapi ile http trafiginde bir sorun yok, fakat https i gecirmek >> istedigimde https calismiyor. yani https blokmak istemiyorum zaten, >> aksine proxy üzerinden calissin istiyorum ki domain bazli olarak >> dansguardian da filtreleme yapabileyim. >> >> lokal bilgisayarlarin firefox veya internet explorer ayarlarinda manuel >> olarak proxy ayarlari yapilip, dogrudan proxy ip ve port bilgisi >> girilerek hem http hem de https trafigi calisiyor. bunda sorun yok. >> fakat iptables ile https satiri devreye sokuldugunda maalesef calismiyor >> >> iptables satırı aşağıdaki gibidir. (bunda bir sorun yok, calisiyor) >> iptables -t nat -A PREROUTING -p tcp -m tcp -s 192.168.16.0/24 >> --dport 80 -j DNAT --to-destination 192.168.16.5:8080 >> >> https trafigi icin de : >> iptables -t nat -A PREROUTING -p tcp -m tcp -s 192.168.16.0/24 >> --dport 443 -j DNAT --to-destination 192.168.16.5:8080 >> yaptigimda https calismiyor. >> >> >> -- >> >> >> 13.05.2011 21:58, A.Gurcan Ozturk yazmış: >>> Squid httpsten anlamaz. Yapmaniz gereken sadece http trafigini squid >>> portuna yonlendirmek. https trafigini engellemek istiyorsaniz firewall >>> ile cozun. >>> >>> Sent from my iPhone >>> >>> On May 13, 2011, at 6:51 PM, Mehmet Ali GÖKBAŞ<[email protected]> >>> wrote: >>> >>>> proxy üzerinden https baglantilari gerceklestiren yok mu? >>>> >>>> -- >>>> >>>> 13.05.2011 11:34, Mehmet Ali GÖKBAŞ yazmış: >>>>> proxy üzerinden https sitelere giriş yapilamiyor. bütün problem bu. >>>>> normal http protokolune erisimde bir sıkıntı yok. hersey normal >>>>> calisiyor. fakat https ile sitelere baglanilamiyor proxy üzerinden. >>>>> >>>>> -- >>>>> >>>>> 13.05.2011 00:41, A.Gurcan Ozturk yazmış: >>>>>> SSL baglantilari intercept mi etmeye calisiyorsunuz? >>>>>> >>>>>> Sorun su ki, karsidaki sunucu 443. portuna baglandiginizda sizden SSL >>>>>> handshake beklerken siz plain text gonderiyorsunuz gibi geldi bana, >>>>>> dogal olarak karsidaki sunucu "mevlana degilim ben" diyor. >>>>>> >>>>>> Onur Yerlikaya'nin onerdigi dokumanda da ayni bilgi var aslinda. >>>>>> >>>>>> "This generally indicates that the remote peer system has a flawed >>>>>> implementation of SSL, and is violating the SSL specification." >>>>>> >>>>>> Eger SSL intercept edecekseniz, squid icin bir self-signed certificate >>>>>> olusturun, squid.conf'ta bunu belirtin, tum clientlariniza da >>>>>> self-signed sertifikayi import edin. Ama akilli kullanicilar farkeder >>>>>> yine unutmayin ;) >>>>>> >>>>>> >>>>>> 2011/5/12 Mehmet Ali GÖKBAŞ<[email protected]>: >>>>>>> merhaba, >>>>>>> >>>>>>> iptables+dansguardian+squid kullaniyorum. ssl baglantilara erisim >>>>>>> saglayamiyorum. ssl_error_rx_record_too_long diye bir mesaj veriyor. >>>>>>> iptables ile port 80,443,1863 portlarini dansguardian 8080 gonderiyorum. >>>>>>> dansguardian squid 3128 haberlesiyor. >>>>>>> >>>>>>> squid: >>>>>>> >>>>>>> http_port 3128 transparent >>>>>>> >>>>>>> acl all src 0.0.0.0/0.0.0.0 >>>>>>> acl manager proto cache_object >>>>>>> acl localhost src 127.0.0.1/255.255.255.255 >>>>>>> acl to_localhost dst 127.0.0.0/8 >>>>>>> acl SSL_ports port 443 >>>>>>> acl Safe_ports port 80 # http >>>>>>> acl Safe_ports port 21 # ftp >>>>>>> acl Safe_ports port 443 # https >>>>>>> acl Safe_ports port 70 # gopher >>>>>>> acl Safe_ports port 210 # wais >>>>>>> acl Safe_ports port 1025-65535 # unregistered ports >>>>>>> acl Safe_ports port 280 # http-mgmt >>>>>>> acl Safe_ports port 488 # gss-http >>>>>>> acl Safe_ports port 591 # filemaker >>>>>>> acl Safe_ports port 777 # multiling http >>>>>>> acl CONNECT method CONNECT >>>>>>> >>>>>>> http_access allow manager localhost >>>>>>> http_access deny manager >>>>>>> http_access deny !Safe_ports >>>>>>> http_access deny CONNECT !SSL_ports >>>>>>> >>>>>>> acl LAN src 192.168.16.0/255.255.255.0 >>>>>>> >>>>>>> acl dansguardian srcdomain .merkez.domain.com >>>>>>> follow_x_forwarded_for allow localhost >>>>>>> follow_x_forwarded_for allow dansguardian >>>>>>> >>>>>>> http_access allow localhost >>>>>>> http_access allow LAN >>>>>>> http_access deny all >>>>>>> >>>>>>> >>>>>>> _______________________________________________ >>>>>>> Linux E-Posta Listesi >>>>>>> [email protected] >>>>>>> Liste kurallari: http://liste.linux.org.tr/kurallar.php >>>>>>> >>>>>>> Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden >>>>>>> gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini >>>>>>> kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. >>>>>>> https://liste.linux.org.tr/mailman/listinfo/linux >>>>>>> >>>>>> _______________________________________________ >>>>>> Linux E-Posta Listesi >>>>>> [email protected] >>>>>> Liste kurallari: http://liste.linux.org.tr/kurallar.php >>>>>> >>>>>> Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden >>>>>> gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini >>>>>> kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. >>>>>> https://liste.linux.org.tr/mailman/listinfo/linux >>>>> _______________________________________________ >>>>> Linux E-Posta Listesi >>>>> [email protected] >>>>> Liste kurallari: http://liste.linux.org.tr/kurallar.php >>>>> >>>>> Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen >>>>> e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 >>>>> dakika içinde üyeliğinizi sonlandırabilirsiniz. >>>>> https://liste.linux.org.tr/mailman/listinfo/linux >>>> _______________________________________________ >>>> Linux E-Posta Listesi >>>> [email protected] >>>> Liste kurallari: http://liste.linux.org.tr/kurallar.php >>>> >>>> Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen >>>> e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 >>>> dakika içinde üyeliğinizi sonlandırabilirsiniz. >>>> https://liste.linux.org.tr/mailman/listinfo/linux >>> _______________________________________________ >>> Linux E-Posta Listesi >>> [email protected] >>> Liste kurallari: http://liste.linux.org.tr/kurallar.php >>> >>> Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen >>> e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 >>> dakika içinde üyeliğinizi sonlandırabilirsiniz. >>> https://liste.linux.org.tr/mailman/listinfo/linux >> _______________________________________________ >> Linux E-Posta Listesi >> [email protected] >> Liste kurallari: http://liste.linux.org.tr/kurallar.php >> >> Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen >> e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 >> dakika içinde üyeliğinizi sonlandırabilirsiniz. >> https://liste.linux.org.tr/mailman/listinfo/linux >> > _______________________________________________ > Linux E-Posta Listesi > [email protected] > Liste kurallari: http://liste.linux.org.tr/kurallar.php > > Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen > e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 > dakika içinde üyeliğinizi sonlandırabilirsiniz. > https://liste.linux.org.tr/mailman/listinfo/linux _______________________________________________ Linux E-Posta Listesi [email protected] Liste kurallari: http://liste.linux.org.tr/kurallar.php Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux
