LINUX.ORG.RU
ФорумAdmin

Выручайте! Наболевший вопрос с портом 443


0

0

Привет всем!
Выручайте! Не могу понять где грабли закопаны. Проблема с выходом на сайты HTTPS.
Мне не нужен Transparent Proxy! 
Все внутрення сетка 192.168.1.0 выходит наружу через шлюз D-Link, 
имеющий адрес 195.230.x.y (который еще служит как DHCP-серевер для внутренней сетки),
сервер под RH7.1 со Squid Version 2.3.STABLE4 имеющий адрес 195.230.x.x.

ПРОБЛЕМА: в данной конфигурации мои юзеры могут выходить на сайты HTTPS, 
НО и "внешние" тоже могут пользоваться моим прокси!

НУЖДА: где я ошибся и что мне нужно исправить/добавить чтобы ТОЛЬКО мои юзеры
могли пользоваться прокси, и при этом, могли выходить на сайты HTTPS?

Всем спасибо за скорую помощь )))
С благодарностью,
Владимир
--------------
Имеется:
1. Cisco 1720
IOS (tm) C1700 Software (C1700-Y-M), Version 12.1(3), RELEASE SOFTWARE (fc1)( WCCP - не поддерживается ! )

interface FastEthernet0
 ip policy route-map Squid

access-list 100 deny   tcp host 195.230.x.x any eq www
access-list 100 deny   tcp host 195.230.x.x any eq 443
access-list 100 permit tcp host 195.230.x.y any eq www
access-list 100 permit tcp host 195.230.x.y any eq 443

route-map Squid permit 10
 match ip address 100
 set ip next-hop 195.230.x.x
--------------
2. IPTABLES
/sbin/iptables -t nat -A PREROUTING -i eth0 -p tcp -s 195.230.x.y --dport 80 -j REDIRECT --to-port 3128
/sbin/iptables -t nat -A PREROUTING -i eth0 -p tcp -s 195.230.x.y --dport 443 -j REDIRECT --to-port 3128
--------------
3. SQUID
acl all src 0.0.0.0/0.0.0.0
acl local src 195.230.x.y/255.255.255.255
acl manager proto cache_objet
acl localhost src 127.0.0.1/255.255.255.255

acl SSL_ports port 443 563
acl Safe_ports port 80 21 443 563 70 210 1025-65535
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT
acl adminsnmp snmp_community squidmrtg

#Default configuration:
http_access allow manager berger
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
#########################################
http_access allow Safe_ports
http_access allow CONNECT SSL_ports
#########################################
^^^- если сделать так, то все могут юзать эти порты,
а если это закомментарить, то никто :-)

# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
http_access allow localhost
http_access deny manager !localhost
http_access allow local
http_access deny all
icp_access allow all
miss_access allow all
cache_effective_user squid
cache_effective_group squid

always_direct allow local-servers
acl FTP proto FTP
always_direct allow FTP
anonymous
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.