- SSL (443)
+ Responder ao Tópico
-
SSL (443)
iai karas blz!?
to com um probleminha... sei q o squid nao tem suporte a https, (443), etc...
mais ate ontem ele estava funcionando, tipo: entrando no orkut , gmail, etc. tive q desligar o servidor e hj qdo liguei nao estava mais funcionando.
A mensagem:
creio q naum seja pelo firewall da maquina pq com um putro servidor proxy funciona normalmente. naum mexi no squid.conf.
vcs tem ideia de onde pode estar o erro?
ah, uma outra duvida se ele naum suporta 443 (as https) soh http, pq tem a acl para a porta 443 q soh usada nas https ?(podem corrigir-me se estiver enganado)
desde ja valeu
-
SSL (443)
hiden,
o squid suporta ssl sim, mas ele não cacheia esta conexão, até por que ele não tem os dados que estão passando porque é uma conexão segura. Na verdade ele abre um tunel com o servidor que tu queres acessar. Isso quer dizer que não apenas a porta 443, mas praticamente qualquer porta pode fazer uso deste tunel. Sei de situações em que a porta 22 (ssh) é usada através de proxy e muito seguidamente a porta 25 é usada através do método CONNECT para prática de spam.
Quanto ao teu problema especificamente, tu tens que fornecer mais detalhes, tipo tem certeza que o squid está recebendo estas conexões? Qual o código de erro de negação que apresenta no access.log? No caso de haver negação no access.log uma boa coisa seria habilitar debug_options all,1 33,2 e ver qual a acl está barrando estas conexões.
Espero ter te elucidado e não te confundido mais.
-
SSL (443)
cara foi mau naum coloquei a mensagem:
ERROR
The requested URL could not be retrieved
While trying to retrieve the URL: www.google.com:443
The following error was encountered:
* Connection Failed
The system returned:
(110) Connection timed out
The remote host or network may be down. Please try the request again.
no access.log soh aparece isso: 1126795807.274 59656 192.168.0.23 TCP_MISS/503 0 CONNECT www.google.com:443 - DIRECT/64.233.161.147 -
acredito q naum tenha nenhuma acl barrando pq naum adicionei nenhuma e antes estava funcionando. (parece ateh usuario neh tipo ("ah num fiz nda e paro de funcionar...")
mais kra foi u q aconteceu, num sei mais detalhes, se quiser eu posto o squid.conf
falow
-
SSL (443)
hiden,
o teu proxy é transparente ou tu adiciona configuração no browser?
Posta o teu squid.conf pra mim poder dar uma olhada.
O erro diz que foi timeout de conexão e teve como resposta o código 503 (Service Unavailable - por isso o timeout) e diz também que o squid não recebeu nenhum dado como resposta (como tu podes constatar no campo destinado ao nro de bites baixados pela requisição).
Isso me faz pensar em erro de firewall e não squid. Tu falou que tem outro proxy que funciona. Tem certeza que eles passam pelo mesmo firewall? A máquina em que este squid com problema está instalada não tem um firewall tb?
Pela mensagem de erro o squid está fazendo o trabalho dele, mas está recebendo mensagem que não consegue conectar.
Posta o squid.conf (só por desencargo de consciência) e se possível a topologia da tua rede e as regras do firewall.
Isnard
-
SSL (443)
isnard
kra eu to usando setado no browser. o squid com problema esta na minha maquina (é soh para testes) entao o firewall q ele ta usando eh o da minha maquina (uso fc4), entao, me corrija se estiver errado, mais setando o outro proxy ele tb passaria pelo meu firewall e ai bloquearia.
segue o squid.conf:
http_port 192.168.0.23:3128
icp_port 3130
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
cache_mgr root
cache_mem 8 MB
cache_dir ufs /var/spool/squid 100 16 256
cache_access_log /var/log/squid/access.log
cache_effective_user squid
cache_effective_group squid
visible_hostname squid.teste.com.br
acl all src 192.168.0.0/255.255.255.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80
acl Safe_ports port 21
acl Safe_ports port 443 563
acl Safe_ports port 70
acl Safe_ports port 210
acl Safe_ports port 1025-65535
acl Safe_ports port 280
acl Safe_ports port 488
acl Safe_ports port 591
acl Safe_ports port 777
acl Safe_ports port 901 #SWAT
acl admin src 192.168.0.23
acl desbloqueados url_regex -i "/etc/squid/listas/desbloqueados"
acl bloqueados url_regex -i "/etc/squid/listas/bloqueados"
acl rede_interna src 192.168.0.0/24
acl purge method PURGE
acl CONNECT method CONNECT
http_access allow bloqueados admin
http_access deny bloqueados !desbloqueados
http_access allow rede_interna
http_access allow manager localhost
http_access deny manager
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny all
logfile_rotate 10
-
SSL (443)
cara esse proxy esta atras de outro proxy tem influencia neh?
-
SSL (443)
hiden,
vamos por partes:
"me corrija se estiver errado, mais setando o outro proxy ele tb passaria pelo meu firewall e ai bloquearia"
Em parte tu estás certo. Todo e qualquer tráfego que sai ou entra na tua máquina vai passar pelo firewall dela. Resta saber o que está setado no teu firewall, porque quando tu faz uma chamada para https e o browser está setado para usar proxy, o que sai sai da tua máquina (e passa pelo teu firewall) é uma requisição CONNECT à porta 3128 do proxy, e quando o proxy não está setado o que sai da tua máquina é uma requisição para a porta 443 do servidor que tu estás tentando acessar. Sacou a diferença? Então... se o no teu firewall tiver algum bloqueio em relação à porta 443 não vai acessar com o proxy da tua máquina setado no browser. Não acredito que este seja tu problema, mas não custa verificar.
"cara esse proxy esta atras de outro proxy tem influencia neh?"
Pergunto: O outro proxy é squid também? Ele é transparente ou tu tem que setar no browser?
-
SSL (443)
kra o outro proxy tambem eh squid, e tambem esta setado no browser.
agora u q eu axu q ta acontecendo eh o seguinte:
vamos chamar o proxy q esta funcionando corretamente de : proxy1
e o outro de teste de: proxy2
o proxy2, esta atras do proxy1. quer dizer q a saida externa desse do proxy2 eh o proxy1.
entao para o proxy1, q eh por onde vai sair o proxy2, eu estaria usando o transparente,(que foi configurardo) porque eu naum estaria setando o proxy1 no meu browser entao ele soh vai passa pela porta 80. por isso ele nao passa nda pela 443 nem por ftp.
axu q fico meio complicado neh, mais blz kra eu axu q "efetivando" o proxy2, ele funcionaria corretamente.
Falow kra Valeu hein manu!!!
-
SSL (443)
É isso aí mesmo.
Para tu poderes testar o proxy2 corretamente, o ip da tua máquina teria que ser liberado no firewall da empresa, porque da forma que está a porta 443 parece ter um DROP e não um REJECT setado para conexões que não do proxy1.