Squid bloqueia HTTPS

vjmartins
(usa Debian)

Enviado em 30/06/2010 - 08:08h

Boas..
Estou a tentar configurar um server com squid + iptables..
E sempre que tento abrir páginas https em outro pc, não abrem..

o meu squid está assim
[....]
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_Ports port 443 563
acl Safe_ports port 80 #http
acl Safe_ports port 21 #ftp
acl Safe_ports port 443 563 #https, snews
acl Safe_ports port 70 #gopher
acl Safe_ports port 210 #wais
acl Safe_ports port 1025-65535 #portas altas
acl Safe_ports port 280 #http-mgmt
acl Safe_ports port 488 #gss-http
acl Safe_ports port 591 #filemaker
acl Safe_ports port 777 #multiling http
acl Safe_ports port 901 #swat
acl Safe_ports port 403 387

acl purge method PURGE
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_Ports
[....]

O que poderá estar mal?..Obrigado..

renato_pacheco
(usa Debian)

Enviado em 30/06/2010 - 08:15h

Seu squid é transparente? Olha, squid não filtra porta 443 (HTTPS), apenas porta 80, ok? O q pode tá acontecendo é q o seu squid seja transparente, portanto, pra usar a porta 443, terá q configurar no navegador o proxy. Ae sim funcionará.

vjmartins
(usa Debian)

Enviado em 30/06/2010 - 08:18h

Sim o squid é transparente.

Além disso o live mail, não está conseguindo ligar..

irado
(usa XUbuntu)

Enviado em 30/06/2010 - 08:54h

conforme o pacheco colocou: o squid (quando transparente) NÃO processa https, só http.

defina "..o live mail, não está conseguindo ligar.."

o que é live mail? e o que deveria ser ligado por êle?

ErhnamDjinm
(usa Gentoo)

Enviado em 30/06/2010 - 08:56h

O Squid não faz proxy transparente de 443 porque isso iria contra a segurança do SSL. Se fosse possível fazer o redirecionamento de porta na 443, seria possível fazer um ataque man-in-the-middle. Você pode configurar o proxy para 443 no browser, ou fazer um masquerade da 443, permitindo que tais acessos saiam sem passar pelo proxy.

vjmartins
(usa Debian)

Enviado em 30/06/2010 - 09:06h

o live mail é o programa de email da microsoft.

Além disso o gmail em https também não funciona..

rafa_jm
(usa Slackware)

Enviado em 30/06/2010 - 10:39h

Tenta nessa ordem

acl CONNECT method CONNECT
http_access deny !Safe_ports
http_access deny CONNECT !SSL_Ports

Cria uma acl para sites com ssl e libera o mesmo.