SQUID(Transparent) https Problem

[elite-noob]

Hallo zusammen,
ich habe nochmal ein Problem mit SQUID.
Hier wiedersprechen sich die Quellen, einerseits gibt es immer wieder aussagen das Squid im Transparent modus kein HTTPS kann, andere sagen das es geht.

Versucht habe ich bisher:

Versuch 1:

iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 443 -j REDIRECT --to-ports 3128

Versuch 2:

Hierbei wollte ich das er https einfach direkt weiterreicht wenn das I-Net Freigegeben ist
acl mail proto https
always_direct allow mail

Ergebniss hierbei ist ein Timeout

Versuch 3:

acl mails port 443
http_access allow mail

Auch hier wieder ein Timeout

Versuche mittels https_port schlagen fehl da er das nicht erkennt, wurde wohl in dem Paket nicht mitcompiliert :/

Direkt vom Server alle https anfragen an das Gateway möchte ich nicht weiterleiten da diese ja auch aktiv wären wenn das Internet gesperrt wird. (Oder überseh ich da was?)

Wenn ich das (mit eurer Hilfe) hinbekomme wäre ich endlich durch mit dem Thema
Hoffe ihr habt ne Idee was ich bisher noch falsch mache.

Auszug aus meiner squid.conf ist
Kommentare habe ich soweit fast alle rausgelöscht.

acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8

acl SSL_ports port 443          # https
acl Safe_ports port 80		# http
acl Safe_ports port 21		# ftp
acl Safe_ports port 443		# https
acl Safe_ports port 70		# gopher
acl Safe_ports port 210		# wais
acl Safe_ports port 1025-65535	# unregistered ports
acl Safe_ports port 280		# http-mgmt
acl Safe_ports port 488		# gss-http
acl Safe_ports port 591		# filemaker
acl Safe_ports port 777		# multiling http
acl CONNECT method CONNECT

###########################
#Eigene ACLs              #
###########################

acl intern src 192.168.12.0/255.255.255.0
acl local  src 127.0.0.1/255.255.255.255

###########################
#Eigene ACLs Ende         #
###########################

http_access allow manager localhost
http_access deny manager

http_access deny !Safe_ports

http_access deny CONNECT !SSL_ports

http_access allow intern

http_access allow localhost

http_access deny all

icp_access deny all

htcp_access deny all

http_port 3128 transparent

hierarchy_stoplist cgi-bin ?

access_log /var/log/squid3/access.log squid

refresh_pattern ^ftp:		1440	20%	10080
refresh_pattern ^gopher:	1440	0%	1440
refresh_pattern (cgi-bin|\?)	0	0%	0
refresh_pattern .		0	20%	4320

icp_port 3130

Ich nutze das ganze auf einen DEBIAN System mit Squid3

gruß
chris

 

[Chromatin]

squid kann nicht wirklich als transparenter Caching proxy arbeiten und https unterstuetzen- das wuerde Sicherheitstechnisch auch gar keinen Sinn ergeben

Er kann jedoch den https traffic "durchreichen". Hast du squid mit der Option --enable-ssl gebaut?

Mit https im acl sollte das dann gehen.

Versuch 3:

acl mails port 443
http_access allow mail

Auch hier wieder ein Timeout

mail / mails

 

[elite-noob]

^^ sry da hab ich mich wohl vertippt, habs probiert bleibt beim selben ergebniss.

gruß
chris

 

[naked_chef]

das kann squid nicht.

es wiederspricht der logik von ssl die beiden seiten genau zu identifizieren.
du müsstest eine art ssl-proxy einrichten - diese möglichkeit bietet squid soweit ich weiss nicht.

 

[odigo]

Original von naked_chef
du müsstest eine art ssl-proxy einrichten - diese möglichkeit bietet squid soweit ich weiss nicht.

Das ist zwar jetzt keine große Hilfe, aber ich kann mich erinnern genau das schon mal gemacht zu haben, aber das ist so lange her daß ich nicht mehr weiß wie.

odigo