77282
77282
Aug 12, 2013, updated at 12:28:10 (UTC)
view3486
view18
0
Goto Top

Squid3 Konfigurationsdatei HTTPs freischalten

GermanQuestionLinux NetworkLinux
Hallo, ich bin aktuelle dabei einen Squid aufzusetzen.
Hat auch soweit alle geklappt, nur HTTPS funktioniert noch nicht.
Was mach ich falsch?
Hier meine config File:

#Network-----------------------------------------------------------------------
http_port 8080 


cache_mem 500 MB
maximum_object_size 40480 KB
maximum_object_size_in_memory 100 KB


# ACLs  Berechtigungen----------------------------------------------------------
acl freigabeInet src 172.20.10.0/24 172.20.11.0/24
acl localhost src 127.0.0.1/32


acl SSL_ports port 443 80 21

acl Safe_ports port 80 # http
acl Safe_ports port 443 # https
acl Safe_ports port 21 # ftp

acl CONNECT method CONNECT
http_access deny !Safe_ports

http_access deny CONNECT !SSL_ports

http_access allow freigabeInet
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 214036

Url: https://administrator.de/contentid/214036

Printed on: April 25, 2024 at 16:04 o'clock

18 Comments
Latest comment
Goto Top
Member: aqui
aqui Aug 12, 2013 at 12:02:04 (UTC)
Goto Top
Ist das ein transparenter Proxy ?
http://www.linuxsolved.com/forums/index.php?topic=944.0
Member: Dani
Dani Aug 12, 2013 at 12:34:32 (UTC)
Goto Top
Moin,
versuch es damit:
# -----------------------------------------------------------------------
# Basic Settings
# -----------------------------------------------------------------------
http_port 8080 

cache_mem 500 MB
maximum_object_size 40480 KB
maximum_object_size_in_memory 100 KB

# -----------------------------------------------------------------------
# ACLs
# -----------------------------------------------------------------------
acl localhost src 127.0.0.1/32
acl freigabeInet src 172.20.10.0/24 172.20.11.0/24
acl all src all

acl SSL_ports port 443	# https

acl Safe_ports port 21  # ftp
acl Safe_ports port 80  # http
acl Safe_ports port 443 # https


acl CONNECT method CONNECT
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

http_access allow freigabeInet 
http_access deny all

Grüße,
Dani
Mitglied: 77282
77282 Aug 12, 2013 at 12:37:06 (UTC)
Goto Top
Hallo, nein, sollte ein normaler client proxy sein der im Browser eingetragen wird.
Gibt es von Squid verscheidene Pakete, oder ist das ein Konfigurationssache um welche Art von Proxy es sich handelt?
Member: Dani
Dani Aug 12, 2013 at 12:39:53 (UTC)
Goto Top
Hallo,
Gibt es von Squid verscheidene Pakete, oder ist das ein Konfigurationssache um welche Art von Proxy es sich handelt?
Konfigurationssache.


Grüße,
Dani
Mitglied: 77282
77282 Aug 12, 2013 at 12:56:09 (UTC)
Goto Top
Hallo, nee bekomme leider beim restart des squid diese Meldung und komme weiterhin nur auf die http seiten..:

root@proxy2:/home/blade/Downloads# /etc/init.d/squid3 restart
[ ok ] Restarting Squid HTTP Proxy 3.x: squid3[....] Waiting.....................done.
2013/08/04 14:34:17| WARNING: (B) '::/0' is a subnetwork of (A) '::/0'
2013/08/04 14:34:17| WARNING: because of this '::/0' is ignored to keep splay tree searching predictable
2013/08/04 14:34:17| WARNING: You should probably remove '::/0' from the ACL named 'all'
. ok
root@proxy2:/home/blade/Downloads#
Member: Dani
Dani Aug 12, 2013 updated at 12:58:12 (UTC)
Goto Top
Folgende Zeile ersetzen:
acl all src all
durch:
acl all src 0.0.0.0/0.0.0.0

Grüße,
Dani
Mitglied: 77282
77282 Aug 12, 2013 at 13:00:41 (UTC)
Goto Top
Hatte ich auch schon getestet, leider mit dem folgendem Fehler:

root@proxy2:/home/blade/Downloads# /etc/init.d/squid3 restart
[ ok ] Restarting Squid HTTP Proxy 3.x: squid3[....] Waiting.....................done.
2013/08/04 14:39:28| ERROR: '0.0.0.0/0.0.0.0' needs to be replaced by the term 'all'.
2013/08/04 14:39:28| SECURITY NOTICE: Overriding config setting. Using 'all' instead.
2013/08/04 14:39:28| WARNING: (B) '::/0' is a subnetwork of (A) '::/0'
2013/08/04 14:39:28| WARNING: because of this '::/0' is ignored to keep splay tree searching predictable
2013/08/04 14:39:28| WARNING: You should probably remove '::/0' from the ACL named 'all'
. ok
root@proxy2:/home/blade/Downloads#
Member: Dani
Dani Aug 12, 2013 at 13:04:08 (UTC)
Goto Top
Lass diese Zeile bitte weg:
http_access deny all
Member: aqui
aqui Aug 12, 2013 at 13:24:45 (UTC)
Goto Top
"acl all src all" ist ja hinterher eigentlich auch unsinnig wenn du oben mit "src 172.20.10.0/24 172.20.11.0/24 " schon deine source netze freigegeben hast.
all all gibt dann ochmal alles frei...warum ?
Member: Dani
Dani Aug 12, 2013 at 13:27:24 (UTC)
Goto Top
@aqui
Aus alter Gewohnheit schließe ich alle Access-Listen mit deny ab. Und dazu brauchst du bei Squid ein Objekt. Kann aber je nach Version von Squid inzwischen ein Problem sein.


Grüße,
Dani
Mitglied: 77282
77282 Aug 12, 2013 at 14:20:19 (UTC)
Goto Top
Also hab die zeile gelöscht, aber https kann ich immer noch nicht verwenden. gibt es noch eine andere konfig file?
Mitglied: 77282
77282 Aug 13, 2013 updated at 10:22:53 (UTC)
Goto Top
Leider komm ich immer noch nicht auf https Seiten. Von dem Debian Rechner selbst komm ich aber mit Firefox und co. auf https Seiten., hier meine aktuelle Konfig File, hat vielleicht noch einer Ideen?:


 
http_port 8080  


cache_mem 500 MB 

maximum_object_size 40480 KB 

maximum_object_size_in_memory 100 KB 

 

# ----------------------------------------------------------------------- 

# ACLs 

# ----------------------------------------------------------------------- 

acl localhost src 127.0.0.1/32 

acl freigabeInet src 172.20.10.0/24 172.20.11.0/24 



 

acl SSL_ports port 443   # https 

 

acl Safe_ports port 21  # ftp 

acl Safe_ports port 80  # http 

acl Safe_ports port 443 # https 

 

 

acl CONNECT method CONNECT 

http_access deny !Safe_ports 

http_access deny CONNECT !SSL_ports 

 

http_access allow freigabeInet  

#http_access deny all
Member: Dani
Dani Aug 13, 2013 at 08:54:44 (UTC)
Goto Top
Moin,
solange du nicht fähig bist unsere Formatierungeshilfen zu benutzen, bin ich nicht gewillt daran weiter zuarbeiten. Ist das zu viel verlangt, dass Konfigurationszeilen ordentlich darzustellen?


Grüße,
Dani
Mitglied: 77282
77282 Aug 13, 2013 at 10:24:02 (UTC)
Goto Top
sorry face-smile mein Fehler...
Member: Dani
Dani Aug 13, 2013 updated at 10:28:09 (UTC)
Goto Top
Moin,
bin ich doof... das Problem ist folgendes: Squid-Package wird von Debian/Ubuntu ohne SSL-Option ausgeliefert. D.h. es wird ohne den Parameter "--enable-ssl" kompiliert.

Du hast zwei Möglichkeiten:
a) Squid 2.x als Reverse Proxy für Exchange 2010 (den oberen Teil davon)
b) http://www.mydlp.com/now-squid3-ssl-packages-in-mydlp-repository/


Grüße,
Dani
heart1
Mitglied: 77282
77282 Aug 14, 2013 at 07:54:32 (UTC)
Goto Top
Vielen Dank für deine Hilfe! Das hätte ich ja nicht gedacht, dass SSL bei Squid für debian ausgeschaltet ist.
Mitglied: 77282
77282 Aug 14, 2013 at 13:25:14 (UTC)
Goto Top
Zitat von @Dani:
Folgende Zeile ersetzen:
> acl all src all
>
durch:
> acl all src 0.0.0.0/0.0.0.0
>

Grüße,
Dani

Hallo, hierzu hab ich nochmal eine Frage, wozu brauch ich eigentlich "all"? wenn ich schon meine ip s explizit freigegeben habe? Nehme ich diese Zeile nämlich raus, so bekomm ich einen Fehler beim starten von Squid.
Member: Dani
Dani Aug 15, 2013 at 10:58:31 (UTC)
Goto Top
Moin,
wenn du die Zeile herausnimmst solltest du auch die Objekte die dazugehören auskommentieren. Sonst meckert Squid sofort.
Standardmäßig mach ich automatisch an das Ende einer ACL immer ein Deny any any. D.h. alles was nicht erlaubt ist, wird verboten!


Grüße,
Dani
GermanQuestionLinux NetworkLinux
Hotly discussed
gleixnerdCheck of ZFW Firewallgleixnerd - 5 Comments