Jump to content

Recommended Posts

На работе стоит прокси сервер, обслуживающий 5 машин. Работает уже полгода без нареканий. Но тут понадобилось конторе для участия в тендере посещать аремя от времени некий сайт. Основным требованием, помимо всего прочего, было (цитирую): "Доступ к серверу blablabla.ru:8420 по протоколу https". И вот тут самое интересное. Если заходить через IE, сайт выдает что-то вроде "https не поддерживается", если через Firefox, то вываливается ошибка SSL

Цитата:

400 Illegal SSL request

Use protocol HTTPS on this port

Error: -19

Version: 7000

Component: ICM

Date/Time: Wed Mar 18 18:35:33 2009

Module: icxxconn.c

Line: 1790

Server: wdsrm_SRP_20

Error Tag: {-}

Detail: IcmConnInitServerSSL: SapSSLSessionStart returned (-25): SSSLERR_NO_SSL_REQUEST

Update: Такое же наблюдается при попытке зайти через Firefox из-под Linux без прокси, так что подозреваю, что причина ошибки в сайте

При этом, например, в статистику на сайте провайдера можно спокойно зайти, хотя там тот же https. Такое наблюдается только при попытке зайти через прокси и только с этим сайтом. Можно было бы открыть доступ "напрямую", но в требованиях указана скорость интернета не ниже 256 килобит, так что подозреваю большие объемы трафика, а начальник любит строгий учет (трафик дорогой, а анлим для юр. лиц у нас на отшибе еще дороже). Собственно, вопрос: проблема в настройках SQUID или нет? И если да, то как ее можно исправить? В squid.conf добавил только acl, описывающий локальную сеть в конторе и одно правило для http_acces плюс увеличил размер кеша. Все остальные настройки по умолчанию.

Share this post


Link to post
Share on other sites
На работе стоит прокси сервер, обслуживающий 5 машин. Работает уже полгода без нареканий. Но тут понадобилось конторе для участия в тендере посещать аремя от времени некий сайт. Основным требованием, помимо всего прочего, было (цитирую): "Доступ к серверу blablabla.ru:8420 по протоколу https". И вот тут самое интересное. Если заходить через IE, сайт выдает что-то вроде "https не поддерживается", если через Firefox, то вываливается ошибка SSL
Цитата:

400 Illegal SSL request

....

В squid.conf добавил только acl, описывающий локальную сеть в конторе и одно правило для http_acces плюс увеличил размер кеша. Все остальные настройки по умолчанию.

Если Вы можете через squid зайти на другой сайт с https - то это не проблема squid. Попробуйте зайти на другие https сайты и проверить. Если всё будет нормально, то проблема точно не в сквиде.

Share this post


Link to post
Share on other sites

Цитата:

Если Вы можете через squid зайти на другой сайт с https - то это не проблема squid. Попробуйте зайти на другие https сайты и проверить. Если всё будет нормально, то проблема точно не в сквиде.

В том-то и дело, что на другие заходит. Но если заходить на сайт не через прокси, заходит и на этот. Т.е. прокси все-таки как-то влияет.

Share this post


Link to post
Share on other sites

Thomas XIII писал(а) Thu, 19 March 2009 07:36

В том-то и дело, что на другие заходит. Но если заходить на сайт не через прокси, заходит и на этот. Т.е. прокси все-таки как-то влияет.

Логи скуида посмотри.

Share this post


Link to post
Share on other sites

Цитата:

Если Вы можете через squid зайти на другой сайт с https - то это не проблема squid.

ЭЭЭ нет. Стандартный порт 443 прописан в сквиде в SSL_Ports а вот :8420 придется дописать самому

Share this post


Link to post
Share on other sites

SignFinder писал(а) Tue, 24 March 2009 12:13

Цитата:

Если Вы можете через squid зайти на другой сайт с https - то это не проблема squid.

ЭЭЭ нет. Стандартный порт 443 прописан в сквиде в SSL_Ports а вот :8420 придется дописать самому

Дописал - не помогло. Более того, вообще стало ошибку 403 выдавать. Может подскажите, где можно почитать про настройку Squid+HHTPS с нестандартными настройками (порт etc.)? Просто сам раньше с таким не сталкивался, а в книгах этот вопрос обычно обходится стороной.

Share this post


Link to post
Share on other sites

Thomas XIII писал(а) Thu, 26 March 2009 13:34

SignFinder писал(а) Tue, 24 March 2009 12:13

ЭЭЭ нет. Стандартный порт 443 прописан в сквиде в SSL_Ports а вот :8420 придется дописать самому

Дописал - не помогло. Более того, вообще стало ошибку 403 выдавать.

1. Посмотри логи, посмотри tcpdump.

2. Если почему-то не получается настроить, как советовал SignFinder, можешь оставить скуид слушать на стандартном https порту, а порт поменять в postrouting nat для конкретного ip.

Тогда в настройках клиентов тоже порт нужно указать порт скуида.

Цитата:

Может подскажите, где можно почитать про настройку Squid+HHTPS с нестандартными настройками (порт etc.)? Просто сам раньше с таким не сталкивался, а в книгах этот вопрос обычно обходится стороной.

Ты сначала со стандартными разберись.

Share this post


Link to post
Share on other sites

Помогите снять статистику о трафике со SQUID. Я с Linux раньше вообще не работал даже не представляю как мне отчет сделать. Пмогите.

Share this post


Link to post
Share on other sites

eppa писал(а) Thu, 09 April 2009 11:27

Помогите снять статистику о трафике со SQUID. Я с Linux раньше вообще не работал даже не представляю как мне отчет сделать. Пмогите.

http://sarg.sourceforge.net/

Share this post


Link to post
Share on other sites

http://lightsquid.sourceforge.net/

На мой сугубо личный взгляд получше, чем SARG будет.

Про настройку можно почитать, например, здесь: http://www.lissyara.su/?id=1878. Если захочется более подробного описания, то его можно найти в этом списке.

Share this post


Link to post
Share on other sites

Byte

Sarg - это классика с кучей документации в сети

В курсе, бабушка писала. Smile

Сам долго пользовался этой классикой, пока про LightSquid случайно не узнал.

Share this post


Link to post
Share on other sites

Ну, это уже... э-э... дело личных предпочтений. Smile

Как писал некий К. Прутков, "кто солдатской не брезгует задницей, тому и флаговый служит племянницей". Все же предпочту двух подруг. Smile

А если серьезно, то LS мне понравился большей гибкостью и удобством использования. Да и логи он парсит заметно резвее, что, впрочем, при нынешних мощностях несущественно. Ну и нельзя сбрасывать со счетов, что отчеты по трафику нужны не столько мне, сколько руководству. Фантазия же у этого самого руководства иногда разыгрывается так, что SARG с их запросми, увы, не справляется. Хотя не исключаю, что я его за все годы использования просто "готовить" не научился. Smile

Но мы же тут, я надеюсь, не "холиворить" собрались. Wink

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...
Sign in to follow this  

×
×
  • Create New...