SQUID + https

[ThomasXIII]

На работе стоит прокси сервер, обслуживающий 5 машин. Работает уже полгода без нареканий. Но тут понадобилось конторе для участия в тендере посещать аремя от времени некий сайт. Основным требованием, помимо всего прочего, было (цитирую): "Доступ к серверу blablabla.ru:8420 по протоколу https". И вот тут самое интересное. Если заходить через IE, сайт выдает что-то вроде "https не поддерживается", если через Firefox, то вываливается ошибка SSL

Цитата:

400 Illegal SSL request Use protocol HTTPS on this port Error: -19 Version: 7000 Component: ICM Date/Time: Wed Mar 18 18:35:33 2009 Module: icxxconn.c Line: 1790 Server: wdsrm_SRP_20 Error Tag: {-} Detail: IcmConnInitServerSSL: SapSSLSessionStart returned (-25): SSSLERR_NO_SSL_REQUEST

Update: Такое же наблюдается при попытке зайти через Firefox из-под Linux без прокси, так что подозреваю, что причина ошибки в сайте

При этом, например, в статистику на сайте провайдера можно спокойно зайти, хотя там тот же https. Такое наблюдается только при попытке зайти через прокси и только с этим сайтом. Можно было бы открыть доступ "напрямую", но в требованиях указана скорость интернета не ниже 256 килобит, так что подозреваю большие объемы трафика, а начальник любит строгий учет (трафик дорогой, а анлим для юр. лиц у нас на отшибе еще дороже). Собственно, вопрос: проблема в настройках SQUID или нет? И если да, то как ее можно исправить? В squid.conf добавил только acl, описывающий локальную сеть в конторе и одно правило для http_acces плюс увеличил размер кеша. Все остальные настройки по умолчанию.

[Sleeping Daemon]

На работе стоит прокси сервер, обслуживающий 5 машин. Работает уже полгода без нареканий. Но тут понадобилось конторе для участия в тендере посещать аремя от времени некий сайт. Основным требованием, помимо всего прочего, было (цитирую): "Доступ к серверу blablabla.ru:8420 по протоколу https". И вот тут самое интересное. Если заходить через IE, сайт выдает что-то вроде "https не поддерживается", если через Firefox, то вываливается ошибка SSL

Цитата:

400 Illegal SSL request .... В squid.conf добавил только acl, описывающий локальную сеть в конторе и одно правило для http_acces плюс увеличил размер кеша. Все остальные настройки по умолчанию.

Если Вы можете через squid зайти на другой сайт с https - то это не проблема squid. Попробуйте зайти на другие https сайты и проверить. Если всё будет нормально, то проблема точно не в сквиде.

[ThomasXIII]

Цитата:

Если Вы можете через squid зайти на другой сайт с https - то это не проблема squid. Попробуйте зайти на другие https сайты и проверить. Если всё будет нормально, то проблема точно не в сквиде.

В том-то и дело, что на другие заходит. Но если заходить на сайт не через прокси, заходит и на этот. Т.е. прокси все-таки как-то влияет.

[gogi]

Thomas XIII писал(а) Thu, 19 March 2009 07:36

В том-то и дело, что на другие заходит. Но если заходить на сайт не через прокси, заходит и на этот. Т.е. прокси все-таки как-то влияет.

Логи скуида посмотри.

[SignFinder]

Цитата:

Если Вы можете через squid зайти на другой сайт с https - то это не проблема squid.

ЭЭЭ нет. Стандартный порт 443 прописан в сквиде в SSL_Ports а вот :8420 придется дописать самому

[ThomasXIII]

SignFinder писал(а) Tue, 24 March 2009 12:13

Цитата: Если Вы можете через squid зайти на другой сайт с https - то это не проблема squid. ЭЭЭ нет. Стандартный порт 443 прописан в сквиде в SSL_Ports а вот :8420 придется дописать самому

Дописал - не помогло. Более того, вообще стало ошибку 403 выдавать. Может подскажите, где можно почитать про настройку Squid+HHTPS с нестандартными настройками (порт etc.)? Просто сам раньше с таким не сталкивался, а в книгах этот вопрос обычно обходится стороной.

[gogi]

Thomas XIII писал(а) Thu, 26 March 2009 13:34

SignFinder писал(а) Tue, 24 March 2009 12:13 ЭЭЭ нет. Стандартный порт 443 прописан в сквиде в SSL_Ports а вот :8420 придется дописать самому Дописал - не помогло. Более того, вообще стало ошибку 403 выдавать.

1. Посмотри логи, посмотри tcpdump.

2. Если почему-то не получается настроить, как советовал SignFinder, можешь оставить скуид слушать на стандартном https порту, а порт поменять в postrouting nat для конкретного ip.

Тогда в настройках клиентов тоже порт нужно указать порт скуида.

Цитата:

Может подскажите, где можно почитать про настройку Squid+HHTPS с нестандартными настройками (порт etc.)? Просто сам раньше с таким не сталкивался, а в книгах этот вопрос обычно обходится стороной.

Ты сначала со стандартными разберись.

[eppa]

Помогите снять статистику о трафике со SQUID. Я с Linux раньше вообще не работал даже не представляю как мне отчет сделать. Пмогите.

[Byte]

eppa писал(а) Thu, 09 April 2009 11:27

Помогите снять статистику о трафике со SQUID. Я с Linux раньше вообще не работал даже не представляю как мне отчет сделать. Пмогите.

http://sarg.sourceforge.net/

[allez]

http://lightsquid.sourceforge.net/

На мой сугубо личный взгляд получше, чем SARG будет.

Про настройку можно почитать, например, здесь: http://www.lissyara.su/?id=1878. Если захочется более подробного описания, то его можно найти в этом списке.

[Byte]

Sarg - это классика с кучей документации в сети

[allez]

Byte

Sarg - это классика с кучей документации в сети

В курсе, бабушка писала.

Сам долго пользовался этой классикой, пока про LightSquid случайно не узнал.

[Byte]

Старый друг лучше двух подруг (С)

[allez]

Ну, это уже... э-э... дело личных предпочтений.

Как писал некий К. Прутков, "кто солдатской не брезгует задницей, тому и флаговый служит племянницей". Все же предпочту двух подруг.

А если серьезно, то LS мне понравился большей гибкостью и удобством использования. Да и логи он парсит заметно резвее, что, впрочем, при нынешних мощностях несущественно. Ну и нельзя сбрасывать со счетов, что отчеты по трафику нужны не столько мне, сколько руководству. Фантазия же у этого самого руководства иногда разыгрывается так, что SARG с их запросми, увы, не справляется. Хотя не исключаю, что я его за все годы использования просто "готовить" не научился.

Но мы же тут, я надеюсь, не "холиворить" собрались.