Страница 1 из 1

FreeBSD+Squid+Ipfw=нет Https

Добавлено: 2011-06-22 12:05:25
krusha
Доброго дня всем!!!
вот уже несколько неделек мучаюсь не могу настроить Https ну не пашит и все!!!!
ковырял все по вашим ману
пресобрал ядро
настроил squid потом ipfw

вот в ipfw правило для 443 порта

${FwCMD} add fwd 127.0.0.1,8080 tcp from 172.23.2.0/24 to any 80 via vr0
${FwCMD} add divert 8668 ip from 172.23.2.0/24 to any out via vr0
${FwCMD} add divert 8668 ip from any to 172.24.2.3 in via vr0

${FwCMD} add allow tcp from 172.23.1.0/24 to any dst-port 80 in via re0 setup keep-state
${FwCMD} add allow tcp from 172.23.1.0/24 to any dst-port 443 in via re0 setup keep-state



скажите пожалуйста вчем нужно искать где рыть???

Re: FreeBSD+Squid+Ipfw=нет Https

Добавлено: 2011-06-22 12:47:24
dmtr
вот в это правило

Код: Выделить всё

${FwCMD} add fwd 127.0.0.1,8080 tcp from 172.23.2.0/24 to any 80 via vr0
добавить 443 порт

Код: Выделить всё

${FwCMD} add fwd 127.0.0.1,8080 tcp from 172.23.2.0/24 to any 80,443 via vr0
выход напрямую по 443 наверное закрыт?

Re: FreeBSD+Squid+Ipfw=нет Https

Добавлено: 2011-06-22 13:55:01
krusha
ща попробую!!!!

Re: FreeBSD+Squid+Ipfw=нет Https

Добавлено: 2011-06-22 14:13:01
krusha
не помогло
печально однако

и в ipfw show все 0 0 по этому правилу

Re: FreeBSD+Squid+Ipfw=нет Https

Добавлено: 2011-06-23 12:10:34
dmtr
а покажите сюда весь вывод

Код: Выделить всё

# ipfw show

Re: FreeBSD+Squid+Ipfw=нет Https

Добавлено: 2011-06-23 13:47:03
krusha
00100 0 0 allow tcp from 172.23.2.200 to any
00200 0 0 allow tcp from any to 172.23.2.200
00300 0 0 deny tcp from any to any dst-port 25 in via nfe0
00400 0 0 allow ip from any to any via vr0
00500 0 0 deny ip from any to 127.0.0.0/8
00600 0 0 deny ip from 127.0.0.0/8 to any
00700 0 0 deny ip from 172.24.2.0 to any in via nfe0
00800 0 0 deny ip from any to 192.168.0.0/16 in via vr0
00900 0 0 deny ip from any to 0.0.0.0/8 in via vr0
01000 0 0 deny ip from any to 169.254.0.0/16 in via vr0
01100 0 0 deny ip from any to 224.0.0.0/4 in via vr0
01200 0 0 deny ip from any to 240.0.0.0/4 in via vr0
01300 0 0 deny icmp from any to any frag
01400 0 0 deny log logamount 10 icmp from any to 255.255.255.255 in via vr0
01500 0 0 deny log logamount 10 icmp from any to 255.255.255.255 out via vr0
01600 0 0 fwd 127.0.0.1,8080 tcp from 172.23.2.0/24 to any dst-port 80,443 via vr0
01700 0 0 check-state
01800 0 0 deny ip from 192.168.0.0/16 to any out via vr0
01900 0 0 deny ip from 0.0.0.0/8 to any out via vr0
02000 0 0 deny ip from 169.254.0.0/16 to any out via vr0
02100 0 0 deny ip from 224.0.0.0/4 to any out via vr0
02200 0 0 deny ip from 240.0.0.0/4 to any out via vr0
02300 0 0 allow icmp from any to any icmptypes 0,8,11
02400 0 0 allow udp from any to any dst-port 53,123
02500 0 0 allow udp from any 53,123 to any
02600 8 528 allow tcp from any to any dst-port 22
02700 5 524 allow tcp from any 22 to any
02800 0 0 deny ip from any to 205.188.0.0/16,64.12.0.0/16,64.236.0.0/16
02900 0 0 deny ip from any to 195.239.111.119,195.68.160.26,195.68.160.222
03000 0 0 allow tcp from 172.23.2.0/24 to any dst-port 80 in via nfe0 setup keep-state
03100 0 0 allow tcp from 172.23.2.0/24 to any dst-port 443 in via nfe0 setup keep-state
03200 3 234 allow ip from 172.23.0.0/19,172.24.0.0/19 to 172.23.0.0/19,172.24.0.0/19
03300 4 162 allow tcp from any to any established
03400 0 0 allow tcp from 172.24.2.3 to any out via vr0 setup
03500 0 0 allow tcp from any to 172.24.2.3 in via nfe0 setup
03600 2 164 deny ip from any to any
65535 0 0 deny ip from any to any
free#

Re: FreeBSD+Squid+Ipfw=нет Https

Добавлено: 2011-06-23 16:40:59
dmtr
а по 80 порту (обычный http) ходит? а то счетчики выглядят так что юэаются тока ssh и локалки.

а еси выключить файрвол? работает веб?

Re: FreeBSD+Squid+Ipfw=нет Https

Добавлено: 2011-06-23 18:08:50
krusha
пробывал но нет эфекта не работает и все!!!
в чем может быть загвоздка????

Re: FreeBSD+Squid+Ipfw=нет Https

Добавлено: 2011-06-23 20:26:47
snorlov
Вам надо выбирать из след. действий:
1. всех идущих по порту 443 пускать через нат, не забывая пропускать через нат приходящие ответы
2. пропишите у всех проксик на протокол https, пусть по 80 их всех заруливает файер...
3. прописать у всех использовать проксик...

Re: FreeBSD+Squid+Ipfw=нет Https

Добавлено: 2011-06-24 10:52:41
krusha
прозрачная прокся стоит

Re: FreeBSD+Squid+Ipfw=нет Https

Добавлено: 2011-06-24 12:55:12
snorlov
krusha писал(а):прозрачная прокся стоит
А что такое прозрачная прокся? То, что не запрашивает авторизацию что ли, но в любом случае она у тебя все равно на 3128 висит...

Re: FreeBSD+Squid+Ipfw=нет Https

Добавлено: 2011-06-24 16:00:45
tynix
А https разве уже заработал через прозрачный прокси?