Squid - connexion HTTPS impossible

Marsh Posté le 27-03-2007 à 09:36:09

:hello:

J'ai un serveur squid qui interdit toute connexion vers les sites en HTTPS.
Pourtant j'ai bien une ACL qui autorise ce protocole.

Code :

acl Safe_ports port 80
acl SSL_ports port 443 563
acl purge method PURGE
acl CONNECT method CONNECT
# Only allow cachemgr access from localhost
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
# Deny requests to unknown ports
http_access deny !Safe_ports
# Deny CONNECT to other than SSL ports
http_access deny CONNECT !SSL_ports

Code :

1174979551.483 0 10.10.100.120 TCP_DENIED/403 1450 CONNECT www.google.com:443 - NONE/- text/html
1174979671.500 0 10.10.100.120 TCP_DENIED/403 1450 CONNECT www.google.com:443 - NONE/- text/html
1174979791.510 0 10.10.100.120 TCP_DENIED/403 1450 CONNECT www.google.com:443 - NONE/- text/html
1174979911.528 0 10.10.100.120 TCP_DENIED/403 1450 CONNECT www.google.com:443 - NONE/- text/html
1174980031.547 0 10.10.100.120 TCP_DENIED/403 1450 CONNECT www.google.com:443 - NONE/- text/html
1174980151.571 0 10.10.100.120 TCP_DENIED/403 1450 CONNECT www.google.com:443 - NONE/- text/html
1174980271.575 1 10.10.100.120 TCP_DENIED/403 1450 CONNECT www.google.com:443 - NONE/- text/html
1174980391.581 0 10.10.100.120 TCP_DENIED/403 1450 CONNECT www.google.com:443 - NONE/- text/html
1174980511.589 0 10.10.100.120 TCP_DENIED/403 1450 CONNECT www.google.com:443 - NONE/- text/html

Reply

Marsh Posté le 27-03-2007 à 09:36:09

Reply

Marsh Posté le 27-03-2007 à 09:44:32

question simple mais bon on sait jamais:
tu as bien des allow plus loin dans ta conf ?

Reply

Marsh Posté le 27-03-2007 à 10:22:45

:hello:

J'ai défini plusieurs ACL pour les réseaux : net1, net2...
J'ai défini également défini une ACL pour l'authentification NTLM

Si l'adresse réseau et l'authentification NTLM fonctionne, le flux est accepté.

Code :

http_access allow net1 NTLMUsers
http_access allow net2 NTLMUsers
http_access allow net3 NTLMUsers
http_access allow paris NTLMUsers
http_access allow lyon NTLMUsers
http_access allow tou NTLMUsers
http_access allow secureclient NTLMUsers

D'autre ACL ont été défini au dessus de bloquer MSN, certaines extensions...

Par contre je n'ai pas défini d'ACL suplémentaire pour SSL_port.
Pour etre tranquille j'ai mis à la fin des ACL ci dessus, un http_access allow SSL_ports

Message édité par madsurfer le 27-03-2007 à 10:23:09

Reply

Marsh Posté le 27-03-2007 à 10:29:55

a priori tu n'as pas besoin d'un http_access allow SSL_ports

je te conseillerai de simplifier tes acl pour debugger

essaie egalement de te connecter a un site qui gere le ssl totalement (pas google)

Reply

Marsh Posté le 27-03-2007 à 11:08:10

Citation :

1. acl Safe_ports port 80
2. acl SSL_ports port 443 563
3. acl purge method PURGE
4. acl CONNECT method CONNECT
5.
6. # Only allow cachemgr access from localhost
7. http_access allow manager localhost
8. http_access deny manager
9. http_access allow purge localhost
10. http_access deny purge
11. # Deny requests to unknown ports
12. http_access deny !Safe_ports
13. # Deny CONNECT to other than SSL ports
14. http_access deny CONNECT !SSL_ports

Bonjour,

Si la définition de l'ACL Safe_ports se réduit à la ligne 1., il me semble normal que Squid refuse toutes les connexions HTTPS.
A la ligne 12., il est spécifié que toutes les connexions sur d'autres ports que ceux définis dans SAfe_ports sont refusés.
Lors d'une tentative de connexion sur un port 443, Squid applique donc cette règle ET NE CHERCHE PAS plus loin si une autre règle autoriserait cette connexion.

Edit: Il serait donc nécessaire d'ajouter le port 443 dans l'ACL Safe_ports

Message édité par fracolo le 27-03-2007 à 11:09:38

Reply

Marsh Posté le 28-03-2007 à 13:44:42

:hello:

Merci pour ces infos, il s'agissait d'une ACL qui était mal positionné et qui bloquait les flux en HTTPS.

:jap:

Reply

Squid - connexion HTTPS impossible

Sujets relatifs:

Leave a Replay