proxy ga bisa buka https

[Rizal suryana]

hallo all
punten nech saya punya masalah sedikit, saya baru saja install proxy, biasanya lancar and ga ada masalah.
tapi kali ini masalah datang, kenapa yah proxy ga bisa mengakses web yang pake https ...??
ada yang pernah ngalamin ga, bagi-bagi dunk ilmunya. ini configurasi squid saya

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl pmp src 10.10.15.0/255.255.255.0
acl vlan_bdg src 172.16.12.0/255.255.255.240

acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

http_access allow manager
http_access allow localhost
http_access allow pmp
http_access allow vlan_bdg
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny all

mohon bantuanya

[zahris noorzein]

bisa liat iptables? bisa jadi port HTTPS belum di forward mungkin.. hasil "iptables -nL" bisa di post?

[Rizal suryana]

2009/10/27 zahris noorzein <noor...@gmail.com>

saya belum setting firewall. ini iptables yang ada mesin proxy

Chain INPUT (policy ACCEPT)
target     prot opt source               destination        

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination        

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

[zahris noorzein]

Pada 27 Oktober 2009 22:27, Rizal suryana <rizal....@gmail.com> menulis:

saya belum setting firewall. ini iptables yang ada mesin proxy

Chain INPUT (policy ACCEPT)
target     prot opt source               destination        

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination        

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

wah squid anda tidak transparent yah? saya ndak gitu ngerti squid untuk mode ini. saran saya coba anda buat proxy anda transparent, mungkin bisa membantu.
 
http://www.ubuntugeek.com/how-to-setup-transparent-squid-proxy-server-in-ubuntu.html

[Rizal suryana]

2009/10/28 zahris noorzein <noor...@gmail.com>

iyah squid emang ga transparent

[Anton Rahmadi]

Kalau gak transparent gimana bisa forward HTTPS?
Setting proxy manual di masing-masing browser?


Imho, traffic https itu gak tinggi kok. Cuman dipake buat login aja
rata-rata.
Lagi pula nggak berguna nge-cache https, karena dia sifatnya one time
session only.


PS: Pa kabar Zahris? Lama tak sua... :D
Salam,

Anton

[Wahyu Darmawan]

2009/10/28 Anton Rahmadi <antonr...@gmail.com>

Kalau gak transparent gimana bisa forward HTTPS?
Setting proxy manual di masing-masing browser?

Bukannya permasalahannya beliau Zahris tidak bisa membuka HTTPS melalui proxy nya, kenapa harus di forward HTTPS nya?

Imho, traffic https itu gak tinggi kok. Cuman dipake buat login aja
rata-rata.
Lagi pula nggak berguna nge-cache https, karena dia sifatnya one time
session only.

Lalu gimana caranya membuka web yang menggunakan HTTPS melalui proxy klo nggak berguna nge-cache HTTPS?
Mohon petunjuknya. Terima kasih.

Rgds,

[Wahyu Darmawan]

Kalau gak transparent gimana bisa forward HTTPS?

Setting proxy manual di masing-masing browser?

Bukannya permasalahannya beliau Rizal (mksdnya bukan Zahris, salah nama euyy... :P) tidak bisa membuka HTTPS melalui proxy nya, kenapa harus di forward HTTPS nya?

[Anton Rahmadi]

> > Kalau gak transparent gimana bisa forward HTTPS?
> > Setting proxy manual di masing-masing browser?
>

> Bukannya permasalahannya beliau Rizal tidak bisa membuka HTTPS melalui

> proxy nya, kenapa harus di forward HTTPS nya?

Pertanyaannya saya balik, kalau tidak ditransparent (port berapa
saja?), bagaimana bisa squidnya bekerja untuk meng-cache https???

Untuk itu, semua request ke port https (internet) harus di forward
(yang tepat sebenarnya prerouting di tabel NAT) ke ip dan port squid,
atau... semua browser di intranet harus disetting proxynya manual
sehingga squidnya bekerja.

iptables -t nat -A PREROUTING -i {eth_ke klien} -p tcp -m tcp --dport
80 -j DNAT --to-destination {ip_server_squid}:{port_squid}
iptables -t nat -A PREROUTING -i {eth_ke klien} -p tcp -m tcp --dport
443 -j DNAT --to-destination {ip_server_squid}:{port_squid}

dan ini resep berguna untuk tetap mengurung klien-klien nakal yang
memasang proxy anonimous dari internet
iptables -t nat -A PREROUTING -i {eth_ke klien} -p tcp -m tcp --dport
{semua_port_proxy_luar} -j DNAT --to-destination {ip_server_squid}:
{port_squid}

> Lalu gimana caranya membuka web yang menggunakan HTTPS melalui proxy klo
> nggak berguna nge-cache HTTPS?
> Mohon petunjuknya. Terima kasih.

http://www.linuxquestions.org/questions/linux-networking-3/can-squid-cache-data-in-an-ssl-connection-502969/

Paling penting: pastikan squid Anda terkompilasi secara manual menurut
selera/fitur yang diinginkan.
Kesalahan kebanyakan karena mengharapkan adanya fitur-fitur penting
aktif dalam squid bawaan distro.

Salam,

Anton

[Arie Karhendana]

2009/10/28 Anton Rahmadi <antonr...@gmail.com>:

> Lagi pula nggak berguna nge-cache https, karena dia sifatnya one time
> session only.

Lebih tepatnya "tidak bisa". Sebab koneksi HTTPS pun terenkripsi bagi
server proxy, sehingga tidak ada yang bisa di-cache.

* Kecuali memaksa untuk menggunakan teknik Man in The Middle. Namun
dengan begini, di sisi user, browser akan protes, dan memunculkan
warning ketidaksesuaian sertifikat SSL.

--
Arie Karhendana

[Anton Rahmadi]

> * Kecuali memaksa untuk menggunakan teknik Man in The Middle. Namun
> dengan begini, di sisi user, browser akan protes, dan memunculkan
> warning ketidaksesuaian sertifikat SSL.

Setuju.
HTTPS di Squid hanya untuk tunneling. Dalam banyak implementasi,
worthless.

[mu'ammal hamidy]

> iptables -t nat -A PREROUTING -i {eth_ke klien} -p tcp -m tcp --dport
> 80 -j DNAT --to-destination {ip_server_squid}:{port_squid}

> iptables -t nat -A PREROUTING -i {eth_ke klien} -p tcp -m tcp --dport
> 443 -j DNAT --to-destination {ip_server_squid}:{port_squid}

mas yang dport 443 ini port apa ya mas
trus

> iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.0.1:3128

> iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
saya liat konfigurasi ini di
http://www.ubuntugeek.com/how-to-setup-transparent-squid-proxy-server-in-ubuntu.html
bisa dijelaskan fungsi iptables -t nat -A PREROUTING -i eth0 -p tcp -m
tcp --dport 80 -j REDIRECT --to-ports 3128 kok diarahkan ke eth0
(soalnya di tempatku eth0 menuju ke ISP)
mohon penjelasannya

--
---- LIfE gOoD ----

[Anton Rahmadi]

> > iptables -t nat -A PREROUTING -i {eth_ke klien} -p tcp -m tcp --dport
> > 80 -j DNAT --to-destination {ip_server_squid}:{port_squid}
> > iptables -t nat -A PREROUTING -i {eth_ke klien} -p tcp -m tcp --dport
> > 443 -j DNAT --to-destination {ip_server_squid}:{port_squid}
>
> mas yang dport 443 ini port apa ya mas
> trus

@#@#%$# :D :D
Sorry... Anda punya internet untuk menjawab pertanyaan ini

> > iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.0.1:3128
> > iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
>

> saya liat konfigurasi ini dihttp://www.ubuntugeek.com/how-to-setup-transparent-squid-proxy-server...

> bisa dijelaskan fungsi iptables -t nat -A PREROUTING -i eth0 -p tcp -m
> tcp --dport 80 -j REDIRECT --to-ports 3128 kok diarahkan ke eth0
> (soalnya di tempatku eth0 menuju ke ISP)
> mohon penjelasannya

iptables -t nat --help
iptables -i --help

:D
Sorry, no easy answer

[Rizal suryana]

2009/10/28 Anton Rahmadi <antonr...@gmail.com>

 
jadi intinya gini, proxy saya emang ga transparent, jadi setiap client harus setting proxy pada web browsernya.
masalahnya kalau buka mail.yahoo.com, gmai.com, facebook.com (pada saat login) dan semua web yang menggunakan https ga bisa kebuka.
mungkin di sini pernah ada punya masalah yang sama, shareng dunk ilmunya

terimakasih all atas masukkanya

[Anton Rahmadi]

> jadi intinya gini, proxy saya emang ga transparent, jadi setiap client harus
> setting proxy pada web browsernya.
> masalahnya kalau buka mail.yahoo.com, gmai.com, facebook.com (pada saat
> login) dan semua web yang menggunakan https ga bisa kebuka.
> mungkin di sini pernah ada punya masalah yang sama, shareng dunk ilmunya

Setting proxy di webservernya mencakup https juga?
Maksudnya https-nya juga sudah diarahkan ke IP dan port squid?

Kalau sudah, mungkin rekompilasi squid dengan opsi --enable-ssl akan
membantu.
Kalau tidak, kosongkan setting proxy untuk https, biarkan ditangani
langsung (di NAT) tanpa proxy.
Selain itu, saya gak tahu :D

[Wahyu Darmawan]

jadi intinya gini, proxy saya emang ga transparent, jadi setiap client harus setting proxy pada web browsernya.
masalahnya kalau buka mail.yahoo.com, gmai.com, facebook.com (pada saat login) dan semua web yang menggunakan https ga bisa kebuka.
mungkin di sini pernah ada punya masalah yang sama, shareng dunk ilmunya

terimakasih all atas masukkanya

Ooo... jadi maksudnya sama dengan saya yah?? :P
Klo gitu gak selalu harus transparent proxy nya klo mo buka HTTPS yah (klo gak salah siiiihh...)? ;-P
Anyway, coba dilihat konfigurasi di firewall, apakah untuk HTTPS diallow atau tidak. Udah gitu error message yang nongol di browser client itu kyk gimana? Abis itu coba dipaste access.log squidnya dunk biar temen2 disini bisa bantu.
Thanks.

Rgds,

[zahris noorzein]

kalau squid jalan di mode non transparent jadi emang ndak butuh port forwarding di iptables, jadi port yg digunakan di set manual di squid.conf CMIIW.

btw apa kabar pak anton ^^

--
http://www.dedoimedo.com/computers/linux-wrong-reasons.html
--Don't use Linux for the wrong reasons

[zahris noorzein]

Pada 28 Oktober 2009 14:01, zahris noorzein <noor...@gmail.com> menulis:

kalau squid jalan di mode non transparent jadi emang ndak butuh port forwarding di iptables, jadi port yg digunakan di set manual di squid.conf CMIIW.

btw apa kabar pak anton ^^

oh iya dan juga settingan proxy di browser atau di environment proxy harus di set manual..

[Anton Rahmadi]

> oh iya dan juga settingan proxy di browser atau di environment proxy harus
> di set manual..

Cape :D
Tapi menurut yang ini: http://www.uniforum.chi.il.us/slides/squid/UniForum-Squid.ppt
malah lebih baik dari pada membebani routing :D

much of the OOT
> --http://www.dedoimedo.com/computers/linux-wrong-reasons.html

> --Don't use Linux for the wrong reasons

Impressing girls (men only) .... wow!

> btw apa kabar pak anton ^^

Let's do crazy stuff again... {smile}
EOT

[zahris noorzein]

port 443 kan emang port https.. yg di ubuntugeeks eth0 emang yg menuju ISP supaya bisa di filter atau cache ke client
 
--

[Rizal suryana]

2009/10/28 Wahyu Darmawan <wahyu.d...@gmail.com>

kalau di kantor saya ga bisa transparent proxy justru kalau ga pake proxy malah ga bisa sekali ngenet. itu sengaja saya lakukan supaya ga terlalu mudah untuk di hack orang, soalnya di kantor ada hotspot-nya