Erro em proxy transparente com HTTPS
131 views
Skip to first unread message
Schneider1
Apr 15, 2009, 3:25:48 PM4/15/09
to TcheLinux
Boa tarde!
Estou encontrando problema em redirecionar a porta 443 (Https) no
Squid 3 (Suse) com proxy transparente.
O trafego da porta 80 e redirecionado normalmente, mas o Https so
funciona se não passar pelo Squid.
Quando redireciono no firewall a porta 443 aparece o seguinte erro nos
logs.:
"10.40.3.10 NONE/400 1591 NONE error:unsupported-request-method -
NONE/- text/html"
A http_port é 3128 (padrao).
Agradeço qualquer dica.
Evandro Schneider
Estou encontrando problema em redirecionar a porta 443 (Https) no
Squid 3 (Suse) com proxy transparente.
O trafego da porta 80 e redirecionado normalmente, mas o Https so
funciona se não passar pelo Squid.
Quando redireciono no firewall a porta 443 aparece o seguinte erro nos
logs.:
"10.40.3.10 NONE/400 1591 NONE error:unsupported-request-method -
NONE/- text/html"
A http_port é 3128 (padrao).
Agradeço qualquer dica.
Evandro Schneider
Jeronimo Zucco
Apr 15, 2009, 3:39:06 PM4/15/09
to Tche...@googlegroups.com
2009/4/15 Schneider1 <evandro....@gmail.com>:
Proxy transparente não funciona para https. Ou você deve liberar a
porta 443 para acesso direto no seu firewall ou você deve marcar no
navegador para usar proxy para https, que é o recomendável, já que aí
poderá aplicar seus filtros.
--
Jeronimo Zucco
LPIC-1 Linux Professional Institute Certified
http://jczucco.blogspot.com
elgio
Apr 16, 2009, 7:17:10 AM4/16/09
to TcheLinux
Exato!
Não funciona.
Assim como também não funciona autenticação sob proxy transparente.
Proxy transparente é legal quando não é comodo configurar em todas
máquinas o seu navegador.
Contudo, proxy NÃO TRANSPARENTE (configurado no navegador) tem algumas
vantagens legais:
a) poder usar para HTTPS: e o filtro de conteúdo funciona para a URL,
pois a URG (GET) não vai criptografada até o proxy. Já os dados SIM.
Então, mesmo com proxy, esquece filtrar algo por conteúdo.
b) autenticação via proxy
c) clientes não precisam de DNS: muita gente não se dá conta disto,
mas com proxy, o navegador pega a URL e simplesmente manda para o ip
do Proxy. Quem precisa ter DNS é o proxy, o cliente NÃO. Claro,
supondo que só se dê HTTP(S) para o cliente. Outros serviços não
proxiáveis, como POPS, SMTPS, MSN, SSH, etc, precisarão de DNS.
On 15 abr, 16:39, Jeronimo Zucco <jczu...@gmail.com> wrote:
> 2009/4/15 Schneider1 <evandro.schnei...@gmail.com>:
Não funciona.
Assim como também não funciona autenticação sob proxy transparente.
Proxy transparente é legal quando não é comodo configurar em todas
máquinas o seu navegador.
Contudo, proxy NÃO TRANSPARENTE (configurado no navegador) tem algumas
vantagens legais:
a) poder usar para HTTPS: e o filtro de conteúdo funciona para a URL,
pois a URG (GET) não vai criptografada até o proxy. Já os dados SIM.
Então, mesmo com proxy, esquece filtrar algo por conteúdo.
b) autenticação via proxy
c) clientes não precisam de DNS: muita gente não se dá conta disto,
mas com proxy, o navegador pega a URL e simplesmente manda para o ip
do Proxy. Quem precisa ter DNS é o proxy, o cliente NÃO. Claro,
supondo que só se dê HTTP(S) para o cliente. Outros serviços não
proxiáveis, como POPS, SMTPS, MSN, SSH, etc, precisarão de DNS.
On 15 abr, 16:39, Jeronimo Zucco <jczu...@gmail.com> wrote:
> 2009/4/15 Schneider1 <evandro.schnei...@gmail.com>:
Gabriel Stein
Apr 16, 2009, 7:38:58 AM4/16/09
to Tche...@googlegroups.com
E além do mais, as máquinas cliente são windows ou linux? Se for linux, agora é meio tarde, mas dá pra personalizar a instalação do openSUSE, usando o autoyast.
Se for windão, dá pra usar policies e aplicar em todas as máquinas através do regedit.
Abraço,
--
/\
Gabriel Stein
gabrie...@gmail.com
+55 51 9953 1337
Se for windão, dá pra usar policies e aplicar em todas as máquinas através do regedit.
Abraço,
2009/4/16 elgio <elg...@gmail.com>
--
/\
Gabriel Stein
gabrie...@gmail.com
+55 51 9953 1337
evandro.schneider
Apr 16, 2009, 9:18:51 AM4/16/09
to TcheLinux, TcheLinux
Bom dia!
As estações são Linux Redhat e Windows 2000/XP/Vista (meio a meio).
Estou testando a configuração manual por enquanto.
Obrigado
Evandro Schneider
Reply all
Reply to author
Forward
0 new messages