Bonjour,
Je viens d'arriver dans une boite avec un ipcop installé. Je connaissais pas trop mais apres analyse intensive :
l'install semble propre et c'est du basique. Pas d'add on à priori et utilisation proxy simple et dhcp..point barre
Mais les users sortent sans bleme vers les sites en http (80) mais vers les sites en https (443) ça ne passe pas.
A savoir : si on passe directement par le routeur, donc qu'on s'affranchit d'ipcop l'https marche tres bien...
Pourriez vous me dire les fichiers que je devrais verifier dans la config d'ipcop pour voir d'ou vient le probleme ? J'ai deja verifié acl et squid.conf mais le fichier semble identique a celui d'apres premiere install...
version ipcop 1.4.15
merci
[RESOLU]probleme sites en http marchent,pas ceux en https
Modérateur: modos Ixus
26 messages
• Page 1 sur 2 • 1, 2
[RESOLU]probleme sites en http marchent,pas ceux en https
par atreides64 » 18 Juin 2007 17:56
Dernière édition par atreides64 le 12 Juil 2007 18:26, édité 1 fois au total.
- atreides64
- Quartier Maître
- Messages: 12
- Inscrit le: 18 Juin 2007 17:47
par Dfalm » 18 Juin 2007 19:21
Bonjour,
> Mais les users sortent sans bleme vers les sites en http (80) mais vers les sites en https (443) ça ne passe pas.
Ca veut dire quoi ?? "ca marche pas" ??
Il y a un message d'erreur explicite ? un time out ? de l'impatience de l'utilisateur ?
Que disent les logs ??
/var/log/squid/access.log
Tu vois passer les connexions ?
Une même site en HTTP passe ? mais lorsque tu veux initialiser une connexion sécurisé ça fait quoi / ca ne fait pas quoi ?
> Mais les users sortent sans bleme vers les sites en http (80) mais vers les sites en https (443) ça ne passe pas.
Ca veut dire quoi ?? "ca marche pas" ??
Il y a un message d'erreur explicite ? un time out ? de l'impatience de l'utilisateur ?
Que disent les logs ??
/var/log/squid/access.log
Tu vois passer les connexions ?
Une même site en HTTP passe ? mais lorsque tu veux initialiser une connexion sécurisé ça fait quoi / ca ne fait pas quoi ?
Je ne crois pas avoir fais trop de fautes, mais si vous en trouvez n'hésitez pas à le signaler.
Il n'y a rien de pire que de ne pas lire ni écrire dans la même langue
Il n'y a rien de pire que de ne pas lire ni écrire dans la même langue
- Dfalm
- Second Maître
- Messages: 26
- Inscrit le: 07 Juin 2007 14:18
- Localisation: Rambouillet A ra178-1
par atreides64 » 19 Juin 2007 14:47
Bonjour et merci de prendre le temps de me repondre
ça marche pas ça veut dire...ça marche pas. = time out
Et en http ça passe = le site apparait
Je ne vois pas passer les requetes https dans dans acces.log
mais par contre je les vois passer dans le journal du pare feu dans l'interface web. Cela signifie t-il que les requetes https sont bloquées. Voici :
Heure Chaîne Interface Proto Source Port source Destination Port destination
14:44:51 NEW not SYN? eth0 TCP 192.168.64.17 1799 ::::: 84.53.141.54 443(HTTPS)
voilou
ça marche pas ça veut dire...ça marche pas. = time out
Et en http ça passe = le site apparait
Je ne vois pas passer les requetes https dans dans acces.log
mais par contre je les vois passer dans le journal du pare feu dans l'interface web. Cela signifie t-il que les requetes https sont bloquées. Voici :
Heure Chaîne Interface Proto Source Port source Destination Port destination
14:44:51 NEW not SYN? eth0 TCP 192.168.64.17 1799 ::::: 84.53.141.54 443(HTTPS)
voilou
- atreides64
- Quartier Maître
- Messages: 12
- Inscrit le: 18 Juin 2007 17:47
par Pico10 » 19 Juin 2007 15:53
atreides64 a écrit:Heure Chaîne Interface Proto Source Port source Destination Port destination
14:44:51 NEW not SYN? eth0 TCP 192.168.64.17 1799 ::::: 84.53.141.54 443(HTTPS)
si je me trompe pas, NEW not SYN? c'est pas forcément que c'est bloqué. C'est bloqué quand c'est STOP non ?
edit: enfin l'inverse, c'est STOP quand c'est bloqué non ?
Un programme ne fait jamais ce qu'on veut mais ce qu'on lui demande de faire
-
Pico10 - Major
- Messages: 85
- Inscrit le: 11 Avr 2005 10:19
par tomtom » 19 Juin 2007 16:03
NEW not SYN, ca veut dire que IPCop a bloqué un paquet car l'initilaisation de la session TCP ne s'est pas faite correctement.
En général, ça veut dire que le ACK s'est paumé quelquepart et n'est pas passé par IPCop pour arriver jusqu'à la station.
Il va falloir que tu décrives plus ton architecture (schéma, adresses, routeurs, etc.) et les configurations (utilisation du proxy par les clients, pour ke HTTP, pour le HTTPS? en transparent ?) pour qu'on puisse t'aider... Clairement, il y a comme un truc qui cloche !
t.
En général, ça veut dire que le ACK s'est paumé quelquepart et n'est pas passé par IPCop pour arriver jusqu'à la station.
Il va falloir que tu décrives plus ton architecture (schéma, adresses, routeurs, etc.) et les configurations (utilisation du proxy par les clients, pour ke HTTP, pour le HTTPS? en transparent ?) pour qu'on puisse t'aider... Clairement, il y a comme un truc qui cloche !
t.
One hundred thousand lemmings can't be wrong...
-
tomtom - Amiral
- Messages: 6035
- Inscrit le: 26 Avr 2002 00:00
- Localisation: Paris
par atreides64 » 20 Juin 2007 08:52
merci a vous pour vos recherches. Le proxy travaille en transparent. Je vais chercher au regard de vos analyses, essayer de voir pourquoi le https ne prend pas le bon chemin...je reviendrais vous dire ou j'en suis tres vite.
- atreides64
- Quartier Maître
- Messages: 12
- Inscrit le: 18 Juin 2007 17:47
par atreides64 » 20 Juin 2007 10:19
Voici le squid.conf :
acl all src 0.0.0.0/0.0.0.0
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 3128 # Squid port (for icons)
acl IPCop_http port 81
acl IPCop_https port 445
acl IPCop_ips dst 192.168.64.209
acl IPCop_networks src 192.168.64.0/255.255.255.0
acl no_proxy_dst dst 0/32
acl CONNECT method CONNECT
##Access to squid:
#local machine, no restriction
http_access allow localhost
#GUI admin if local machine connects
http_access allow IPCop_ips IPCop_networks IPCop_http
http_access allow CONNECT IPCop_ips IPCop_networks IPCop_https
#Deny not web services
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
#Finally allow IPCop_networks clients
http_access allow IPCop_networks !no_proxy_dst
http_access deny all
maximum_object_size 40960 KB
acl all src 0.0.0.0/0.0.0.0
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 3128 # Squid port (for icons)
acl IPCop_http port 81
acl IPCop_https port 445
acl IPCop_ips dst 192.168.64.209
acl IPCop_networks src 192.168.64.0/255.255.255.0
acl no_proxy_dst dst 0/32
acl CONNECT method CONNECT
##Access to squid:
#local machine, no restriction
http_access allow localhost
#GUI admin if local machine connects
http_access allow IPCop_ips IPCop_networks IPCop_http
http_access allow CONNECT IPCop_ips IPCop_networks IPCop_https
#Deny not web services
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
#Finally allow IPCop_networks clients
http_access allow IPCop_networks !no_proxy_dst
http_access deny all
maximum_object_size 40960 KB
- atreides64
- Quartier Maître
- Messages: 12
- Inscrit le: 18 Juin 2007 17:47
par atreides64 » 20 Juin 2007 10:31
un autre petit point, meme si peut etre rien a voir :
J'avais cru comprendre que les modifs devaient etre effectuées dans acl, puis suite a un restartsquid les modifs etaient propagées à squid.conf.
Ce n'est pas le cas chez moi. Les modifs effectuées dans acl ne sont pas repercutées suite a un restartsquid vers squid.conf. Mais peut etre ai je mal compris. Voilou
J'avais cru comprendre que les modifs devaient etre effectuées dans acl, puis suite a un restartsquid les modifs etaient propagées à squid.conf.
Ce n'est pas le cas chez moi. Les modifs effectuées dans acl ne sont pas repercutées suite a un restartsquid vers squid.conf. Mais peut etre ai je mal compris. Voilou
- atreides64
- Quartier Maître
- Messages: 12
- Inscrit le: 18 Juin 2007 17:47
par The Transporter » 20 Juin 2007 10:37
Peut on faire un proxy avec du https ?
Je pensais que https avait été créé et pensé afin que des attaque 'man in the middle' ne soit pas possible.
Moi dès que je vais sur un site https, il ne passe pas par le proxy... et je n'ai rien dans les logs... pour cela j'ai du faire une règle BlockOutTraffic pour le port 443.
Je pensais que https avait été créé et pensé afin que des attaque 'man in the middle' ne soit pas possible.
Moi dès que je vais sur un site https, il ne passe pas par le proxy... et je n'ai rien dans les logs... pour cela j'ai du faire une règle BlockOutTraffic pour le port 443.
-Pol-
N'OUBLIEZ PAS D'AJOUTER [RESOLU] DANS LE TITRE DE VOTRE PREMIER MESSAGE SI CELUI CI EST CLOS !!!!!!!!!!!!!
N'OUBLIEZ PAS D'AJOUTER [RESOLU] DANS LE TITRE DE VOTRE PREMIER MESSAGE SI CELUI CI EST CLOS !!!!!!!!!!!!!
- The Transporter
- Premier-Maître
- Messages: 62
- Inscrit le: 13 Oct 2005 10:11
- Localisation: Belgique > Hainaut > Mons
par tomtom » 20 Juin 2007 18:27
Oui, on peut...
le proxy se copntente alors de faire un "CONNECT" (relais TCP).
C'est l'objet de la directive "AllowConnect" qui semble OK.
Mais dans le cadre du proxy transparent, je ne sais pas comment ça marche sur IPCop, a priori sans proxy....
t.
le proxy se copntente alors de faire un "CONNECT" (relais TCP).
C'est l'objet de la directive "AllowConnect" qui semble OK.
Mais dans le cadre du proxy transparent, je ne sais pas comment ça marche sur IPCop, a priori sans proxy....
t.
One hundred thousand lemmings can't be wrong...
-
tomtom - Amiral
- Messages: 6035
- Inscrit le: 26 Avr 2002 00:00
- Localisation: Paris
par atreides64 » 21 Juin 2007 09:04
Encore une fois merci de vos reponses.
Afin de pallier a mon probleme, et souhaitant garder le proxy en transparent,
comment faire pour ne plus faire passer le https par le proxy ? Si vous pouviez m'indiquer les modifs a effectuer dans le squid.conf ou ailleurs ?
Apres une visite plus en profondeur du forum, j'ai vu que l'https par un proxy transparent, c'est NOT POSSIBLE.
Dont acte.
Quel est donc le moyen pour dire auw requetes en 443 de ne pas passer par le squid ???
Afin de pallier a mon probleme, et souhaitant garder le proxy en transparent,
comment faire pour ne plus faire passer le https par le proxy ? Si vous pouviez m'indiquer les modifs a effectuer dans le squid.conf ou ailleurs ?
Apres une visite plus en profondeur du forum, j'ai vu que l'https par un proxy transparent, c'est NOT POSSIBLE.
Dont acte.
Quel est donc le moyen pour dire auw requetes en 443 de ne pas passer par le squid ???
Dernière édition par atreides64 le 21 Juin 2007 14:21, édité 1 fois au total.
- atreides64
- Quartier Maître
- Messages: 12
- Inscrit le: 18 Juin 2007 17:47
par Gesp » 21 Juin 2007 13:41
J'avais cru comprendre que les modifs devaient etre effectuées dans acl, puis suite a un restartsquid les modifs etaient propagées à squid.conf.
Les modifications devraient être effectué dans acl uniquement si elles ne font pas partie des réglages supportés par l'interface web. Et c'est l'utilisation de l'interface web qui propage à squid.conf le contenu de acl+données de l'interface web.
Si tu n'utilises pas l'interface web, squid.conf reste inchangé.
-
Gesp - Amiral
- Messages: 4481
- Inscrit le: 29 Déc 2002 01:00
26 messages
• Page 1 sur 2 • 1, 2
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Google [Bot] et 1 invité