Diese Website existiert nur weil wir Werbung mit AdSense ausliefern.
Bitte den AdBlocker daher auf dieser Website ausschalten! Danke.

https und ssl ?

Alles rund um das Internet, Internet-Anwendungen (E-Mail, Surfen, Cloud usw.) und das Einrichten von Netzwerken einschl. VPN unter Linux

Moderator: Moderatoren

Benutzeravatar
torbla
Member
Member
Beiträge: 183
Registriert: 31. Aug 2004, 13:27
Wohnort: Mönchengladbach

https und ssl ?

Beitrag von torbla »

Hallo Leute ich habe einen Proxy unter 9.1 laufen der rennt auch wie Sau ;-) nur eins mag er nicht SSL und https habe leider auch keinen passenden Eintrag gefunden. Also ich benutze keine Firewall und Masquarde funktionier ich kann auch an dem Proxy vorbei Serven ich möchtze aber auch die anderen Seiten über Proxy nutzen. Hier meine Configuration

cache_mem 16 MB
cache_dir ufs /var/cache/squid 100 16 256

http_port 8080

hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY

acl all src 0.0.0.0/0.0.0.0
acl localhost src 127.0.0.1/255.255.255.255
acl localnet src 192.168.2.0/255.255.255.0
acl manager proto cache_objekt

acl SSL_ports port 443 563
acl Safe_ports port 80
acl Safe_ports port 21
acl Safe_ports port 443 563
acl Safe_ports port 70
acl Safe_ports port 210
acl Safe_Ports port 1025-65535
acl Safe_Ports port 280
acl Safe_Ports port 488
acl Safe_Ports port 591
acl Safe_Ports port 777

acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access allow !Safe_ports
http_access allow CONNECT !SSL_ports
http_access allow localhost
http_access allow localnet
http_access allow all

http_reply_access allow all

icp_access allow localnet
icp_access deny all

coredump_dir /var/cache/squid

Code: Alles auswählen


Ich hoffe Ihr könnt mir helfen
ES IST LEICHTER EIN ATOM ZU SPALTEN, ALS VORURTEILE ABZUBAUEN (Albert Einstein)
Benutzeravatar
guzmamb6
Member
Member
Beiträge: 66
Registriert: 4. Jan 2005, 11:48
Wohnort: 51° 27' nördliche Breite, 7° 1' östliche Länge
Kontaktdaten:

Mal mit meiner Config verglichen

Beitrag von guzmamb6 »

Ich habbe mal deine Daten mit meiner Config verglichen.
Das steht bei dir (Zitat1):
http_access allow !Safe_ports
http_access allow CONNECT !SSL_ports
Und bei mir (Code1):

Code: Alles auswählen

# Deny requests to unknown ports
http_access deny !Safe_ports
# Deny CONNECT to other than SSL ports
http_access deny CONNECT !SSL_ports
Insbesondere die letze Zeile ist für den SSL Zugang wichtig.
Wenn ich mal deine Code-Zeile in humanreadable Format übersetzen darf: Erlaube den Kontakt mit Ports, die NICHT in SSL_ports eingetragen sind (das '!' ist eine negation der Liste).

Leider folgt bei dir keine Zeile, die den Kontakt auf diesen Ports (SSL u.a.) erlaubt.

Besser (und sicherer und richtig) ist aber meine Zeile:
Verbiete den Kontakt zu Ports die NICHT in SSL_ports aufgeführt sind.

Da die SSL Ports in der o.g. Gruppe aufgeführt sind, wird somit der Kontakt über ssl erlaubt.

Ändere also die Zitat1-Zeilen um in Code1-Zeilen und es sollte funktionieren.

Michael
Habt Geduld und Nachsehen mit mir, ich schreibe nicht hauptberuflich Artikel.
Vorteil von Linux: Sie können jetzt Wimdoof wegschmeissen.
Benutzeravatar
torbla
Member
Member
Beiträge: 183
Registriert: 31. Aug 2004, 13:27
Wohnort: Mönchengladbach

Beitrag von torbla »

Hallo vielen Dank aber es funktoiniert immer noch nicht habe die Eingabe geendert in deny jetzt kommt immer von squid

Dies ist kein regestriertes Protocol ???

Was kann der Fehler sein?
ES IST LEICHTER EIN ATOM ZU SPALTEN, ALS VORURTEILE ABZUBAUEN (Albert Einstein)
Benutzeravatar
guzmamb6
Member
Member
Beiträge: 66
Registriert: 4. Jan 2005, 11:48
Wohnort: 51° 27' nördliche Breite, 7° 1' östliche Länge
Kontaktdaten:

Pffffff...

Beitrag von guzmamb6 »

Squid gibt Fehlermeldungen auf Deutsch aus ?
Dies ist kein regestriertes Protocol ???
Hmm, da kann ich nicht einmal raten wo der Fehler ist.

Hier mal meine betreffenden Zeilen, die funktionieren seit 3 Jahren:

Code: Alles auswählen

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
#Unser Netzwerk
acl localnet src xxx.xxx.xxx.x/255.255.255.0
acl SSL_ports port 443 563
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443 563     # https, snews
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl Safe_ports port 901         # SWAT

acl purge method PURGE
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
# Only allow purge requests from localhost
http_access allow purge localhost
http_access deny purge
# Deny requests to unknown ports
http_access deny !Safe_ports
# Deny CONNECT to other than SSL ports
http_access deny CONNECT !SSL_ports
#
http_access allow localhost

#Unser Netzwerk freigeben
http_access allow localnet 

# And finally deny all other access to this proxy
http_access deny all
Wie gesagt, keine Probleme.
Michael
PS: Etwas weniger Tippfehler machen deine Angaben etwas verständlicher.
Habt Geduld und Nachsehen mit mir, ich schreibe nicht hauptberuflich Artikel.
Vorteil von Linux: Sie können jetzt Wimdoof wegschmeissen.
styyxx
Member
Member
Beiträge: 61
Registriert: 12. Okt 2004, 14:43

Beitrag von styyxx »

Die kann man sich auch schenken

http_access allow localhost
http_access allow localnet

wenn dann ein

http_access allow all

kommt.
Benutzeravatar
guzmamb6
Member
Member
Beiträge: 66
Registriert: 4. Jan 2005, 11:48
Wohnort: 51° 27' nördliche Breite, 7° 1' östliche Länge
Kontaktdaten:

In privaten Netzen ja, bei mir ganz und gar nicht.

Beitrag von guzmamb6 »

Die kann man sich auch schenken
http_access allow localhost
http_access allow localnet
wenn dann ein
http_access allow all
kommt.
Nicht ganz: Dann können ALLE Rechner (auch aus dem Internet oder anderen Netzen) den Proxy nutzen. Mit den beiden Zeilen

Code: Alles auswählen

http_access allow localhost
http_access allow localnet
gebe ich explizit Clients frei.
--Ergaenzung--
Mit

Code: Alles auswählen

http_access deny all
verhindere ich dann den Zugriff anderer Clients (Siehe hier).
----
Das mag in einem privaten Netz nicht so wichtig sein (da fehlendes Routing) aber in einem Firmennetz, wo neben dem Proxy auch andere Dienste auf dem Server installiert sind (und dieser somit eine 'echte' IP hat) ist das schon sehr wichtig.
Z.B. kann man über unseren Proxy bestimmte hausinterne Seiten erreichen. Das wäre fatal, wenn diese internen Infos auch über das Internet erreichbar wären.

Michael
Zuletzt geändert von guzmamb6 am 7. Mär 2005, 12:17, insgesamt 2-mal geändert.
Habt Geduld und Nachsehen mit mir, ich schreibe nicht hauptberuflich Artikel.
Vorteil von Linux: Sie können jetzt Wimdoof wegschmeissen.
styyxx
Member
Member
Beiträge: 61
Registriert: 12. Okt 2004, 14:43

Beitrag von styyxx »

Hallo,


natürlich gebe ich mit den acl's localhost und localnet explizite Clients frei, doch mit der acl all gebe ich allle frei. Wenn also für einen Client die acl localhost und localnet nicht matched, matched auf jedenfall die all. Somit sind die beiden acl's vor der all nutzlos, zumindest in dieser config. Sinn würde ein http_access deny all machen oder er läßt sie ganz weg.
BTW auf einem Proxy würde ich keine weiteren Dienste installieren, sowas wie ssh natürlich ausgenommen. Das aus dem Internet niemand Zugriff auf den Proxy hat löst man ja sowieso mit einer Firewall.

Grüße
styyxx
Benutzeravatar
guzmamb6
Member
Member
Beiträge: 66
Registriert: 4. Jan 2005, 11:48
Wohnort: 51° 27' nördliche Breite, 7° 1' östliche Länge
Kontaktdaten:

Ohh, korrekt. Tippfehler ..

Beitrag von guzmamb6 »

Da hat er Recht:

Code: Alles auswählen

http_access deny all
So stehts auch bei uns in der Config.
(Wer lesen kann ist klar im Vorteil)

Die anderen Dienste ...
Die Zusammensetzung bei uns ist etwas kompliziert, ich werde das hier nicht ausführen.
Aber Sicher ist Sicher.
Michael
Habt Geduld und Nachsehen mit mir, ich schreibe nicht hauptberuflich Artikel.
Vorteil von Linux: Sie können jetzt Wimdoof wegschmeissen.
housemei$ter
Newbie
Newbie
Beiträge: 10
Registriert: 26. Mai 2005, 08:16
Kontaktdaten:

Beitrag von housemei$ter »

Hi

Ich hab das selbe Problem. Bei mir ist funktioniert seid neustem die https verbindung nicht mehr. Es kommt im Browser immer diese Fehlermeldung:

Code: Alles auswählen

Die Verbindung zum Server konnte nicht hergestellt werden.

Die von Ihnen aufgerufene Adresse, https://testseite.de, ist im Moment nicht erreichbar. Bitte überprüfen Sie die korrekte Schreibweise der Webadresse (URL) und versuchen Sie dann die Seite neu zu laden.
Hab meine mit der oben angegebenen Config verglichen und bei mir steht das selbe drin aber es funktioniert trotzdem nicht.
Kann mir jemand helfen? Wär echt nett, danke.

ICQ : 177674440
Wir trampeln durchs Getreide,
Wir trampeln durch die Saat.
Hurra wir verblöden, für uns bezahlt der Staat!
Benutzeravatar
guzmamb6
Member
Member
Beiträge: 66
Registriert: 4. Jan 2005, 11:48
Wohnort: 51° 27' nördliche Breite, 7° 1' östliche Länge
Kontaktdaten:

Hallo Hausmeister :-)

Beitrag von guzmamb6 »

Netter Name..
housemei$ter hat geschrieben:

Code: Alles auswählen

Die Verbindung zum Server konnte nicht hergestellt werden.

Die von Ihnen aufgerufene Adresse, https://testseite.de, ist im Moment nicht erreichbar. Bitte überprüfen Sie die korrekte Schreibweise der Webadresse (URL) und versuchen Sie dann die Seite neu zu laden.
Ich gehe davon aus, das es vorher funktioniert hat, und das du es mit diversen https Seiten ausprobiert hast.
Da es nicht einfach ist den Grund zu finden würde ich mich über ein Blick in deine config Datei freuen um dir da weiter zu helfen. Entweder kannst du die Konfig Datei hier im Forum veröffentlichen oder per PM mir senden, dann sehen wir weiter.

OK?
Michael
Habt Geduld und Nachsehen mit mir, ich schreibe nicht hauptberuflich Artikel.
Vorteil von Linux: Sie können jetzt Wimdoof wegschmeissen.
housemei$ter
Newbie
Newbie
Beiträge: 10
Registriert: 26. Mai 2005, 08:16
Kontaktdaten:

Beitrag von housemei$ter »

Danke (für den Namen)

Gibt es ein befehl wie bei Postfix "postconf" wo man nur die
Parameter ohne jeglichen Schnickschnack bekommt und dann posten kann ?


Tobias
Wir trampeln durchs Getreide,
Wir trampeln durch die Saat.
Hurra wir verblöden, für uns bezahlt der Staat!
Benutzeravatar
guzmamb6
Member
Member
Beiträge: 66
Registriert: 4. Jan 2005, 11:48
Wohnort: 51° 27' nördliche Breite, 7° 1' östliche Länge
Kontaktdaten:

Mir nicht bekannt

Beitrag von guzmamb6 »

Ein solch ähnlicher Befehl ist mir nicht bekannt.
Da wirst du nicht um das Copy/Paste mit deine config-Datei herumkommen, oder?
Michael
Habt Geduld und Nachsehen mit mir, ich schreibe nicht hauptberuflich Artikel.
Vorteil von Linux: Sie können jetzt Wimdoof wegschmeissen.
housemei$ter
Newbie
Newbie
Beiträge: 10
Registriert: 26. Mai 2005, 08:16
Kontaktdaten:

Beitrag von housemei$ter »

Eigentlich schade das es nich für jedes Program so ein Befehl gibt, praktisch wär es ja !
Hier sind hoff ich mal alle Parameter die du brauchst.

Code: Alles auswählen

acl javascript rep_mime_type -i ^application/x-javascript$

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563
acl Safe_ports port 80
acl Safe_ports port 21
acl Safe_ports port 443 563
acl Safe_ports port 110
acl Safe_ports port 25
acl Safe_ports port 1025-65535
acl Safe_ports port 280
acl Safe_ports port 488
acl Safe_ports port 591
acl Safe_ports port 777
acl CONNECT method CONNECT
acl password proxy_auth REQUIRED

http_reply_access allow all
icp_access deny gesperrt
icp_access allow all
Der rest sind standard parameter!
Falls was fehlt .. ich füge es dann hinzu !!!

MfG Tobias & Danke
Wir trampeln durchs Getreide,
Wir trampeln durch die Saat.
Hurra wir verblöden, für uns bezahlt der Staat!
Benutzeravatar
guzmamb6
Member
Member
Beiträge: 66
Registriert: 4. Jan 2005, 11:48
Wohnort: 51° 27' nördliche Breite, 7° 1' östliche Länge
Kontaktdaten:

Ok,...

Beitrag von guzmamb6 »

Nun, du hast nur eine Ausschnitt wiedergegeben, hier meine Nachfragen:
Hast du auch die folgenden Zeilen in der Config?

Code: Alles auswählen

acl gesperrt src "<Pfad zur Datei mit Seiten>"
oder
acl gesperrt src <IP/DNS>
http_access deny CONNECT !SSL_ports
[... Am Ende der http_access Angaben]
http_access allow all
Besser wäre es, wenn du noch eine Datei mit Angaben der zugelassenen PCs machen würdest (die Rechner, die Squid nutzen dürfen).
Beispiel für PCs von 192.168.1.10 bis 192.168.1.20:

Code: Alles auswählen

acl erlaubtIP src 192.168.1.10-192.168.1.20
[...]
http_access allow erlaubtIP
http_access deny all
Michael
Habt Geduld und Nachsehen mit mir, ich schreibe nicht hauptberuflich Artikel.
Vorteil von Linux: Sie können jetzt Wimdoof wegschmeissen.
housemei$ter
Newbie
Newbie
Beiträge: 10
Registriert: 26. Mai 2005, 08:16
Kontaktdaten:

Beitrag von housemei$ter »

So wie du es beschrieben hast hab ich keine einträge. :shock:

Aber wir arbeiten auch mit Squid Guard ...
Auf den Proxy zugreifen darf jeder der auch ein Passwort hat.

hmm wasn nu :?:
Wir trampeln durchs Getreide,
Wir trampeln durch die Saat.
Hurra wir verblöden, für uns bezahlt der Staat!
Benutzeravatar
guzmamb6
Member
Member
Beiträge: 66
Registriert: 4. Jan 2005, 11:48
Wohnort: 51° 27' nördliche Breite, 7° 1' östliche Länge
Kontaktdaten:

Nix aber..

Beitrag von guzmamb6 »

Hey, wir arbeiten auch mit SquidGuard und Passwortabfrage.

Das was man wissen muss ist, das beide "Regeln" (von Squid und von SquidGuard) gelten. Und ohne explizite Erlaubnis darf defaultmäsig niemand irgendwas abrufen. (SquidGuard ist im Grunde genommen nur eine fallmäsige Umleitung der angezeigten Seite)
Die Funktion der Passwortabfrage habt Ihr warscheinlich per

Code: Alles auswählen

authenticate_program /usr/lib/squid/pam_auth
eingebunden (oder ähnliche Zeile). Und dies dann per

Code: Alles auswählen

acl pass proxy_auth REQUIRED
http_access allow erlaubtIP pass
eingebunden (die Zeilen stammen aus unserer Config-Datei).
Zur Erklärung der letzen Code-Blocks: Erste Zeile: Die Gruppe "pass" verpflichtet eine Passwortabfrage, zweite Zeile: http Zugriff nur erlaubt für Gruppe "erlaubtIP" mit Passwortabfrage.

Diese Zeilen (oder ähnlich) müssen in deiner Config vorhanden sein, damit das mit der Passwortabfrage für einen http-Zugriff mit Passwortabfrage funktioniert.

Michael
Habt Geduld und Nachsehen mit mir, ich schreibe nicht hauptberuflich Artikel.
Vorteil von Linux: Sie können jetzt Wimdoof wegschmeissen.
Benutzeravatar
crazyrolf
Advanced Hacker
Advanced Hacker
Beiträge: 964
Registriert: 7. Apr 2004, 09:05
Wohnort: Odenthal

Beitrag von crazyrolf »

Gibt es ein befehl wie bei Postfix "postconf" wo man nur die
Parameter ohne jeglichen Schnickschnack bekommt und dann posten kann ?
http://www.linux-club.de/viewtopic.php?t=32648

Bitte!
Gruß crazyrolf
-EX-Moderator-Mail-
housemei$ter
Newbie
Newbie
Beiträge: 10
Registriert: 26. Mai 2005, 08:16
Kontaktdaten:

Beitrag von housemei$ter »

Danke für die viele Mühe und die vielen Erklärungen.

Aber Squid funktioniert ja. Also Passwortabfrage und Internet alles ist Ordnungsgemäß.
Nur https funktioniert nich, leider und ich weis nicht warum.
Hab auch schon rumgegooglet und mehrere Tutorials und Handbücher durch aber ich find
einfach nichts drüber. Kann das von der Firewall geblockt werden?

MfG Tobias
Wir trampeln durchs Getreide,
Wir trampeln durch die Saat.
Hurra wir verblöden, für uns bezahlt der Staat!
housemei$ter
Newbie
Newbie
Beiträge: 10
Registriert: 26. Mai 2005, 08:16
Kontaktdaten:

Beitrag von housemei$ter »

Öhm ja danke, aber postconf funktioniert nur bei Postfix.
von crazyrolf
logo ist ja ein postfix-Befehl aber grep nicht!
Hier sind dann meine Parameter aus der squid.conf

Code: Alles auswählen

http_port 3128
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
emulate_httpd_log on
auth_param ntlm max_challenge_lifetime 2 minutes
auth_param basic program /usr/sbin/pam_auth
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hour
auth_param basic children 5
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern .               0       20%     4320
redirect_program /usr/local/bin/squidGuard
acl javascript rep_mime_type -i ^application/x-javascript$
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563
acl Safe_ports port 80
acl Safe_ports port 21
acl Safe_ports port 443 563
acl Safe_ports port 110
acl Safe_ports port 25
acl Safe_ports port 1025-65535
acl Safe_ports port 280
acl Safe_ports port 488
acl Safe_ports port 591
acl Safe_ports port 777
acl CONNECT method CONNECT
acl password proxy_auth REQUIRED
acl benutzer_raus proxy_auth "/etc/squid/accessDeny.txt"
acl gesperrt dstdomain xxx.com
acl vorBeginn           time 00:00-07:00                # vor dem Untericht
acl fruehstueck         time 08:30-09:00                # die Fruehstueckspause
acl fruehstueck2        time 10:30-10:45                # die zweite Fruehstueckspause
acl mittag              time 12:15-13:00                # die Mittagspause
acl mittag2             time 14:30-14:45                # die Verdauungspause nach dem Mittag
acl nachEnde            time 15:30-23:59                # nach dem Untericht

http_access deny gesperrt
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access allow vorBeginn
http_access allow fruehstueck
http_access allow fruehstueck2
http_access allow mittag
http_access allow mittag2
http_access allow nachEnde
http_access deny gesperrt
http_access allow password !benutzer_raus
http_access deny all
http_reply_access allow all
icp_access deny gesperrt
icp_access allow all
error_directory /usr/share/squid/errors/German
coredump_dir /var/cache/squid
cache_effective_user squid
cache_effective_group nogroup
cache_dir ufs /var/cache/squid 100 16 256
per Befehl : cat squid.conf | grep -v "^#" | grep -v ^$


MfG Tobias & Danke.
Wir trampeln durchs Getreide,
Wir trampeln durch die Saat.
Hurra wir verblöden, für uns bezahlt der Staat!
Benutzeravatar
crazyrolf
Advanced Hacker
Advanced Hacker
Beiträge: 964
Registriert: 7. Apr 2004, 09:05
Wohnort: Odenthal

Beitrag von crazyrolf »

Was mir gerade nur auffällt ist das du diese Ports nicht drin hast.

acl Safe_ports port 70
acl Safe_ports port 210
Gruß crazyrolf
-EX-Moderator-Mail-
Antworten