[solved]ssl через прозрачный прокси.

[ds]

доброго времени...
есть сеть в которой интернет предоставляется через вышестоящюю проксю 83.хх.хх.хх:8080 с авторизацией.
то есть в zentyal (3.3.7) прописываю логин и пароль для авторизации и все отлично работает по 3128 порту. (все ходят в интернет)

решил поднять прозрачный прокси в своей сети и  затуп...
обычный трафик ходит (как и должно быть) но с ssl - беда, не пускает squid через себя (так как атака что-то там посередине)

как быть в данной ситуации?
смотрю в сторону ssl_bump, но это лезть во внутрянку... через веб морду есть возможность разрешить ситуацию?
-----------------------------
извиняюсь голосование, само вышло

[xcod]

если я вас правильно понял
то вам нужно zentyal указать в качестве шлюза и открыть на нем 443 порт

[ds]

zentyal указывается что он шлюз через dhcp

если вы предлагаете в браузере прописывать какие то настройки, то какой же это прозрачный прокси??


ну и открою я на zentyal 443 порт, что дальше делать?
куда заворачивать трафик? на порт сквида? на вышестоящий прокси?

[xcod]

вышестоящий прокси указан для zentyal в качестве шлюза?
вот на него и будет дальше заворачиваться трафик

[ds]

вышестоящий прокси указан для zentyal в качестве шлюза?

но разве открытие порта и заворот на вышестоящий прокси не будут идти в обход моего местного прокси... и то есть весь трафик завернутый на вышестоящий прокси будет требовать авторизации?? так?
если да то смысла в таком нетуююю так как свкид ставил наоборот чтобы убрать запросы авторизации с вышестоящего прокси

[xcod]

вы писал что ваш zentyal авторизуется на вышестоящем прокси(шлюзе), этого достаточно
а дальше необходимый трафик (https) который идёт в обход вашего сквида прокси сервера, маршрутизируется на вышестоящий прокси (шлюз)
и авторизация для пользователей на вышестоящем не нужна, т.к. zentyal авторизован, он же раздает интернет
вот, как то так
вощем нужно пробовать

[ds]

сеть в которой интернет предоставляется через вышестоящюю проксю 83.хх.хх.хх:8080 с авторизацией.
то есть в zentyal (3.3.7) прописываю логин и пароль для авторизации и все отлично работает по 3128 порту. (все ходят в интернет)

возможно не так выразился.
в Z прописываю логин и пароль в >СЕТЬ>ШЛЮЗ>ПРОКСИ (то есть это наналогично приписыванию
cache_peer 85.хх.хх.хх parent 8080 0 login=user:passwords proxy-only default в сквиде)
сам Z на внешней прокси никак не аторизируется

[xcod]

ну выж щас сами пишите что в Z прописываете логин и пароль
значит по этим логин и пароль он и авторизуется

и тут же пишите "сам Z на внешней прокси никак не аторизируется"

[ds]

ну выж щас сами пишите что в Z прописываете логин и пароль
значит по этим логин и пароль он и авторизуется -
---------------------------------
это, как я понимаю, авторизация локального прокси на вышестоящем проксе (СЕТЬ>ШЛЮЗ>ПРОКСИ).. чтобы пользователи локальной сети пользовались интернетом без запросов авторизации вышестоящего прокси (через непрозрачный прокси)..логично же

 сам Z на внешней прокси никак не авторизируется - не авторизируется в плане в том плане что вышестоящий прокси никак не знает о моем z.

вы советовали, при использовании мною прозрачного прокси, заворачивать весь ssl трафик (то есть трафик локальный не будет проходить через мой прокси на z) на вышестоящий прокси, а так как вышестоящий прокси ничего не знает обо мне - будет запрашивать авторизации же..логично или нет?

[xcod]

думаю вы немного не до понимаете в понятии маршрутизации трафика
ваши пользователи ничего не знают о вышестоящем прокси (шлюзе)
для этого у них есть zentyal который раздает ip адреса а также является шлюзом по умолчанию для них
но ваш zentyal знает о существовании ваших пользователях и о вышестоящем прокси (шлюзе)
на нем настроен прокси сервер squid в прозрачном режиме
все запросы поступающие на порт 80 то есть открытия страницы в браузере пользователя перенаправляются на прокси squid (по умолчанию порт 3128)
далее ваш прокси сервер squid передает на вышестоящий прокси

другое дело обстоит если пользователь пытается открыть https страницу
т.к. прокси сервер squid не проксирует https запросы то ваш zentyal шлюз передает запрос дальше на вышестоящий шлюз
который у вас также является вышестоящим прокси сервером, но squid в этом деле не участвует
и кстати на вышестоящем прокси(шлюзе) должен быть тоже открыт порт 443 для https
авторизацию пользователь на вышестоящем шлюзе(прокси) не должен и не будет проходить
т.к. ваш прокси zentyal уже авторизован
а ваш вышестоящий прокси(шлюз) ничего не знает о ваших пользователях
надеюсь нигде не ошибся и понятно объяснил

[ds]

допустим, чисто гипотетически, что я валенок...

допустим, хотя не уверен, что порт 443 открыт на внешнем прокси

как правильно завернуть трафик из веб морды или через iptables?

[xcod]

вручную ничего делать не нужно
вы при указании в вебморде шлюзов, проксей итд итп
таблица маршрутизации, правила файрвола итд итп изменяется автоматом
для этого и изобрели удобную веб морду
чтобы вы ручками конфиги не правили
у вас на данный момент https страницы не открываются у пользователей?
а если попробовать с zentyal машины?

[ds]

>>у вас на данный момент https страницы не открываются у пользователей?
>>а если попробовать с zentyal машины?
так точно включена галочка прозрачного прокси

на самом Z в настройках сети лисы прописано "юзе систем прокси сеттингс"
если пытатся зайти на гугловские карты, не пускат так как по https
а если в обычный интернет идти - то вылезает запрос авторизации на выщестоящем прокси (moz-proxy://85.xx.xx.xx:8080 требует ввести логин и пароль)

[xcod]

если пытатся зайти на гугловские карты, не пускат так как по https
а если в обычный интернет идти - то вылезает запрос авторизации на выщестоящем прокси (moz-proxy://85.xx.xx.xx:8080 требует ввести логин и пароль)

и если авторизоваться, то в интернет пускает?
и на https сайты тоже или нет?

[ds]

коллега давайте закроем этот безрезультатный топик.