[~user~]

надо этот порт завернуть на поркси. У меня так правда http протокол
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

[CJ F.A.N.]

это уже сделал.... если ткнуть мордой клиент, точнее веб браузер у клиента, что надо юзать мой прокси, то работает. Но какая же это прозрачность......... Плюс, почему то трафик Lightsquid этот не считает, а мне это ох как нужно.....Ну так что, уважаемые жители форума, есть варианты? Перелопатил весь Гугл, но толком ничего не нашел. Единственное, видал какие то упоминания о каком то TPROXY что-ли. Типа надо там ядро перекомпилить, Кальмара самого перекомпилировать со спец.патчем..... Эти варианты отпадают, так как вмешиваться в стабильный исходник Кальмара не охота..... Оф сайт вроде сообщает, что нельзя. Но! Я лично видел работающий Кальмар, и клиенты подключались к нему прозрачно, без настроек! И при этом хттпс полностью работал, и трафик подсчитывался полностью. Значит можно как-то пошаманить. Помогите, очень прошу. Думаю, не мне одному это интересно

[exo]

Цитата CJ F.A.N.:

Оф сайт вроде сообщает, что нельзя »

и это ограничение не Squid. Это особенность протокола SSL - он предотвращает "человека по середине", каким является squid в режиме "прозрачный"

вот одна из статей где это написано, почти в самом низу.

[~user~]

Что-то я не понял, прозрачный прокси это когда не надо настраивать браузер?

[CJ F.A.N.]

Цитата ~user~:

Что-то я не понял, прозрачный прокси это когда не надо настраивать браузер? »

да, именно!
хорошо. Я как это понял. Если тыкаем браузер носиком, что надобно к проксю обращаться, то Кальмар создает туннель, так? При абсолютном прозрачном проксировании, без указаний настроек в браузере, 443 порт не обслуживается. Вопросов нет, каков он есть-хттпс, пусть таким и останется. Но! как сделать так, чтобы Squid заносил в лог https сайты (следовательно, чтобы lightsquid в отчете указывал все это дело)???и еще вопрос в догонку. Squid раздает клиентам dns специальный. Но, если файрвол настроен:

Код:

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

, то компы, которые выходят в инет с принудительным указанием HTTPS прокси, тоже будут получать этот DNS? И еще в догонку: смогут ли компы, подключенные через явно указанный HTTPS прокси, использовать левые dns ?

exo, и все таки.......... лично видел

Цитата:

работающий Кальмар, и клиенты подключались к нему прозрачно, без настроек! И при этом хттпс полностью работал, и трафик подсчитывался полностью

......... было это сделано одним шаманом сисадмином, с которым не могу связаться...... Я его спрашивал еще давно, вроде он сказал, что ничего в исходниках он не менял, а просто прикрутил какую-то софтину еще, которая, вспомнить бы.....подменяет сертификат что-ли........что-то в этом роде

[exo]

Цитата CJ F.A.N.:

И еще в догонку: смогут ли компы, подключенные через явно указанный HTTPS прокси, использовать левые dns »

насколько я знаю, и по опыту было - когда используется прокси - шлюз по умолчанию и днс в сетевых настройках игнорируется.

Цитата CJ F.A.N.:

было это сделано одним шаманом сисадмином, с которым не могу связаться...... »

вы уж свяжитесь. мне интересно, что он там сделал.

Цитата CJ F.A.N.:

Если тыкаем браузер носиком, что надобно к проксю обращаться, то Кальмар создает туннель, так? »

вроде того. в этом случае сквид выступает от имени пользователя. А почему вы не хотите настроить браузеры? Сеть у вас с доменом?

[CJ F.A.N.]

Цитата exo:

когда используется прокси - шлюз по умолчанию и днс в сетевых настройках игнорируется »

то есть, хоть что там они вобьют, будут использоваться ТОЛЬКО службы прокси-сервера(а значит, в моем случае, будет в любом случае принудительно использоваться нужный днс сервер)?
Мне в принципе все равно, настраивать или нет, просто 119 компов настраивать..................Кстати, есть же опция ""Автоматическое определение настроек прокси"!? Реализуемо ли такое в моем случае? DHCP на сервере нет, скажу сразу.
И еще. Мне самое главное, чтобы с клиентов не могли юзать сторонние днс\прокси, так как фильтрация контента идет через DNS серверы NETPOLICE, и на Кальмаре еще куча правил, и чтобы трафик считался, как http, так и https...
Лишь бы этот 443 порт не создал мне дополнительных неудобств

З.Ы.: домена нет.........Знаю, ужасно)))))Недавно работаю там, раньше вообще 119 компов были через хабы напрямую к адсл роутеру подключены))))))))

[El Scorpio]

Цитата CJ F.A.N.:

Но, если файрвол настроен: Код: iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128 , то компы, которые выходят в инет с принудительным указанием HTTPS прокси, тоже будут получать этот DNS? »

Прозрачный прокси обрабатывает HTTP, потому что в файрволле существует правило, которое заворачивает трафик к порту 80 на вход прокси. Чтобы прозрачно обрабатывать HTTPS, нужно для начала прописать заворачивание для порта 443

Цитата CJ F.A.N.:

Кстати, есть же опция ""Автоматическое определение настроек прокси"!? »

Это оочень глючная опция

Цитата CJ F.A.N.:

Реализуемо ли такое в моем случае? DHCP на сервере нет, скажу сразу. »

Для IE это реализуется через групповую политику домена. В случае её активации IE никакие другие использовать не сможет.
FF и другие программы могут работать в режиме "использовать системные настройки"

Цитата CJ F.A.N.:

Мне самое главное, чтобы с клиентов не могли юзать сторонние днс\прокси »

В принципе, ушлые пользователи могут перенастроить FF и другие программы. Однако можно просто настроить файрволл на блокирование любых исходящих подключений.
Или сделать прокси-сервер отдельным компьютером, а на шлюзе запретить любой исходящий трафик, кроме как с адреса прокси-сервера.

UPD.
Забыл, что речь идёт про Linux, а не про Windows
Для автоматической настройки прокси можно написать скрипт, который будет записывать нужные значения в конфиги системы и пользователей

[exo]

Цитата CJ F.A.N.:

домена нет.........Знаю, ужасно »

если будете переводить компы в домен, прочитайте про настройку авторизации: NTLM KERBEROS