[El Scorpio]

Цитата atm_kzn:

Если на сервере поднять прозрачный squid, настроенный на родительский прокси и завернуть 80 порт на 3128, то инет на клиентах появляется, но без явного указания прокси в браузере не работает https. »

Потому что HTTPS по-умолчанию использует другой порт (443-й), для которого "заворачивание" не настраивали

[dmitryst]

Цитата El Scorpio:

Потому что HTTPS по-умолчанию использует другой порт (443-й), для которого "заворачивание" не настраивали »

А Squid https протокол вроде как не обрабатывает:

Цитата:

Squid can accept regular proxy traffic using https_port in the same way Squid does it using an http_port directive. Unfortunately, popular modern browsers do not permit configuration of TLS/SSL encrypted proxy connections. There are open bug reports against most of those browsers now, waiting for support to appear. If you have any interest, please assist browser teams with getting that to happen. Meanwhile, tricks using stunnel or SSH tunnels are required to encrypt the browser-to-proxy connection before it leaves the client machine. These are somewhat heavy on the network and can be slow as a result.

(отсюда - http://wiki.squid-cache.org/Features/HTTPS). Лучше весь шифрованый трафик пускать напрямую, не через сквид

[vadblm]

SSL (да и вообще всё) можно пускать через SOCKS5 прокси, но ессно нужен и парент SOCKS5.

[atm_kzn]

Цитата El Scorpio:

Потому что HTTPS по-умолчанию использует другой порт (443-й), для которого "заворачивание" не настраивали »

Пробовал, без толку.

Цитата dmitryst:

А Squid https протокол вроде как не обрабатывает: »

Именно.

Проблема в том, что если сквид остановить и оставить только правило для ната - инета всё равно нет. Непонятно, как сказать серверу, чтобы он работал через родительский прокси.

[dmitryst]

Цитата atm_kzn:

Проблема в том, что если сквид остановить и оставить только правило для ната - инета всё равно нет. Непонятно, как сказать серверу, чтобы он работал через родительский прокси. »

что значит- "нет интернета"? Недоступен порт 80 или 443? Для 443-го надо делать свое правило, чтобы в обход сквида шел траффик.

[atm_kzn]

Цитата dmitryst:

что значит- "нет интернета"? »

Это значит, что если просто сделать нат, то на пользовательских компах никакие страницы не грузятся (ни по http, ни по https), хотя по идее

Код:

net.ipv4.ip_forward = 1
и
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j MASQUERADE

достаточно для того, чтобы интернет в локалке был.

Цитата dmitryst:

Для 443-го надо делать свое правило, чтобы в обход сквида шел траффик. »

Я так понимаю, что 443 нужно заворачивать не на eth1, а на порт родительского прокси? Я правильно понимаю?

[dmitryst]

Цитата atm_kzn:

Я так понимаю, что 443 нужно заворачивать не на eth1, а на порт родительского прокси? Я правильно понимаю? »

трафик от локальной сети заворачиваем на тот порт, который выходит в интернет.

Цитата atm_kzn:

если просто сделать нат, то на пользовательских компах никакие страницы не грузятся »

я в линуксах не разбираюсь, но по идее должно работать. Проверьте, на каком этапе исчезает пинг.

[El Scorpio]

Цитата dmitryst:

А Squid https протокол вроде как не обрабатывает: »

Прокси-сервера HTTPS не могут кэшировать, потому что не могут расшифровать. Однако перенаправлять - перенаправляют

[atm_kzn]

Цитата dmitryst:

Проверьте, на каком этапе исчезает пинг. »

Пинги и трасировка не работают. Трасировка обрывается на одном из родительских маршрутизаторов, видимо, запрещено.

Цитата El Scorpio:

Однако перенаправлять - перенаправляют »

Ага, в двух организациях настраивал squid и всё работало, а в своей не могу с https разобраться. Да и просто NAT не работает, только через squid.

Ладно, пока оставлю непрозрачный прокси (а так хотелось не прописывать руками настройки у пользователей, хотя можно попробовать с файлом автоматической конфигурации прокси поиграться).