Quoting korrigert, bitte kein TOFU! * On Thu, 18 Jul 2002 at 12:11 +0200, "Schäfer, Gerald" wrote:
Von: Adalbert Michelic [mailto:adalbert+list@lopez.at]
* On Thu, 18 Jul 2002 at 11:27 +0200, Alex Klein wrote: [Transparenter Proxy]
$FW_BIN_IPT -A OUTPUT -j ACCEPT -o ippp+ -p tcp --dport https --sport 1024:65535 -m state --state NEW,ESTABLISHED $FW_BIN_IPT -A INPUT -j ACCEPT -i ippp+ -p tcp --sport https --dport 1024:65535 -m state --state ESTABLISHED
Den https hab ich bei mir rausgeschmissen, weil was nicht funktioniert hat.
HTTPS kannst Du nicht durch einen transparanten Proxy jagen (Stichwort man-in-the-middle-attack).
Geht nicht, bin gezwungen über Squid die Nutzer ins Netz gehen zu lassen ! Da gibts noch einen Parent-cache den ich ansprechen muss ! Bei Squid V1.x gabs noch den Parameter local_ip wo man das interne Netz angeben konnte welches nicht über den Proxy angesprochen werden soll.
HTTPS _kannst_ Du nicht transparent durch einen Proxy jagen. Du _kannst_ nicht, weil es technisch nicht funktioniert. Ich habe nicht gesagt, Du sollst nicht. Es funktioniert einfach nicht. Wenn es Dir zuviel Aufwand ist, den Proxy bei jedem Client einzutragen, dann verskripte das, oder verwende die Auto-Configuration features, die einige Browser mitbringen. Das muß Dir aber jemand anderer sagen, wie das funktioniert, das weiß ich nicht. -- Adalbert PGP welcome, request public key: mailto:adalbert+key@lopez.at