Problem mit Squid https auf Port 5645
Hallo Liste, ich dachte ich habe meinen Sqid im Griff. Leider ist folgendes Problem aufgetaucht : Wenn ich eine https-Verbindung auf Port 443 aufbaue gibt es keine Probleme, versuche ich allerdings eine Verbindung ála https://eineneurl:5645 zeigt das Sqid-Log folgendes an (in einer Zeile) : 1062141006.485 148 192.168.1.0 TCP_MISS/600 9 GET http://eineurl:5645/ - DIRECT/eineurl - Im Browser gibt es nichts zu sehen, noch nicht mal eine Fehlermeldung. Wenn ich squid umgehe, also im Browser die Proxies deaktiviere, dann funktioniert es ... Also meine Frage: Was läuft da schief ? Grüße Harry
Hallo, Am Freitag, 29. August 2003 09:18 schrieb Harry Rüter:
Hallo Liste,
ich dachte ich habe meinen Sqid im Griff.
Leider ist folgendes Problem aufgetaucht :
Wenn ich eine https-Verbindung auf Port 443 aufbaue gibt es keine Probleme, versuche ich allerdings eine Verbindung ála https://eineneurl:5645 zeigt das Sqid-Log folgendes an (in einer Zeile) :
1062141006.485 148 192.168.1.0 TCP_MISS/600 9 GET http://eineurl:5645/ - DIRECT/eineurl -
Na er versucht ihn hier über http zu kontaktieren, das da nix sinnvolles raus kommt dürfte klar sein. Ich tippe mal auf die ACL's des squid, wo festgelegt wird, für welche Ports HTTPS benutzt wird. sowas in der Art: (std. SuSE) acl SSL_ports port 443 563 http_access deny CONNECT !SSL_ports da wird ihm der connect (https) auf allen Ports außer 443 und 563 verboten! Schau Dir die ACL's mal bei Deinem squid an.
Im Browser gibt es nichts zu sehen, noch nicht mal eine Fehlermeldung.
Wenn ich squid umgehe, also im Browser die Proxies deaktiviere, dann funktioniert es ...
Also meine Frage: Was läuft da schief ?
Grüße Harry
MfG Mirko Richter -- +--[ Mirko Richter (RHCE) ]------------------------+ | Networks & Communicationsystems | | Mirko Richter | | Ernst-Thaelmann-Str. 5, D-06774 Soellichau | | E-MAIL: m.richter@ngi.de | | Tel. +49/(0)34243/3369-50 \\\\ | | Fax. +49/(0)34243/3369-28 (O O) | +-----------------------------------oOOo-(_)-oOOo--+
Hallo nochmal, Mirko Richter wrote:
Hallo,
Am Freitag, 29. August 2003 09:18 schrieb Harry Rüter:
Hallo Liste,
ich dachte ich habe meinen Squid im Griff.
Leider ist folgendes Problem aufgetaucht :
Wenn ich eine https-Verbindung auf Port 443 aufbaue gibt es keine Probleme, versuche ich allerdings eine Verbindung ála https://eineneurl:5645 zeigt das Sqid-Log folgendes an (in einer Zeile) :
1062141006.485 148 192.168.1.0 TCP_MISS/600 9 GET http://eineurl:5645/ - DIRECT/eineurl -
Na er versucht ihn hier über http zu kontaktieren, das da nix sinnvolles raus kommt dürfte klar sein. Ich tippe mal auf die ACL's des squid, wo festgelegt wird, für welche Ports HTTPS benutzt wird.
sowas in der Art:
(std. SuSE)
acl SSL_ports port 443 563
http_access deny CONNECT !SSL_ports
da wird ihm der connect (https) auf allen Ports außer 443 und 563 verboten!
Schau Dir die ACL's mal bei Deinem squid an.
Ich dachte eigentlich, das die ACL's stimmen, hier mal meine ACL's zur gefälligen Betrachtung : acl manager proto cache_object acl SSL_ports port 443 563 1025-65535 acl Safe_ports port 80 81 82 21 443 563 70 210 280 488 \ 591 777 1025-65535 acl CONNECT method CONNECT acl worm urlpath_regex -i \.eml$ acl hrnet.de src 192.168.1.0/255.255.255.0 acl localhost src 127.0.0.1/255.255.255.255 acl all src 0.0.0.0/0.0.0.0 http_access allow hrnet.de localhost manager http_access deny worm http_access deny !hrnet.de !localhost !manager http_access allow manager localhost http_access allow Safe_ports http_access allow SSL_ports http_access allow CONNECT SSL_ports Grüße Harry
Hallo, Am Freitag, 29. August 2003 10:03 schrieb Harry Rüter:
Hallo nochmal,
Mirko Richter wrote:
Hallo,
Am Freitag, 29. August 2003 09:18 schrieb Harry Rüter:
Hallo Liste,
ich dachte ich habe meinen Squid im Griff.
Leider ist folgendes Problem aufgetaucht :
Wenn ich eine https-Verbindung auf Port 443 aufbaue gibt es keine Probleme, versuche ich allerdings eine Verbindung ála https://eineneurl:5645 zeigt das Sqid-Log folgendes an (in einer Zeile) :
1062141006.485 148 192.168.1.0 TCP_MISS/600 9 GET http://eineurl:5645/ - DIRECT/eineurl -
Na er versucht ihn hier über http zu kontaktieren, das da nix sinnvolles raus kommt dürfte klar sein. Ich tippe mal auf die ACL's des squid, wo festgelegt wird, für welche Ports HTTPS benutzt wird.
sowas in der Art:
(std. SuSE)
acl SSL_ports port 443 563
http_access deny CONNECT !SSL_ports
da wird ihm der connect (https) auf allen Ports außer 443 und 563 verboten!
Schau Dir die ACL's mal bei Deinem squid an.
Ich dachte eigentlich, das die ACL's stimmen, hier mal meine ACL's zur gefälligen Betrachtung :
acl manager proto cache_object acl SSL_ports port 443 563 1025-65535 acl Safe_ports port 80 81 82 21 443 563 70 210 280 488 \ 591 777 1025-65535 acl CONNECT method CONNECT acl worm urlpath_regex -i \.eml$
acl hrnet.de src 192.168.1.0/255.255.255.0 acl localhost src 127.0.0.1/255.255.255.255 acl all src 0.0.0.0/0.0.0.0 http_access allow hrnet.de localhost manager http_access deny worm http_access deny !hrnet.de !localhost !manager http_access allow manager localhost http_access allow Safe_ports
So 'ne Idee: Die hier:
http_access allow SSL_ports
kommentier die mal aus und probier's nochmal /So 'ne Idee
http_access allow CONNECT SSL_ports
Grüße Harry
MfG Mirko -- +--[ Mirko Richter (RHCE) ]------------------------+ | Networks & Communicationsystems | | Mirko Richter | | Ernst-Thaelmann-Str. 5, D-06774 Soellichau | | E-MAIL: m.richter@ngi.de | | Tel. +49/(0)34243/3369-50 \\\\ | | Fax. +49/(0)34243/3369-28 (O O) | +-----------------------------------oOOo-(_)-oOOo--+
Hallo Liste, hallo Mirko, Mirko Richter wrote:
Hallo,
Am Freitag, 29. August 2003 10:03 schrieb Harry Rüter:
Hallo nochmal,
Mirko Richter wrote:
Hallo,
Am Freitag, 29. August 2003 09:18 schrieb Harry Rüter:
Hallo Liste,
ich dachte ich habe meinen Squid im Griff.
Leider ist folgendes Problem aufgetaucht :
Wenn ich eine https-Verbindung auf Port 443 aufbaue gibt es keine Probleme, versuche ich allerdings eine Verbindung ála https://eineneurl:5645 zeigt das Sqid-Log folgendes an (in einer Zeile) :
1062141006.485 148 192.168.1.0 TCP_MISS/600 9 GET http://eineurl:5645/ - DIRECT/eineurl -
Na er versucht ihn hier über http zu kontaktieren, das da nix sinnvolles raus kommt dürfte klar sein. Ich tippe mal auf die ACL's des squid, wo festgelegt wird, für welche Ports HTTPS benutzt wird.
sowas in der Art:
(std. SuSE)
acl SSL_ports port 443 563
http_access deny CONNECT !SSL_ports
da wird ihm der connect (https) auf allen Ports außer 443 und 563 verboten!
Schau Dir die ACL's mal bei Deinem squid an.
Ich dachte eigentlich, das die ACL's stimmen, hier mal meine ACL's zur gefälligen Betrachtung :
acl manager proto cache_object acl SSL_ports port 443 563 1025-65535 acl Safe_ports port 80 81 82 21 443 563 70 210 280 488 \ 591 777 1025-65535 acl CONNECT method CONNECT acl worm urlpath_regex -i \.eml$
acl hrnet.de src 192.168.1.0/255.255.255.0 acl localhost src 127.0.0.1/255.255.255.255 acl all src 0.0.0.0/0.0.0.0 http_access allow hrnet.de localhost manager http_access deny worm http_access deny !hrnet.de !localhost !manager http_access allow manager localhost http_access allow Safe_ports
So 'ne Idee: Die hier:
http_access allow SSL_ports
Ist drinnen hat aber nichts gebracht, gibt es noch weitere Ideen ?
kommentier die mal aus und probier's nochmal
/So 'ne Idee
http_access allow CONNECT SSL_ports
Ist ebenfalls drinnen ..
Grüße Harry
MfG Mirko
Grüße Harry
Am Samstag, 30. August 2003 11:05 schrieb Harry Rüter:
Hallo Liste, hallo Mirko,
Mirko Richter wrote:
Hallo,
[ ....]
1062141006.485 148 192.168.1.0 TCP_MISS/600 9 GET http://eineurl:5645/ - DIRECT/eineurl -
Na er versucht ihn hier über http zu kontaktieren, das da nix sinnvolles raus kommt dürfte klar sein. Ich tippe mal auf die ACL's des squid, wo festgelegt wird, für welche Ports HTTPS benutzt wird.
[...]
Ich dachte eigentlich, das die ACL's stimmen, hier mal meine ACL's zur gefälligen Betrachtung :
acl manager proto cache_object acl SSL_ports port 443 563 1025-65535 acl Safe_ports port 80 81 82 21 443 563 70 210 280 488 \ 591 777 1025-65535 acl CONNECT method CONNECT acl worm urlpath_regex -i \.eml$
acl hrnet.de src 192.168.1.0/255.255.255.0 acl localhost src 127.0.0.1/255.255.255.255 acl all src 0.0.0.0/0.0.0.0 http_access allow hrnet.de localhost manager http_access deny worm http_access deny !hrnet.de !localhost !manager http_access allow manager localhost http_access allow Safe_ports
So 'ne Idee:
Die hier:
http_access allow SSL_ports
Ist drinnen hat aber nichts gebracht, gibt es noch weitere Ideen ?
kommentier die mal aus und probier's nochmal
/So 'ne Idee
http_access allow CONNECT SSL_ports
laß die mal unverändert
Ist ebenfalls drinnen ..
Hast DU den Squid neu gestartet stop + start oder nur einen reload gemacht? MfG Mirko -- +--[ Mirko Richter (RHCE) ]------------------------+ | Networks & Communicationsystems | | Mirko Richter | | Ernst-Thaelmann-Str. 5, D-06774 Soellichau | | E-MAIL: m.richter@ngi.de | | Tel. +49/(0)34243/3369-50 \\\\ | | Fax. +49/(0)34243/3369-28 (O O) | +-----------------------------------oOOo-(_)-oOOo--+
participants (2)
-
Harry Rüter -
Mirko Richter