Настройка Squid: как пустить ftp и https (ssl) трафик мимо proxy



  • Есть известная проблема с открытием https и ftp сайтов, если весь трафик заворачивается на прозрачный squid прокси. Но нигде не смог найти конкретного решения этой проблемы.

    Я так понимаю, в pfSense вся настройка осуществляется только через веб интерфейс. Вопрос такой - что нужно прописать в поле Custom Options только что установленного сквида с настройками по умолчанию в transparent mode чтобы https и ftp сайты у пользователей без проблем открывались?

    В схеме inet->Squid->HAVP->lan
    эти сайты открываются, но не все. FTP наверно только те, где поддерживается passive mode, а https - не пойму по какому признаку. В этой схеме HAVP transparent on, Squid transparent off.

    Система pfSense 1.2.2, Squid 2.7.7, HAVP antivirus 0.88_05



  • Трафик https и ftp при прозрачном прокси туда не заворачивается



  • Почему тогда ftp и https не работают?

    А в схеме inet->Squid->HAVP->lan работает частично, но там я ж пишу "Squid transparent off".



  • HAVP однозначно не поддерживает ftp и https. Разбирайтесь со сквидом. FTP over http думаю можно сделать.



  • Уточняю, можно ли в данной ситуации пустить ftp и https трафик мимо проксей. И как это осуществляется в pfSense?



  • @samurai:

    Уточняю, можно ли в данной ситуации пустить ftp и https трафик мимо проксей. И как это осуществляется в pfSense?

    ставишь транспарент в сквиде и все, трафик идет мимо прокси
    если не веришь - посмотри правило pf

    Почему тогда ftp и https не работают?
    

    а в фаерволе разрешил http и ftp?



  • ftp точно не идет через прокси. А по поводу https, не этот ли чекбокс разрешает или запрещает трафик мимо прокси? ???

    Bypass proxy for Private Address Space (RFC 1918) destination
    Do not forward traffic to Private Address Space (RFC 1918) destination through the proxy server but directly through the firewall.



  • Да верю. Только у меня схема inet->Squid->HAVP->lan, при которой NAVP прокси транспарент, а сквид - нет.

    В файерволе рулезы прописаны, и некоторые ftp работают - только в passive mode, а некоторые никак не работают. Https сейчас работают практически все, но некоторые ругаются на сертификат безопасности - если добавить в избранные, то тоже начинают открываться.



  • HAVp точно работает!?
    eicar.org, там тестовый вирус есть. Хавп ловит!? Вот отсюда настраивали?
    http://doc.pfsense.org/index.php/HAVP_Package_for_HTTP_Anti-Virus_Scanning
    Я всегда по первому настраивал Scheme: {inet}->[HAVP]->[Squid cache]->{clients}
    Но разницы по идеи быть не должно



  • Да, работает: http://www.eicar.org/anti_virus_test_file.htm
    выдает обнаружена "Clamd: Eicar-Test-Signature", доступ запрещен.

    Сначала не понял, он eicar.com.txt ловил, а остальные нет. Почистил кэш браузера и все ок.



  • У меня схема {inet}->[HAVP]->[Squid cache]->{clients} не работает. Вернее работает, но тестовые вирусы не ловит. Почему - неизвестно настраивал как здесь http://forum.pfsense.org/index.php?topic=19206.msg98837 и здесь http://forum.pfsense.org/index.php/topic,10159.msg69881.html#msg69881. По ходу, у народа такие же проблемы были, но как решились - не пишут.

    А схема {inet}->[Squid cache]->[HAVP]->{clients}  работает, но неудобство в том, что в LightSquid все запросы от одного IP отображаются по любому



  • http://doc.pfsense.org/index.php/HAVP_Package_for_HTTP_Anti-Virus_Scanning
    Поиграться опциями:

    • Enable Forwarded IP
    • Disable X-Forward
    • Disable VIA

    Так-же проверить на СПИД кэш сквида.



  • @samurai:

    У меня схема {inet}->[HAVP]->[Squid cache]->{clients} не работает. Вернее работает, но тестовые вирусы не ловит. Почему - неизвестно настраивал как здесь http://forum.pfsense.org/index.php?topic=19206.msg98837 и здесь http://forum.pfsense.org/index.php/topic,10159.msg69881.html#msg69881. По ходу, у народа такие же проблемы были, но как решились - не пишут.

    А схема {inet}->[Squid cache]->[HAVP]->{clients}  работает, но неудобство в том, что в LightSquid все запросы от одного IP отображаются по любому

    Поначалу да не работает. НО надо делать как написано в доках. Отключать сквид, включать хавп, проверять кеш и лишь потом запускать сквид, тогда начинает отлавливать, в противном случае, не в какую не хочет, мне это до сих пор не понятно почему так.



  • Потому что сквид содержит уже в кэше вирусню, и без проверки отдает ее пользователю.



  • Ну не знаю, у меня в рулезах разрешен 21 и 443 порты на внешку, сквид прозрачный. Всё работает. Сквид цепляет только 80 порт.



  • Антивирусная схема во втором варианте заработала. Оно конечно понятно, что если скажем тестовые вирусы в кэше уже есть, то когда обращаешься к ним из браузера для проверки, то до HAVP запрос и не доходит - берется из кеша. Но определенно пошаманить пришлось - как то начинает работать не сразу после применения настроек и проверки кеша, а слегка позже.

    Напиши плиз пример своих правил для ftp. Может я где туплю.



  • ~Настройка Squid: как пустить ftp и https (ssl) трафик мимо proxy.

    С подобной проблемой разбирался при установке Банк-Клиента. В моём случае порт-маппинг не прокатил. Проблему решил поднятием PPPoE сервера.



  • @storma:

    ~Настройка Squid: как пустить ftp и https (ssl) трафик мимо proxy.

    С подобной проблемой разбирался при установке Банк-Клиента. В моём случае порт-маппинг не прокатил. Проблему решил поднятием PPPoE сервера.

    от вы суровые челябинские админы


Log in to reply