Squid transparent et certains https

Le
ludovic.thebault
Bonjour,

Pour une salle où des personnes exterieures peuvent venir se connecter
avec leur portable, j'ai mis en place un serveur proxy transparent, ce
qui évite de configurer chaque navigateur de chaque ordinateur pour
l'accès au net (sur une mandriva 2006 avec les outils de l'interface
graphique).
Si tout fonctionne bien, certains sites sécurisés https ne passent pas
le proxy (exemple celui de la page de connexion obtenue par
http://mail.yahoo.fr ), la page charge indéfiniement jusqu'au time-out.
En configurant le navigateur pour utiliser le proxy, uniquement pour les
connexions sécurisées, ça marche (mais c'est ce que je voudrais éviter
surtout pour les personnes itinérantes qui passent).

Je ne vois rien dans les logs de squid et dans celui de shorewall je n'y
comprend que pouic

Bien sûr je ne souhaite

Des idées ? Merci.
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Pascal Hambourg
Le #7097621
Salut,

Espace Multimedia a écrit :

Si tout fonctionne bien, certains sites sécurisés https ne passent pas
le proxy



Il y en a qui passent ?
A ma connaissance, un proxy ne peut pas être transparent pour HTTPS,
notamment parce que ça équivaudrait à une situation de type "man in the
midde" que HTTPS est justement censé éviter.
GuiGui
Le #7098431
Espace Multimedia a écrit :


Des idées ? Merci.



Le proxy transparent (capture de la connexion) n'est pas possible avec
https (c'est bien le but d'une connexion sécurisée, non ? ;-) ).

La solution :
- Activer un serveur web sur le réseau interne.
- Faire servir à ce serveur un fichier de configuration proxy automatique.
- Annoncer la page de configuration via l'option 252 d'un serveur dhcp.

Les utilisateurs doivent ensuite configurer leur navigateur sur
"détection automatique de proxy" (c'est la configuration par défaut de
I.E. depuis IE5).

C'est le seul moyen que je connaisse pour passer automatiquement à
travers le proxy.

Sinon, autoriser le https à traverser le firewall sans passer par le
proxy tout en étant loggué. Vous n'aurez pas les pages consultées mais
au moins les IP des serveurs visités.
ludovic.thebault
Le #8314441
GuiGui
Espace Multimedia a écrit :

>
> Des idées ? Merci.

Le proxy transparent (capture de la connexion) n'est pas possible avec
https (c'est bien le but d'une connexion sécurisée, non ? ;-) ).

La solution :
- Activer un serveur web sur le réseau interne.
- Faire servir à ce serveur un fichier de configuration proxy automatique.



J'ai fait celui-ci mais ça ne marche pas mieux :

function FindProxyForURL(url, host)
{
if (url.substring(0, 6) == "https:" {
return "PROXY 192.168.1.1:3128";
}
else {
return "DIRECT";
}

j'ai bien rajouté la ligne
application/x-ns--proxy-autoconfig .pac
dans le fichier mime.types d'apache (et redémarrer ce dernier)

Si je configure un navigateur pour utiliser ce fichier .pac, je ne peux
toujours pas accéder aux sites https qui posent problèmes.
Alors qu'une config manuelle marche bien.

Qu'est-ce que je n'ai pas compris ?

Sinon, comment faire pour contourner le proxy ?
J'ai tenté la règle d'exception suivante pour shorewall :
ACCEPT loc net tcp 443 -

mais ça ne change rien (sans config du proxy bien sûr).

Merci de vous attarder sur mon cas !
Nicolas George
Le #8314431
Espace Multimedia wrote in message
function FindProxyForURL(url, host)
{
if (url.substring(0, 6) == "https:" {
return "PROXY 192.168.1.1:3128";
}
else {
return "DIRECT";
}



Tes accolades ne sont pas équilibrées.
ludovic.thebault
Le #8306791
Nicolas George
Tes accolades ne sont pas équilibrées.


C'est le copier-coller qui a mangé la dernière ! Elle est bien présente
dans le fichier .pac
Rakotomandimby (R12y) Mihamina
Le #9659871
Pascal Hambourg wrote:
Si tout fonctionne bien, certains sites sécurisés https ne passent pas
le proxy


Il y en a qui passent ?
A ma connaissance, un proxy ne peut pas être transparent pour HTTPS,
notamment parce que ça équivaudrait à une situation de type "man in the
midde" que HTTPS est justement censé éviter.



Ok, aurais-tu un lien pour indiquer comment configurer un proxy httpS
(sous Linux Debian-like)?
Je dis ça parceque certains navigateurs (dont Firefox) proposent un
champ "HTTPS Proxy" pas loin du champ "HTTP Proxy".

Moi je souhaite en mettre un en place pour un nombre limitées de
raisons: certains sites de documentation (typiquement
http://help.ubuntu.com) forcent les visiteurs à passer en httpS et moi,
derrière ma connexion très lente et partagée, je suis bien embeté
parceque rien n'est mis en cache.

Donc, une question se pose: comment améliorer un peu le chargement de
ces pages injustement en httpS (par une mise en cache du
proxy/passerelle, par exemple)?


PS: Une solution serait de laisser tomber la consultation de ces pages
et tout ce qui s'en suit, mais pour l'instant ce n'est pas envisageable...
Pascal Hambourg
Le #9678251
Rakotomandimby (R12y) Mihamina a écrit :

Ok, aurais-tu un lien pour indiquer comment configurer un proxy httpS
(sous Linux Debian-like)?
Je dis ça parceque certains navigateurs (dont Firefox) proposent un
champ "HTTPS Proxy" pas loin du champ "HTTP Proxy".



A ma connaissance, le proxy spécifié dans le champ HTTPS SSL n'est qu'un
proxy HTTP que le navigateur utilise avec la méthode CONNECT. Le proxy
ne sert que de relais pour établir la communication TCP avec le serveur
et n'intervient pas dans l'échange SSL ni HTTP. La mise en cache par le
proxy est impossible puisque celui-ci n'a pas accès au contenu en clair
de la communication SSL. Et c'est normal.
dominix
Le #10399881
Rakotomandimby (R12y) Mihamina a écrit :
Pascal Hambourg wrote:
Si tout fonctionne bien, certains sites sécurisés https ne passent pas
le proxy


Il y en a qui passent ?
A ma connaissance, un proxy ne peut pas être transparent pour HTTPS,
notamment parce que ça équivaudrait à une situation de type "man in
the midde" que HTTPS est justement censé éviter.



Ok, aurais-tu un lien pour indiquer comment configurer un proxy httpS
(sous Linux Debian-like)?
Je dis ça parceque certains navigateurs (dont Firefox) proposent un
champ "HTTPS Proxy" pas loin du champ "HTTP Proxy".

Moi je souhaite en mettre un en place pour un nombre limitées de
raisons: certains sites de documentation (typiquement
http://help.ubuntu.com) forcent les visiteurs à passer en httpS et moi,
derrière ma connexion très lente et partagée, je suis bien embeté
parceque rien n'est mis en cache.

Donc, une question se pose: comment améliorer un peu le chargement de
ces pages injustement en httpS (par une mise en cache du
proxy/passerelle, par exemple)?




Grace a HTTP::Proxy de book (philippe Bruhat) j'avais bricolé en 3 (heuu

... 30) coup de cuiller de Perl un proxy HTTPS<->HTTP pour pouvoir
scrapper des sites SSL-isé.

malheureusement je ne connais pas d'application qui le fasse nativement,
peut etre qu'en cherchant dans les arcanes de squid ... ?


PS: Une solution serait de laisser tomber la consultation de ces pages
et tout ce qui s'en suit, mais pour l'instant ce n'est pas envisageable...


Publicité
Poster une réponse
Anonyme