Pour une salle où des personnes exterieures peuvent venir se connecter
avec leur portable, j'ai mis en place un serveur proxy transparent, ce
qui évite de configurer chaque navigateur de chaque ordinateur pour
l'accès au net (sur une mandriva 2006 avec les outils de l'interface
graphique).
Si tout fonctionne bien, certains sites sécurisés https ne passent pas
le proxy (exemple celui de la page de connexion obtenue par
http://mail.yahoo.fr ), la page charge indéfiniement jusqu'au time-out.
En configurant le navigateur pour utiliser le proxy, uniquement pour les
connexions sécurisées, ça marche (mais c'est ce que je voudrais éviter
surtout pour les personnes itinérantes qui passent).
Je ne vois rien dans les logs de squid et dans celui de shorewall je n'y
comprend que pouic...
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Pascal Hambourg
Salut,
Espace Multimedia a écrit :
Si tout fonctionne bien, certains sites sécurisés https ne passent pas le proxy
Il y en a qui passent ? A ma connaissance, un proxy ne peut pas être transparent pour HTTPS, notamment parce que ça équivaudrait à une situation de type "man in the midde" que HTTPS est justement censé éviter.
Salut,
Espace Multimedia a écrit :
Si tout fonctionne bien, certains sites sécurisés https ne passent pas
le proxy
Il y en a qui passent ?
A ma connaissance, un proxy ne peut pas être transparent pour HTTPS,
notamment parce que ça équivaudrait à une situation de type "man in the
midde" que HTTPS est justement censé éviter.
Si tout fonctionne bien, certains sites sécurisés https ne passent pas le proxy
Il y en a qui passent ? A ma connaissance, un proxy ne peut pas être transparent pour HTTPS, notamment parce que ça équivaudrait à une situation de type "man in the midde" que HTTPS est justement censé éviter.
GuiGui
Espace Multimedia a écrit :
Des idées ? Merci.
Le proxy transparent (capture de la connexion) n'est pas possible avec https (c'est bien le but d'une connexion sécurisée, non ? ;-) ).
La solution : - Activer un serveur web sur le réseau interne. - Faire servir à ce serveur un fichier de configuration proxy automatique. - Annoncer la page de configuration via l'option 252 d'un serveur dhcp.
Les utilisateurs doivent ensuite configurer leur navigateur sur "détection automatique de proxy" (c'est la configuration par défaut de I.E. depuis IE5).
C'est le seul moyen que je connaisse pour passer automatiquement à travers le proxy.
Sinon, autoriser le https à traverser le firewall sans passer par le proxy tout en étant loggué. Vous n'aurez pas les pages consultées mais au moins les IP des serveurs visités.
Espace Multimedia a écrit :
Des idées ? Merci.
Le proxy transparent (capture de la connexion) n'est pas possible avec
https (c'est bien le but d'une connexion sécurisée, non ? ;-) ).
La solution :
- Activer un serveur web sur le réseau interne.
- Faire servir à ce serveur un fichier de configuration proxy automatique.
- Annoncer la page de configuration via l'option 252 d'un serveur dhcp.
Les utilisateurs doivent ensuite configurer leur navigateur sur
"détection automatique de proxy" (c'est la configuration par défaut de
I.E. depuis IE5).
C'est le seul moyen que je connaisse pour passer automatiquement à
travers le proxy.
Sinon, autoriser le https à traverser le firewall sans passer par le
proxy tout en étant loggué. Vous n'aurez pas les pages consultées mais
au moins les IP des serveurs visités.
Le proxy transparent (capture de la connexion) n'est pas possible avec https (c'est bien le but d'une connexion sécurisée, non ? ;-) ).
La solution : - Activer un serveur web sur le réseau interne. - Faire servir à ce serveur un fichier de configuration proxy automatique. - Annoncer la page de configuration via l'option 252 d'un serveur dhcp.
Les utilisateurs doivent ensuite configurer leur navigateur sur "détection automatique de proxy" (c'est la configuration par défaut de I.E. depuis IE5).
C'est le seul moyen que je connaisse pour passer automatiquement à travers le proxy.
Sinon, autoriser le https à traverser le firewall sans passer par le proxy tout en étant loggué. Vous n'aurez pas les pages consultées mais au moins les IP des serveurs visités.
ludovic.thebault
GuiGui wrote:
Espace Multimedia a écrit :
> > Des idées ? Merci.
Le proxy transparent (capture de la connexion) n'est pas possible avec https (c'est bien le but d'une connexion sécurisée, non ? ;-) ).
La solution : - Activer un serveur web sur le réseau interne. - Faire servir à ce serveur un fichier de configuration proxy automatique.
J'ai fait celui-ci mais ça ne marche pas mieux :
function FindProxyForURL(url, host) { if (url.substring(0, 6) == "https:" { return "PROXY 192.168.1.1:3128"; } else { return "DIRECT"; }
j'ai bien rajouté la ligne application/x-ns--proxy-autoconfig .pac dans le fichier mime.types d'apache (et redémarrer ce dernier)
Si je configure un navigateur pour utiliser ce fichier .pac, je ne peux toujours pas accéder aux sites https qui posent problèmes. Alors qu'une config manuelle marche bien.
Qu'est-ce que je n'ai pas compris ?
Sinon, comment faire pour contourner le proxy ? J'ai tenté la règle d'exception suivante pour shorewall : ACCEPT loc net tcp 443 -
mais ça ne change rien (sans config du proxy bien sûr).
Merci de vous attarder sur mon cas !
GuiGui <GuiGui@nospam.fr> wrote:
Espace Multimedia a écrit :
>
> Des idées ? Merci.
Le proxy transparent (capture de la connexion) n'est pas possible avec
https (c'est bien le but d'une connexion sécurisée, non ? ;-) ).
La solution :
- Activer un serveur web sur le réseau interne.
- Faire servir à ce serveur un fichier de configuration proxy automatique.
J'ai fait celui-ci mais ça ne marche pas mieux :
function FindProxyForURL(url, host)
{
if (url.substring(0, 6) == "https:" {
return "PROXY 192.168.1.1:3128";
}
else {
return "DIRECT";
}
j'ai bien rajouté la ligne
application/x-ns--proxy-autoconfig .pac
dans le fichier mime.types d'apache (et redémarrer ce dernier)
Si je configure un navigateur pour utiliser ce fichier .pac, je ne peux
toujours pas accéder aux sites https qui posent problèmes.
Alors qu'une config manuelle marche bien.
Qu'est-ce que je n'ai pas compris ?
Sinon, comment faire pour contourner le proxy ?
J'ai tenté la règle d'exception suivante pour shorewall :
ACCEPT loc net tcp 443 -
mais ça ne change rien (sans config du proxy bien sûr).
Le proxy transparent (capture de la connexion) n'est pas possible avec https (c'est bien le but d'une connexion sécurisée, non ? ;-) ).
La solution : - Activer un serveur web sur le réseau interne. - Faire servir à ce serveur un fichier de configuration proxy automatique.
J'ai fait celui-ci mais ça ne marche pas mieux :
function FindProxyForURL(url, host) { if (url.substring(0, 6) == "https:" { return "PROXY 192.168.1.1:3128"; } else { return "DIRECT"; }
j'ai bien rajouté la ligne application/x-ns--proxy-autoconfig .pac dans le fichier mime.types d'apache (et redémarrer ce dernier)
Si je configure un navigateur pour utiliser ce fichier .pac, je ne peux toujours pas accéder aux sites https qui posent problèmes. Alors qu'une config manuelle marche bien.
Qu'est-ce que je n'ai pas compris ?
Sinon, comment faire pour contourner le proxy ? J'ai tenté la règle d'exception suivante pour shorewall : ACCEPT loc net tcp 443 -
mais ça ne change rien (sans config du proxy bien sûr).
Merci de vous attarder sur mon cas !
Nicolas George
Espace Multimedia wrote in message <1ij52bd.ulwocs18vsp8cN%:
function FindProxyForURL(url, host) { if (url.substring(0, 6) == "https:" { return "PROXY 192.168.1.1:3128"; } else { return "DIRECT"; }
Tes accolades ne sont pas équilibrées.
Espace Multimedia wrote in message
<1ij52bd.ulwocs18vsp8cN%ludovic.thebault@laposte.invalid>:
function FindProxyForURL(url, host)
{
if (url.substring(0, 6) == "https:" {
return "PROXY 192.168.1.1:3128";
}
else {
return "DIRECT";
}
C'est le copier-coller qui a mangé la dernière ! Elle est bien présente dans le fichier .pac
Rakotomandimby (R12y) Mihamina
Pascal Hambourg wrote:
Si tout fonctionne bien, certains sites sécurisés https ne passent pas le proxy
Il y en a qui passent ? A ma connaissance, un proxy ne peut pas être transparent pour HTTPS, notamment parce que ça équivaudrait à une situation de type "man in the midde" que HTTPS est justement censé éviter.
Ok, aurais-tu un lien pour indiquer comment configurer un proxy httpS (sous Linux Debian-like)? Je dis ça parceque certains navigateurs (dont Firefox) proposent un champ "HTTPS Proxy" pas loin du champ "HTTP Proxy".
Moi je souhaite en mettre un en place pour un nombre limitées de raisons: certains sites de documentation (typiquement http://help.ubuntu.com) forcent les visiteurs à passer en httpS et moi, derrière ma connexion très lente et partagée, je suis bien embeté parceque rien n'est mis en cache.
Donc, une question se pose: comment améliorer un peu le chargement de ces pages injustement en httpS (par une mise en cache du proxy/passerelle, par exemple)?
PS: Une solution serait de laisser tomber la consultation de ces pages et tout ce qui s'en suit, mais pour l'instant ce n'est pas envisageable...
Pascal Hambourg wrote:
Si tout fonctionne bien, certains sites sécurisés https ne passent pas
le proxy
Il y en a qui passent ?
A ma connaissance, un proxy ne peut pas être transparent pour HTTPS,
notamment parce que ça équivaudrait à une situation de type "man in the
midde" que HTTPS est justement censé éviter.
Ok, aurais-tu un lien pour indiquer comment configurer un proxy httpS
(sous Linux Debian-like)?
Je dis ça parceque certains navigateurs (dont Firefox) proposent un
champ "HTTPS Proxy" pas loin du champ "HTTP Proxy".
Moi je souhaite en mettre un en place pour un nombre limitées de
raisons: certains sites de documentation (typiquement
http://help.ubuntu.com) forcent les visiteurs à passer en httpS et moi,
derrière ma connexion très lente et partagée, je suis bien embeté
parceque rien n'est mis en cache.
Donc, une question se pose: comment améliorer un peu le chargement de
ces pages injustement en httpS (par une mise en cache du
proxy/passerelle, par exemple)?
PS: Une solution serait de laisser tomber la consultation de ces pages
et tout ce qui s'en suit, mais pour l'instant ce n'est pas envisageable...
Si tout fonctionne bien, certains sites sécurisés https ne passent pas le proxy
Il y en a qui passent ? A ma connaissance, un proxy ne peut pas être transparent pour HTTPS, notamment parce que ça équivaudrait à une situation de type "man in the midde" que HTTPS est justement censé éviter.
Ok, aurais-tu un lien pour indiquer comment configurer un proxy httpS (sous Linux Debian-like)? Je dis ça parceque certains navigateurs (dont Firefox) proposent un champ "HTTPS Proxy" pas loin du champ "HTTP Proxy".
Moi je souhaite en mettre un en place pour un nombre limitées de raisons: certains sites de documentation (typiquement http://help.ubuntu.com) forcent les visiteurs à passer en httpS et moi, derrière ma connexion très lente et partagée, je suis bien embeté parceque rien n'est mis en cache.
Donc, une question se pose: comment améliorer un peu le chargement de ces pages injustement en httpS (par une mise en cache du proxy/passerelle, par exemple)?
PS: Une solution serait de laisser tomber la consultation de ces pages et tout ce qui s'en suit, mais pour l'instant ce n'est pas envisageable...
Pascal Hambourg
Rakotomandimby (R12y) Mihamina a écrit :
Ok, aurais-tu un lien pour indiquer comment configurer un proxy httpS (sous Linux Debian-like)? Je dis ça parceque certains navigateurs (dont Firefox) proposent un champ "HTTPS Proxy" pas loin du champ "HTTP Proxy".
A ma connaissance, le proxy spécifié dans le champ HTTPS SSL n'est qu'un proxy HTTP que le navigateur utilise avec la méthode CONNECT. Le proxy ne sert que de relais pour établir la communication TCP avec le serveur et n'intervient pas dans l'échange SSL ni HTTP. La mise en cache par le proxy est impossible puisque celui-ci n'a pas accès au contenu en clair de la communication SSL. Et c'est normal.
Rakotomandimby (R12y) Mihamina a écrit :
Ok, aurais-tu un lien pour indiquer comment configurer un proxy httpS
(sous Linux Debian-like)?
Je dis ça parceque certains navigateurs (dont Firefox) proposent un
champ "HTTPS Proxy" pas loin du champ "HTTP Proxy".
A ma connaissance, le proxy spécifié dans le champ HTTPS SSL n'est qu'un
proxy HTTP que le navigateur utilise avec la méthode CONNECT. Le proxy
ne sert que de relais pour établir la communication TCP avec le serveur
et n'intervient pas dans l'échange SSL ni HTTP. La mise en cache par le
proxy est impossible puisque celui-ci n'a pas accès au contenu en clair
de la communication SSL. Et c'est normal.
Ok, aurais-tu un lien pour indiquer comment configurer un proxy httpS (sous Linux Debian-like)? Je dis ça parceque certains navigateurs (dont Firefox) proposent un champ "HTTPS Proxy" pas loin du champ "HTTP Proxy".
A ma connaissance, le proxy spécifié dans le champ HTTPS SSL n'est qu'un proxy HTTP que le navigateur utilise avec la méthode CONNECT. Le proxy ne sert que de relais pour établir la communication TCP avec le serveur et n'intervient pas dans l'échange SSL ni HTTP. La mise en cache par le proxy est impossible puisque celui-ci n'a pas accès au contenu en clair de la communication SSL. Et c'est normal.
dominix
Rakotomandimby (R12y) Mihamina a écrit :
Pascal Hambourg wrote:
Si tout fonctionne bien, certains sites sécurisés https ne passent pas le proxy
Il y en a qui passent ? A ma connaissance, un proxy ne peut pas être transparent pour HTTPS, notamment parce que ça équivaudrait à une situation de type "man in the midde" que HTTPS est justement censé éviter.
Ok, aurais-tu un lien pour indiquer comment configurer un proxy httpS (sous Linux Debian-like)? Je dis ça parceque certains navigateurs (dont Firefox) proposent un champ "HTTPS Proxy" pas loin du champ "HTTP Proxy".
Moi je souhaite en mettre un en place pour un nombre limitées de raisons: certains sites de documentation (typiquement http://help.ubuntu.com) forcent les visiteurs à passer en httpS et moi, derrière ma connexion très lente et partagée, je suis bien embeté parceque rien n'est mis en cache.
Donc, une question se pose: comment améliorer un peu le chargement de ces pages injustement en httpS (par une mise en cache du proxy/passerelle, par exemple)?
Grace a HTTP::Proxy de book (philippe Bruhat) j'avais bricolé en 3 (heuu
... 30) coup de cuiller de Perl un proxy HTTPS<->HTTP pour pouvoir scrapper des sites SSL-isé.
malheureusement je ne connais pas d'application qui le fasse nativement, peut etre qu'en cherchant dans les arcanes de squid ... ?
PS: Une solution serait de laisser tomber la consultation de ces pages et tout ce qui s'en suit, mais pour l'instant ce n'est pas envisageable...
Rakotomandimby (R12y) Mihamina a écrit :
Pascal Hambourg wrote:
Si tout fonctionne bien, certains sites sécurisés https ne passent pas
le proxy
Il y en a qui passent ?
A ma connaissance, un proxy ne peut pas être transparent pour HTTPS,
notamment parce que ça équivaudrait à une situation de type "man in
the midde" que HTTPS est justement censé éviter.
Ok, aurais-tu un lien pour indiquer comment configurer un proxy httpS
(sous Linux Debian-like)?
Je dis ça parceque certains navigateurs (dont Firefox) proposent un
champ "HTTPS Proxy" pas loin du champ "HTTP Proxy".
Moi je souhaite en mettre un en place pour un nombre limitées de
raisons: certains sites de documentation (typiquement
http://help.ubuntu.com) forcent les visiteurs à passer en httpS et moi,
derrière ma connexion très lente et partagée, je suis bien embeté
parceque rien n'est mis en cache.
Donc, une question se pose: comment améliorer un peu le chargement de
ces pages injustement en httpS (par une mise en cache du
proxy/passerelle, par exemple)?
Grace a HTTP::Proxy de book (philippe Bruhat) j'avais bricolé en 3 (heuu
... 30) coup de cuiller de Perl un proxy HTTPS<->HTTP pour pouvoir
scrapper des sites SSL-isé.
malheureusement je ne connais pas d'application qui le fasse nativement,
peut etre qu'en cherchant dans les arcanes de squid ... ?
PS: Une solution serait de laisser tomber la consultation de ces pages
et tout ce qui s'en suit, mais pour l'instant ce n'est pas envisageable...
Si tout fonctionne bien, certains sites sécurisés https ne passent pas le proxy
Il y en a qui passent ? A ma connaissance, un proxy ne peut pas être transparent pour HTTPS, notamment parce que ça équivaudrait à une situation de type "man in the midde" que HTTPS est justement censé éviter.
Ok, aurais-tu un lien pour indiquer comment configurer un proxy httpS (sous Linux Debian-like)? Je dis ça parceque certains navigateurs (dont Firefox) proposent un champ "HTTPS Proxy" pas loin du champ "HTTP Proxy".
Moi je souhaite en mettre un en place pour un nombre limitées de raisons: certains sites de documentation (typiquement http://help.ubuntu.com) forcent les visiteurs à passer en httpS et moi, derrière ma connexion très lente et partagée, je suis bien embeté parceque rien n'est mis en cache.
Donc, une question se pose: comment améliorer un peu le chargement de ces pages injustement en httpS (par une mise en cache du proxy/passerelle, par exemple)?
Grace a HTTP::Proxy de book (philippe Bruhat) j'avais bricolé en 3 (heuu
... 30) coup de cuiller de Perl un proxy HTTPS<->HTTP pour pouvoir scrapper des sites SSL-isé.
malheureusement je ne connais pas d'application qui le fasse nativement, peut etre qu'en cherchant dans les arcanes de squid ... ?
PS: Une solution serait de laisser tomber la consultation de ces pages et tout ce qui s'en suit, mais pour l'instant ce n'est pas envisageable...
