Discussion :

[darkwall_37]

Bonjour,

Je dois refaire une proxy pour remplacer l'existant.
Il s'agit d'un Squid sous Windows tournant sur XP.
Le but c'est de le refaire sur une VM sous Linux.

Mon problème est le suivant, les clients utilisants https peuvent consulter leurs pages. En revanche quand ils utilisent http, l'accès à la page leur est refusée.En local, sur le proxy le résultat est le même.

Par exemple, https://google.fr passe mais pas http://google.fr...

Voici un schéma pour résumer la configuration :


Voici le contenu du fichier de conf de Squid:squid.conf :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
visible_hostname proxysquid
#acl SSL_ports port 443
#acl Safe_ports port 80    # http
#acl Safe_ports port 21	   # ftp
#acl Safe_ports port 443   # https
 
acl CONNECT method CONNECT
 
acl lan src 172.17.0.0/16
http_access allow localhost manager
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports 
#http_access deny to_localhost
http_access allow localhost
http_access allow lan
http_access deny all
 
http_port 172.17.80.10:8080
#cache_dir ufs /var/spool/squid 100 16 256
# Leave coredumps in the first cache dir
coredump_dir /var/spool/squid
 
# Add any of your own refresh_pattern entries above these
refresh_pattern ^ftp:		1440	20%	10080
refresh_pattern ^gopher:	1440	0%	1440
refresh_pattern -i (/cgi-bin/|\?) 0	0%	0
refresh_pattern .		0	20%	4320

Un exemple d'erreur dans /var/log/squid/access/log

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
1371117543.712     52 172.17.80.10 TCP_MISS/503 3827 GET http://developpez.net/ - HIER_DIRECT/87.98.128.200 text/html
1371117544.351    603 172.17.80.10 TCP_MISS/503 3909 GET http://www.squid-cache.org/Artwork/SN.png - HIER_DIRECT/209.169.10.131 text/html
1371117544.382     15 172.17.80.10 TCP_MISS/503 3828 GET http://developpez.net/favicon.ico - HIER_DIRECT/87.98.128.200 text/html
1371117544.402     18 172.17.80.10 TCP_MISS/503 3860 GET http://developpez.net/favicon.ico - HIER_DIRECT/87.98.128.200 text/html

J'ai regardé avec wireshark ce que cela donnait :
Encadré rouge : échange https
Encadré noir : échange http



Que ce soit dans le log ou sur wireshark, il parle d'une adresse squid cache qui renvoie sur une image lorsque j'essaye http. Ce qui n'est pas le cas pour https.

Je ne vois vraiment pas pourquoi seulement https passe et pas http... Visiblement c'est le site qui refuse la connexion, mais pourquoi Oo'
Une petite idéé j'espère, là je suis à court d'idées ! Merci d'avance !

[thierry.chich]

Ben oui, mais pourquoi tu as commenté l'acl Safe_ports ? Ça devrait aller mieux en la decommentant, je pense.

[Marc3001]

Effectivement, dans ta conf :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

refuse tout traffic sur des ports différents de Safe_ports.
refuse la méthode connect sur les ports différents de (SSL_ports) (443 = https).

Décommente les déclarations des variables.
J'aurais commenté la ligne

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

http_access deny CONNECT !SSL_ports