Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 21-06-2016 00:30:22

moi4567
Membre
Distrib. : Jessie
Noyau : Linux 3.16.0-4-amd64
(G)UI : Gnome 3
Inscription : 22-06-2015

Squid erreur SSL

Bonjour à tous smile

Je suis en train de monter un proxy squid pour deux réseaux distinct (10.0.0.0/24 et 172.16.0.0/24):

                                                        10.0.0.0/24
Routeur Internet ------- Squid --------
                                                        172.16.0.0/24

Le soucis que je rencontre se situe au niveau du SSL. En effet, dès qu'un client d'un des deux réseau essaie de se connecter à un site en HTTPS une erreur est retourner, indiquant que le SSL "bloque". L'erreur en question est "ERR_SSL_PROTOCOL_ERROR" sous chrome.

L'objectif final n'est pas nécessairement de voir en clair le traffic sous SSL mais d'appliquer une politique de filtrage pour certains sites. Je n'ai donc pas de config de certificat SSL sur mon serveur.


La config:

Debian 8 Jessie
net.ipv4.ip_forward=1

eth0 : DHCP (pour un proxy c'est pas bien c'est vrai mais c'est pour des tests pour le moment roll )
eth1 : 10.0.0.254/24
eth2 : 172.16.0.254/24

iptables -t nat -L


Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination        
DNAT       tcp  --  anywhere             anywhere             to:10.0.0.254:3128
DNAT       tcp  --  anywhere             anywhere             to:172.16.0.254:3128

Chain INPUT (policy ACCEPT)
target     prot opt source               destination        

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination        

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination        
MASQUERADE  all  --  anywhere             anywhere



Squid:

Installation:

apt-get install squid



squid.conf:


acl localnet src 10.0.0.0/24 # RFC1918 possible internal network
acl localnet src 172.16.0.0/24
acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT

http_port 3128 transparent
coredump_dir /var/spool/squid3
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern .               0       20%     4320
http_access allow Safe_ports
http_access allow SSL_ports
http_access allow localnet
http_access allow CONNECT



Je suis dessus depuis ce matin et j'avoue être à court hmm

Si vous avez besoin de plus d'infos, n'hésitez pas.
J'espère avoir fait une erreur bête, si vous avez une idée, je prend smile

Merci d'avance wink

Edit à toto :
Modification pour apt-get en balise Commande root.

Dernière modification par moi4567 (21-06-2016 00:34:32)

Hors ligne

#2 21-06-2016 08:31:10

Kusajika
Membre
Inscription : 08-04-2015

Re : Squid erreur SSL

Bonjour,
Ton fichier semble correct, Tu as affiché l'intégralité ?
Peux tu alors ajouter la ligne:

access_log /var/log/squid3/access.log squid


le redémarrer :

service squid3 restart


faire un:

tail -f /var/log/squid3/access.log


et regarder ce qui se passe lors de ta connexion à un site https stp

Tu as écrit "sous chrome" , le problème est bien identique avec les autres navigateurs?
Est ce que la date et l'heure du poste est sur lequel tu test est bonne ?

Dernière modification par Kusajika (21-06-2016 08:35:04)

Hors ligne

#3 21-06-2016 09:30:34

moi4567
Membre
Distrib. : Jessie
Noyau : Linux 3.16.0-4-amd64
(G)UI : Gnome 3
Inscription : 22-06-2015

Re : Squid erreur SSL

Bonjour,

Voilà ce que me retourne tail pour une tentative de connecxion à la page login de ldlc

tail -f /var/log/squid3/access.log


1466463768.822      5 10.0.0.1 TAG_NONE/400 4008 NONE error:invalid-request - HIER_NONE/- text/html
1466463768.822      5 10.0.0.1 TAG_NONE/400 4008 NONE error:invalid-request - HIER_NONE/- text/html
1466463768.822      5 10.0.0.1 TAG_NONE/400 4008 NONE error:invalid-request - HIER_NONE/- text/html
1466463775.168      0 10.0.0.1 TAG_NONE/400 4008 NONE error:invalid-request - HIER_NONE/- text/html
1466463775.170      0 10.0.0.1 TAG_NONE/400 4008 NONE error:invalid-request - HIER_NONE/- text/html
1466463781.540    204 10.0.0.1 TCP_MISS/206 48432 GET http://au.download.windowsupdate.com/c/msdownload/update/software/secu/2016/02/windows6.1-kb3138962-x86_f993c2bd9537f69ab2154d462899e0793c95c867.psf - ORIGINAL_DST/13.107.4.50 multipart/byteranges
1466463813.727      0 10.0.0.1 TAG_NONE/400 4008 NONE error:invalid-request - HIER_NONE/- text/html
1466463827.912      0 10.0.0.1 TAG_NONE/400 4008 NONE error:invalid-request - HIER_NONE/- text/html
1466463827.952      0 10.0.0.1 TAG_NONE/400 4008 NONE error:invalid-request - HIER_NONE/- text/html
1466463839.350      0 10.0.0.1 TAG_NONE/400 4014 NONE error:invalid-request - HIER_NONE/- text/html
1466463862.833      4 10.0.0.1 TAG_NONE/400 4008 NONE error:invalid-request - HIER_NONE/- text/html
1466463862.836      3 10.0.0.1 TAG_NONE/400 4008 NONE error:invalid-request - HIER_NONE/- text/html
1466463862.836      2 10.0.0.1 TAG_NONE/400 4008 NONE error:invalid-request - HIER_NONE/- text/html
1466463862.836      2 10.0.0.1 TAG_NONE/400 4008 NONE error:invalid-request - HIER_NONE/- text/html
1466463862.836      2 10.0.0.1 TAG_NONE/400 4008 NONE error:invalid-request - HIER_NONE/- text/html
1466463862.838      2 10.0.0.1 TAG_NONE/400 4008 NONE error:invalid-request - HIER_NONE/- text/html
1466463862.892      0 10.0.0.1 TAG_NONE/400 4014 NONE error:invalid-request - HIER_NONE/- text/html
1466463870.016      0 10.0.0.1 TAG_NONE/400 4008 NONE error:invalid-request - HIER_NONE/- text/html
1466463870.019      0 10.0.0.1 TAG_NONE/400 4008 NONE error:invalid-request - HIER_NONE/- text/html
1466463872.170      1 10.0.0.1 TAG_NONE/400 3764  y%81%03%DB%C1%F6%A5.%89%1F%F1%8E!%FE%CF%FC6%FA%9BlZ$%B2%EA%BC%DFA%A5h%F8i%FA - HIER_NONE/- text/html
1466463872.172      2 10.0.0.1 TAG_NONE/400 3764  y%81%03%DB%C1%F6%A5.%89%1F%F1%8E!%FE%CF%FC6%FA%9BlZ$%B2%EA%BC%DFA%A5h%F8i%FA - HIER_NONE/- text/html
1466463872.172      2 10.0.0.1 TAG_NONE/400 4014 NONE error:invalid-request - HIER_NONE/- text/html
1466463872.172      2 10.0.0.1 TAG_NONE/400 3764  y%81%03%DB%C1%F6%A5.%89%1F%F1%8E!%FE%CF%FC6%FA%9BlZ$%B2%EA%BC%DFA%A5h%F8i%FA - HIER_NONE/- text/html
1466463872.172      1 10.0.0.1 TAG_NONE/400 3940  -/%1C%8EB,%1A%9A%B8%83D%7B%F8%5Ec%10c%F5%08%96%A8y%81%03%DB%C1%F6%A5.%89%1F%F1%8E!%FE%CF%FC6%FA%9BlZ$%B2%EA%BC%DFA%A5h%F8i%FA - HIER_NONE/- text/html
1466463872.174      2 10.0.0.1 TAG_NONE/400 3764  y%81%03%DB%C1%F6%A5.%89%1F%F1%8E!%FE%CF%FC6%FA%9BlZ$%B2%EA%BC%DFA%A5h%F8i%FA - HIER_NONE/- text/html



Kusajika a écrit :

Tu as écrit "sous chrome" , le problème est bien identique avec les autres navigateurs?


Oui, le problème est le même partout. J'ai dit sous chrome parce que j'avais ça d'installer sur ma VM mais le problème est le même sur IE par exemple.

Kusajika a écrit :

Est ce que la date et l'heure du poste est sur lequel tu test est bonne ?


Oui, UTC+1, au 21 juin 2016 et l'horloge affiche 9h26 à ce moment précis.


J'ai remarqué quelque chose d'étonnant quand j'ai fait mes tests pour ce que tu me demandais:
- La connexion au login de ldlc que je présente plus haut a fonctionné au début; asse long à charger mais ça passais avant que ça ne rebloque.
- La page https://www.google.fr/ fonctionne.
- Aucune autre page en HTTPS ne fonctionne.

Au cas où, un tail -f /var/log/squid3/access.log au moment de la connexion à la page google en https ne donne rien et des recherches google sont possibles.

Hors ligne

#4 21-06-2016 10:36:12

Kusajika
Membre
Inscription : 08-04-2015

Re : Squid erreur SSL

essai de mettre:

http_access deny CONNECT !SSL_ports


à la palce de ton:

http_access allow SSL_ports



Relance ton service squid après.

Hors ligne

#5 21-06-2016 10:51:59

moi4567
Membre
Distrib. : Jessie
Noyau : Linux 3.16.0-4-amd64
(G)UI : Gnome 3
Inscription : 22-06-2015

Re : Squid erreur SSL

Pas de changement et les logs de squid sont identiques hmm

Hors ligne

#6 21-06-2016 10:59:31

Kusajika
Membre
Inscription : 08-04-2015

Re : Squid erreur SSL

il y a un wiki qui traite du sujet, il est en anglais mais je pense que ça va pouvoir t'aider car la je sèche un peu..
http://wiki.squid-cache.org/Features/HTTPS

Hors ligne

#7 21-06-2016 12:04:36

moi4567
Membre
Distrib. : Jessie
Noyau : Linux 3.16.0-4-amd64
(G)UI : Gnome 3
Inscription : 22-06-2015

Re : Squid erreur SSL

Merci.
J'ai regarder ça, mais je n'ai pas trouvé le pépin.

J'ai repris un ancien snapshoot de ma VM debian, j'ai réinstallé squid3, je n'ai pas touché au squid.conf et j'ai le même problème lorsque le proxy est en "transparent". Sinon, ça fonctionne correctement.

Le problème semble donc venir du mode transparent de squid qui n'a pas l'air d'accepter le SSL hmm

Hors ligne

Pied de page des forums