abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
eParkomat, startup z ČR, postoupil mezi finalisty evropského akcelerátoru ChallengeUp!
Robot na pivo mu otevřel dveře k opravdovému byznysu
Internet věcí: Propojený svět? Už se to blíží...
dnes 06:00 | Komunita

Na YouTube byl publikován Blender Institute Reel 2016, ani ne dvouminutový sestřih z filmů, které vznikly za posledních 10 let díky Blender Institutu. V institutu aktuálně pracují na novém filmu Agent 327. Dění kolem filmu lze sledovat na Blender Cloudu. Videoukázka Agenta 327 z června letošního roku na YouTube.

Ladislav Hagara | Komentářů: 0
dnes 01:02 | Zajímavý článek

Minulý týden byly vydány verze 1.2.3 a 1.1.7 webového poštovního klienta Roundcube. V oznámení o vydání bylo zmíněno řešení bezpečnostního problému nalezeného společností RIPS a souvisejícího s voláním funkce mail() v PHP. Tento týden byly zveřejněny podrobnosti. Útočník mohl pomocí speciálně připraveného emailu spustit na serveru libovolný příkaz. Stejně, jak je popsáno v článku Exploit PHP’s mail() to get remote code execution z roku 2014.

Ladislav Hagara | Komentářů: 0
včera 16:00 | Nová verze

Byla vydána verze 0.98 svobodného nelineárního video editoru Pitivi. Z novinek lze zmínit například přizpůsobitelné klávesové zkratky. Videoukázka práce s nejnovější verzí Pitivi na YouTube.

Ladislav Hagara | Komentářů: 1
včera 15:00 | Zajímavý software

Stop motion je technika animace, při níž je reálný objekt mezi jednotlivými snímky ručně upravován a posouván o malé úseky, tak aby po spojení vyvolala animace dojem spojitosti. Jaký software lze pro stop motion použít na Linuxu? Článek na OMG! Ubuntu! představuje Heron Animation. Ten bohužel podporuje pouze webové kamery. Podpora digitálních zrcadlovek je začleněna například v programu qStopMotion.

Ladislav Hagara | Komentářů: 3
7.12. 21:21 | Nová verze Ladislav Hagara | Komentářů: 0
7.12. 11:44 | Zajímavý projekt

Na Indiegogo byla spuštěna kampaň na podporu herní mini konzole a multimediálního centra RetroEngine Sigma od Doyodo. Předobjednat ji lze již od 49 dolarů. Požadovaná částka 20 000 dolarů byla překonána již 6 krát. Majitelé mini konzole si budou moci zahrát hry pro Atari VCS 2600, Sega Genesis nebo NES. Předinstalováno bude multimediální centrum Kodi.

Ladislav Hagara | Komentářů: 2
7.12. 00:10 | Nová verze

Byla vydána verze 4.7 redakčního systému WordPress. Kódové označením Vaughan bylo vybráno na počest americké jazzové zpěvačky Sarah "Sassy" Vaughan. Z novinek lze zmínit například novou výchozí šablonu Twenty Seventeen, náhledy pdf souborů nebo WordPress REST API.

Ladislav Hagara | Komentářů: 8
6.12. 12:00 | Zajímavý projekt

Projekt Termbox umožňuje vyzkoušet si linuxové distribuce Ubuntu, Debian, Fedora, CentOS a Arch Linux ve webovém prohlížeči. Řešení je postaveno na projektu HyperContainer. Podrobnosti v často kladených dotazech (FAQ). Zdrojové kódy jsou k dispozici na GitHubu [reddit].

Ladislav Hagara | Komentářů: 27
6.12. 11:00 | Bezpečnostní upozornění

Byly zveřejněny informace o bezpečnostní chybě CVE-2016-8655 v Linuxu zneužitelné k lokální eskalaci práv. Chyba se dostala do linuxového jádra v srpnu 2011. V upstreamu byla opravena minulý týden [Hacker News].

Ladislav Hagara | Komentářů: 2
5.12. 22:00 | Komunita

Přibližně před měsícem bylo oznámeno, že linuxová distribuce SUSE Linux Enterprise Server (SLES) běží nově také Raspberry Pi 3 (dokumentace). Obraz verze 12 SP2 pro Raspberry Pi 3 je ke stažení zdarma. Pro registrované jsou po dobu jednoho roku zdarma také aktualizace. Dnes bylo oznámeno, že pro Raspberry Pi 3 je k dispozici také nové openSUSE Leap 42.2 (zprávička). K dispozici je hned několik obrazů.

Ladislav Hagara | Komentářů: 6
Kolik máte dat ve svém domovském adresáři na svém primárním osobním počítači?
 (32%)
 (24%)
 (29%)
 (8%)
 (5%)
 (3%)
Celkem 799 hlasů
 Komentářů: 50, poslední 29.11. 15:50
Rozcestník
Reklama

Dotaz: Nefunguje https

12.6.2009 11:30 Ondra
Nefunguje https
Přečteno: 1073×

Dobrý den, mám upgradovaný server na debian lenny a po instalaci mi prestal fungovat protokol https://.

Předem děkuji za odpověd'.

Odpovědi

houska avatar 12.6.2009 13:28 houska | skóre: 41 | blog: HW
Rozbalit Rozbalit vše Re: Nefunguje https
tak to to mas asi rozbity ...

dodal jsi prilis malo informaci ... co hlasi browser? co hlasi apache do logu kdyz se na https snazis dostat? co error log?

12.6.2009 14:01 Ondra
Rozbalit Rozbalit vše Re: Nefunguje https

firefox hlásí ->

Vypršel čas na spojení
Při pokusu kontaktovat server vypršel časový limit.

explorer->

Aplikace Internet Explorer nemůže zobrazit tuto webovou stránku.

 

houska avatar 12.6.2009 14:19 houska | skóre: 41 | blog: HW
Rozbalit Rozbalit vše Re: Nefunguje https
no tohle vypada, ze na tom portu nic neni, takze se podivej jestli apache opravdu bezi

a jestli bezi, tak se bez konfiguraku apache a logu ani nevracej ;)

12.6.2009 14:07 rastos | skóre: 60 | blog: rastos
Rozbalit Rozbalit vše Re: Nefunguje https
No a sever počúva na porte 443? (Viď netstat) Ak nie, tak v konfiguráku to má povolené?
12.6.2009 14:33 Ondra
Rozbalit Rozbalit vše Re: Nefunguje https

jak to zjistím?

houska avatar 12.6.2009 14:50 houska | skóre: 41 | blog: HW
Rozbalit Rozbalit vše Re: Nefunguje https
netstat -lan |grep 443

houska avatar 12.6.2009 14:52 houska | skóre: 41 | blog: HW
Rozbalit Rozbalit vše Re: Nefunguje https
a jestli ti to nevrati mj. neco jako
tcp        0      0 0.0.0.0:443            0.0.0.0:*               LISTEN
tak to nemas v konfiguraku povoleny
12.6.2009 15:06 Ondra
Rozbalit Rozbalit vše Re: Nefunguje https

pise to tohle->

tcp6       0      0 :::443                  :::*                    LISTEN
 

houska avatar 12.6.2009 15:14 houska | skóre: 41 | blog: HW
Rozbalit Rozbalit vše Re: Nefunguje https
hm, tzn ze posloucha na ipv6, podle tvych znalosti usuzuju ze to neni to co po nem chces, takze doporucuju se podivat do dokumentace
15.6.2009 08:56 Ondra
Rozbalit Rozbalit vše Re: Nefunguje https

a na cem by mel poslouchat kdyz ne ipv6? A jak se to da udelat?

houska avatar 15.6.2009 09:15 houska | skóre: 41 | blog: HW
Rozbalit Rozbalit vše Re: Nefunguje https
treba ipv4 :)
15.6.2009 14:01 Ondra
Rozbalit Rozbalit vše Re: Nefunguje https

a jak ? :o)

12.6.2009 14:20 Ondra
Rozbalit Rozbalit vše Re: Nefunguje https

squid log: 2009/06/12 14:03:43| parseHttpRequest: Unsupported method '?'

 

2009/06/12 14:03:43| clientTryParseRequest: FD 30 (172.22.10.147:4812) Invalid Request

 

2009/06/12 14:05:43| parseHttpRequest: Unsupported method 'y?Ív«;\?d~^!?+I×ió?_O/ż?˛|B´?ń“Ěź?/9v–“™'–—uĺ÷'

 

2009/06/12 14:05:43| clientTryParseRequest: FD 149 (172.22.10.147:4832) Invalid Request

 

2009/06/12 14:06:06| clientTryParseRequest: FD 96 (172.22.10.147:4839) Invalid Request

 

2009/06/12 14:06:30| parseHttpRequest: Unsupported method ']XóȤm'

 

2009/06/12 14:06:30| clientTryParseRequest: FD 34 (172.22.10.147:4843) Invalid Request

 

2009/06/12 14:06:46| clientTryParseRequest: FD 31 (172.22.10.147:4846) Invalid Request

 

2009/06/12 14:10:11| clientTryParseRequest: FD 98 (172.22.10.147:4886) Invalid Request

 

2009/06/12 14:10:35| clientTryParseRequest: FD 37 (172.22.10.147:4890) Invalid Request

 

2009/06/12 14:10:59| clientTryParseRequest: FD 56 (172.22.10.147:4896) Invalid Request

 

12.6.2009 18:53 Jaris | skóre: 19 | blog: Jaris
Rozbalit Rozbalit vše Re: Nefunguje https

nebezi nahodou apache bez ssl na porte 443? 

12.6.2009 17:27 moky | skóre: 5
Rozbalit Rozbalit vše Re: Nefunguje https

a co firewall? neblokuje port 443?

12.6.2009 18:42 Ondra
Rozbalit Rozbalit vše Re: Nefunguje https

Firewall jej neblokuje :-( Je povolený, vše se udělo po přeinstalaci z DEBIAN ETCH na LENNYho, vše zůstalo nezměněno, vypadá to spíše na problém ve squidu, jedná se tedy o to, že když někdo z vnitřní sítě zadá adresu např. https://www.seznam.cz nebo se snaží připojit do mailu centrumu apod. tak se mu https stránka nezobrazí :-( vnitřně jsou povoleny porty 80 i 443, port 80 jede normálně, ale 443 ne :-(

Nemůže být problém v tom, že je potřeba překonfigurovat SSL certifikáty, když je nová distribuce, nerozumím tomu tak, ale myslím si, že SSL je spíš pro apache a postfix a vliv na to, zda-li bude zobrazovat squid port 443 to asi nemá vliv, že? Přímo z KDE na danem serveru se k https připojím, tak to opravdu vypadá na squida

 

15.6.2009 07:58 Ondra
Rozbalit Rozbalit vše Re: Nefunguje https

nikdo neví?

houska avatar 15.6.2009 08:25 houska | skóre: 41 | blog: HW
Rozbalit Rozbalit vše Re: Nefunguje https
zkus sem dát konfigurák toho squida (bez komentářů)
15.6.2009 08:51 Ondra
Rozbalit Rozbalit vše Re: Nefunguje https

Nejedna se o stranky na serveru ale nejdou stranky ktere jsou na internetu..Takze kdyz nejede https na apache nejede https ani na squidu?

15.6.2009 08:34 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Nefunguje https
Pokračoval bych tady
15.6.2009 09:06 Tomáš
Rozbalit Rozbalit vše Re: Nefunguje https

Přeci nemůže mít apache vliv na squid nebo jo? Co když budu chtít mít na proxyně pouze udělaný proxy server a prostě si prohlížet zabezpečené stránky např. www.mojebanka.cz apod. ... to budu muset kvůli tomu instalovat apache?

15.6.2009 09:16 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Nefunguje https
Co tedy vůbec řešíte? Že vám na vašem serveru nefunguje HTTPS, nebo že vy se nemůžete s prohlížečem připojit na cizí servery protokolem HTTPS?
houska avatar 15.6.2009 09:19 houska | skóre: 41 | blog: HW
Rozbalit Rozbalit vše Re: Nefunguje https
apachem to asi opravdu nebude

tazatel je trumbelin a ani nedokaze poradne napsat co mu nefunguje (viz dotaz), takze jsem si nespravne myslel ze mluvi o web serveru, ale zrejme se jedna o to ze mu ze site kterou provozuje nejde dostat ven na https ... protoze mu update asi rozbyl squida

15.6.2009 09:24 Ondra
Rozbalit Rozbalit vše Re: Nefunguje https

Mas pravdu. To je ten problem..:o/

15.6.2009 09:26 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Nefunguje https
No a jak to tedy je? Co vám nefunguje?
15.6.2009 09:33 Tomáš
Rozbalit Rozbalit vše Re: Nefunguje https

Nefunguje na Lennym přístup na HTTPS servery na internetu, nelze se tedy přihlásit do seznam a centrum e-mailu, do internetových bankovnictví, všude tam, kde se používá HTTPS (443). Prostě z vnitřní sítě nelze na HTTPS přijít, z proxy serveru se na https dostane. Co se týká firewallu, port 443 je z vnitrni site povolen. Prikladam jeho squid.conf:

 

 

http_port 3128 transparent

hierarchy_stoplist cgi-bin ?

acl QUERY urlpath_regex cgi-bin \?

#cache_dir diskd /var/spool/squid 100 16 256

cache_store_log none

auth_param basic children 5

auth_param basic realm Squid proxy-caching web server

auth_param basic credentialsttl 2 hours

refresh_pattern ^ftp: 1440 20% 10080

refresh_pattern ^gopher: 1440 0% 1440

refresh_pattern . 0 20% 4320

half_closed_clients off

acl all src 0.0.0.0/0.0.0.0

acl wifistudent src 172.22.254.0/255.255.255.200

delay_pools 1

delay_class 1 1

delay_access 1 allow wifistudent

delay_parameters 1 64000/64000

acl manager proto cache_object

acl localhost src 127.0.0.1/255.255.255.255

acl to_localhost dst 127.0.0.0/8

acl SSL_ports port 443 563

acl Safe_ports port 80 # http

acl Safe_ports port 21 # ftp

acl Safe_ports port 443 563 # https, snews

acl Safe_ports port 70 # gopher

acl Safe_ports port 210 # wais

acl Safe_ports port 1025-65535 # unregistered ports

acl Safe_ports port 280 # http-mgmt

acl Safe_ports port 488 # gss-http

acl Safe_ports port 591 # filemaker

acl Safe_ports port 777 # multiling http

acl CONNECT method CONNECT

http_access allow manager localhost

http_access deny manager

http_access deny !Safe_ports

http_access deny CONNECT !SSL_ports

http_access deny to_localhost

acl mynetwork src 172.22.0.0/255.255.0.0

no_cache deny QUERY all

http_access allow mynetwork

http_access allow localhost

http_reply_access allow all

icp_access allow all

visible_hostname firewall

append_domain .vasweb.cz

err_html_text roman@gfpvm.cz

error_directory /usr/share/squid/errors/Czech

deny_info ERR_ACCESS_DENIED all

#memory_pools off

coredump_dir /var/spool/squid

ie_refresh on

vary_ignore_expire on

#httpd_accel_single_host off

forwarded_for off

#redirect_program /usr/bin/squidGuard -c /etc/squid/squidGuard.conf

cache_effective_user proxy

cache_effective_group proxy

access_log none

read_timeout 30 second

log_fqdn on

15.6.2009 10:08 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Nefunguje https
Pokud to přes proxy server jde a přímo ne, bude problém spíš ve firewallu, proxy server s tou nefunkčností pak nemá nic společného. Pokud je router linuxový, vložte sem výpis
iptables --line-numbers -vnL
iptables --line-numbers -t nat -vnL
15.6.2009 11:30 Ondra
Rozbalit Rozbalit vše Re: Nefunguje https

 iptables --line-numbers -vnL


Chain INPUT (policy DROP 1 packets, 60 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1    34009   21M ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
2     876K 1134M eth0_in    all  --  eth0   *       0.0.0.0/0            0.0.0.0/0
3     474K   53M eth1_in    all  --  eth1   *       0.0.0.0/0            0.0.0.0/0
4        0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
5        0     0 Reject     all  --  *      *       0.0.0.0/0            0.0.0.0/0
6        0     0 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0           LOG flags 0 level 6 prefix `Shorewall:INPUT:REJECT:'
7        0     0 reject     all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain FORWARD (policy DROP 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 eth0_fwd   all  --  eth0   *       0.0.0.0/0            0.0.0.0/0
2        0     0 eth1_fwd   all  --  eth1   *       0.0.0.0/0            0.0.0.0/0
3        0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
4        0     0 Reject     all  --  *      *       0.0.0.0/0            0.0.0.0/0
5        0     0 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0           LOG flags 0 level 6 prefix `Shorewall:FORWARD:REJECT:'
6        0     0 reject     all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain OUTPUT (policy DROP 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1    33964   21M ACCEPT     all  --  *      lo      0.0.0.0/0            0.0.0.0/0
2     604K   73M eth0_out   all  --  *      eth0    0.0.0.0/0            0.0.0.0/0
3     701K 1142M eth1_out   all  --  *      eth1    0.0.0.0/0            0.0.0.0/0
4        0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
5        0     0 Reject     all  --  *      *       0.0.0.0/0            0.0.0.0/0
6        0     0 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0           LOG flags 0 level 6 prefix `Shorewall:OUTPUT:REJECT:'
7        0     0 reject     all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain Drop (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 reject     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:113
2       66  2112 dropBcast  all  --  *      *       0.0.0.0/0            0.0.0.0/0
3        0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 3 code 4
4        0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 11
5        0     0 dropInvalid  all  --  *      *       0.0.0.0/0            0.0.0.0/0
6        0     0 DROP       udp  --  *      *       0.0.0.0/0            0.0.0.0/0           multiport dports 135,445
7        0     0 DROP       udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpts:137:139
8        0     0 DROP       udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp spt:137 dpts:1024:65535
9        0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           multiport dports 135,139,445
10       0     0 DROP       udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:1900
11       0     0 dropNotSyn  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0
12       0     0 DROP       udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp spt:53

Chain Reject (4 references)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 reject     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:113
2        0     0 dropBcast  all  --  *      *       0.0.0.0/0            0.0.0.0/0
3        0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 3 code 4
4        0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 11
5        0     0 dropInvalid  all  --  *      *       0.0.0.0/0            0.0.0.0/0
6        0     0 reject     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           multiport dports 135,445
7        0     0 reject     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpts:137:139
8        0     0 reject     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp spt:137 dpts:1024:65535
9        0     0 reject     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           multiport dports 135,139,445
10       0     0 DROP       udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:1900
11       0     0 dropNotSyn  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0
12       0     0 DROP       udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp spt:53

Chain all2all (0 references)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
2        0     0 Reject     all  --  *      *       0.0.0.0/0            0.0.0.0/0
3        0     0 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0           LOG flags 0 level 6 prefix `Shorewall:all2all:REJECT:'
4        0     0 reject     all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain dropBcast (2 references)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           PKTTYPE = broadcast
2       66  2112 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           PKTTYPE = multicast

Chain dropInvalid (2 references)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           state INVALID

Chain dropNotSyn (2 references)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp flags:!0x17/0x02

Chain dynamic (4 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain eth0_fwd (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 dynamic    all  --  *      *       0.0.0.0/0            0.0.0.0/0           state INVALID,NEW
2        0     0 net2loc    all  --  *      eth1    0.0.0.0/0            0.0.0.0/0

Chain eth0_in (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1     1283 99066 dynamic    all  --  *      *       0.0.0.0/0            0.0.0.0/0           state INVALID,NEW
2     876K 1134M net2fw     all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain eth0_out (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1     604K   73M fw2net     all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain eth1_fwd (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 dynamic    all  --  *      *       0.0.0.0/0            0.0.0.0/0           state INVALID,NEW
2        0     0 loc2net    all  --  *      eth0    0.0.0.0/0            0.0.0.0/0

Chain eth1_in (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1    21173 1395K dynamic    all  --  *      *       0.0.0.0/0            0.0.0.0/0           state INVALID,NEW
2     474K   53M loc2fw     all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain eth1_out (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1     701K 1142M fw2loc     all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain fw2loc (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1     701K 1142M ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
2       30  3610 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain fw2net (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1     582K   72M ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
2    22528 1442K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain loc2fw (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1     453K   51M ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
2    13783  662K ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:3128
3     7390  733K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain loc2net (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
2        0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           multiport dports 21,80,443,3128,3306,10000
3        0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:4156
4        0     0 ACCEPT     tcp  --  *      *       172.22.253.50        0.0.0.0/0           tcp dpts:1:60179
5        0     0 ACCEPT     tcp  --  *      *       172.22.253.22        0.0.0.0/0           tcp dpts:1:60179
6        0     0 ACCEPT     tcp  --  *      *       172.22.1.28          0.0.0.0/0           tcp dpts:1:60179
7        0     0 ACCEPT     tcp  --  *      *       172.22.247.1         0.0.0.0/0           tcp dpts:1:60179
8        0     0 ACCEPT     tcp  --  *      *       172.22.1.5           0.0.0.0/0           tcp dpts:1:60179
9        0     0 ACCEPT     tcp  --  *      *       172.22.1.6           0.0.0.0/0           tcp dpts:1:60179
10       0     0 ACCEPT     tcp  --  *      *       172.22.11.13         0.0.0.0/0           tcp dpts:1:60179
11       0     0 ACCEPT     tcp  --  *      *       172.22.250.22        0.0.0.0/0           tcp dpts:1:60179
12       0     0 ACCEPT     tcp  --  *      *       172.22.254.101       0.0.0.0/0           tcp dpts:1:60179
13       0     0 ACCEPT     udp  --  *      *       172.22.253.50        0.0.0.0/0           udp dpts:1:60179
14       0     0 ACCEPT     udp  --  *      *       172.22.253.22        0.0.0.0/0           udp dpts:1:60179
15       0     0 ACCEPT     udp  --  *      *       172.22.1.28          0.0.0.0/0           udp dpts:1:60179
16       0     0 ACCEPT     udp  --  *      *       172.22.247.1         0.0.0.0/0           udp dpts:1:60179
17       0     0 ACCEPT     udp  --  *      *       172.22.1.5           0.0.0.0/0           udp dpts:1:60179
18       0     0 ACCEPT     udp  --  *      *       172.22.1.6           0.0.0.0/0           udp dpts:1:60179
19       0     0 ACCEPT     udp  --  *      *       172.22.250.22        0.0.0.0/0           udp dpts:1:60179
20       0     0 ACCEPT     udp  --  *      *       172.22.254.101       0.0.0.0/0           udp dpts:1:60179
21       0     0 ACCEPT     tcp  --  *      *       172.22.251.30        0.0.0.0/0           tcp dpt:25
22       0     0 ACCEPT     tcp  --  *      *       172.22.253.3         0.0.0.0/0           tcp dpt:25
23       0     0 ACCEPT     tcp  --  *      *       172.22.253.5         0.0.0.0/0           tcp dpt:25
24       0     0 ACCEPT     tcp  --  *      *       172.22.253.20        0.0.0.0/0           tcp dpt:25
25       0     0 ACCEPT     tcp  --  *      *       172.22.253.22        0.0.0.0/0           tcp dpt:25
26       0     0 ACCEPT     tcp  --  *      *       172.22.253.54        0.0.0.0/0           tcp dpt:25
27       0     0 ACCEPT     tcp  --  *      *       172.22.4.1           0.0.0.0/0           tcp dpt:25
28       0     0 ACCEPT     tcp  --  *      *       172.22.4.9           0.0.0.0/0           tcp dpt:25
29       0     0 ACCEPT     tcp  --  *      *       172.22.60.45         0.0.0.0/0           tcp dpt:25
30       0     0 ACCEPT     tcp  --  *      *       172.22.254.102       0.0.0.0/0           tcp dpt:25
31       0     0 ACCEPT     tcp  --  *      *       172.22.251.30        0.0.0.0/0           tcp dpt:110
32       0     0 ACCEPT     tcp  --  *      *       172.22.253.3         0.0.0.0/0           tcp dpt:110
33       0     0 ACCEPT     tcp  --  *      *       172.22.253.5         0.0.0.0/0           tcp dpt:110
34       0     0 ACCEPT     tcp  --  *      *       172.22.253.20        0.0.0.0/0           tcp dpt:110
35       0     0 ACCEPT     tcp  --  *      *       172.22.253.22        0.0.0.0/0           tcp dpt:110
36       0     0 ACCEPT     tcp  --  *      *       172.22.253.54        0.0.0.0/0           tcp dpt:110
37       0     0 ACCEPT     tcp  --  *      *       172.22.4.1           0.0.0.0/0           tcp dpt:110
38       0     0 ACCEPT     tcp  --  *      *       172.22.4.9           0.0.0.0/0           tcp dpt:110
39       0     0 ACCEPT     tcp  --  *      *       172.22.60.45         0.0.0.0/0           tcp dpt:110
40       0     0 ACCEPT     tcp  --  *      *       172.22.254.102       0.0.0.0/0           tcp dpt:110
41       0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:25
42       0     0 ACCEPT     tcp  --  *      *       172.22.251.30        0.0.0.0/0           tcp dpt:5190
43       0     0 ACCEPT     tcp  --  *      *       172.22.1.45          0.0.0.0/0           tcp dpt:5190
44       0     0 ACCEPT     tcp  --  *      *       172.22.11.13         0.0.0.0/0           tcp dpt:5190
45       0     0 ACCEPT     tcp  --  *      *       172.22.253.5         0.0.0.0/0           tcp dpt:5190
46       0     0 ACCEPT     tcp  --  *      *       172.22.253.12        0.0.0.0/0           tcp dpt:5190
47       0     0 ACCEPT     tcp  --  *      *       172.22.253.20        0.0.0.0/0           tcp dpt:5190
48       0     0 ACCEPT     tcp  --  *      *       172.22.253.22        0.0.0.0/0           tcp dpt:5190
49       0     0 ACCEPT     tcp  --  *      *       172.22.253.28        0.0.0.0/0           tcp dpt:5190
50       0     0 ACCEPT     tcp  --  *      *       172.22.253.29        0.0.0.0/0           tcp dpt:5190
51       0     0 ACCEPT     tcp  --  *      *       172.22.254.101       0.0.0.0/0           tcp dpt:5190
52       0     0 ACCEPT     tcp  --  *      *       172.22.254.102       0.0.0.0/0           tcp dpt:5190
53       0     0 ACCEPT     tcp  --  *      *       172.22.254.103       0.0.0.0/0           tcp dpt:5190
54       0     0 ACCEPT     udp  --  *      *       172.22.251.30        0.0.0.0/0           udp dpts:1200:1240
55       0     0 ACCEPT     udp  --  *      *       172.22.1.45          0.0.0.0/0           udp dpts:1200:1240
56       0     0 ACCEPT     udp  --  *      *       172.22.11.13         0.0.0.0/0           udp dpts:1200:1240
57       0     0 ACCEPT     udp  --  *      *       172.22.253.5         0.0.0.0/0           udp dpts:1200:1240
58       0     0 ACCEPT     udp  --  *      *       172.22.253.12        0.0.0.0/0           udp dpts:1200:1240
59       0     0 ACCEPT     udp  --  *      *       172.22.253.20        0.0.0.0/0           udp dpts:1200:1240
60       0     0 ACCEPT     udp  --  *      *       172.22.253.22        0.0.0.0/0           udp dpts:1200:1240
61       0     0 ACCEPT     udp  --  *      *       172.22.253.28        0.0.0.0/0           udp dpts:1200:1240
62       0     0 ACCEPT     udp  --  *      *       172.22.253.29        0.0.0.0/0           udp dpts:1200:1240
63       0     0 ACCEPT     udp  --  *      *       172.22.254.101       0.0.0.0/0           udp dpts:1200:1240
64       0     0 ACCEPT     udp  --  *      *       172.22.254.102       0.0.0.0/0           udp dpts:1200:1240
65       0     0 ACCEPT     udp  --  *      *       172.22.254.103       0.0.0.0/0           udp dpts:1200:1240
66       0     0 DROP       udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpts:1200:1240
67       0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:5190
68       0     0 ACCEPT     tcp  --  *      *       172.22.253.28        0.0.0.0/0           tcp dpts:5150:5160
69       0     0 ACCEPT     tcp  --  *      *       172.22.253.29        0.0.0.0/0           tcp dpts:5150:5160
70       0     0 ACCEPT     tcp  --  *      *       172.22.253.28        0.0.0.0/0           tcp dpt:5222
71       0     0 ACCEPT     tcp  --  *      *       172.22.253.29        0.0.0.0/0           tcp dpt:5222
72       0     0 ACCEPT     tcp  --  *      *       172.22.253.28        0.0.0.0/0           multiport dports 8085,3724,26000,29070,29080,29999,6667,8767,554,8000
73       0     0 ACCEPT     tcp  --  *      *       172.22.253.29        0.0.0.0/0           multiport dports 8085,3724,26000,29070,29080,29999,6667,8767,554,8000
74       0     0 DROP       udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpts:1:60179
75       0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpts:1:60179
76       0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain logdrop (0 references)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0           LOG flags 0 level 6 prefix `Shorewall:logdrop:DROP:'
2        0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain logreject (0 references)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0           LOG flags 0 level 6 prefix `Shorewall:logreject:REJECT:'
2        0     0 reject     all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain net2all (2 references)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
2       66  2112 Drop       all  --  *      *       0.0.0.0/0            0.0.0.0/0
3        0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain net2fw (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1     875K 1134M ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
2       21  1464 ACCEPT     udp  --  *      *       0.0.0.0/0            77.48.89.98         udp dpt:53
3      398 19952 ACCEPT     tcp  --  *      *       0.0.0.0/0            77.48.89.98         multiport dports 80,443,53,20,21,22,25,109,110,143,3306,5060
4       66  3168 ACCEPT     tcp  --  *      *       85.71.197.116        77.48.89.98         tcp dpt:10000
5      228 27472 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 8
6        0     0 ACCEPT     tcp  --  *      *       77.48.89.58          77.48.89.99         tcp dpt:1723
7      119  9032 DROP       tcp  --  *      *       0.0.0.0/0            77.48.89.99         tcp dpts:1:60179
8        0     0 DROP       udp  --  *      *       0.0.0.0/0            77.48.89.99         udp dpts:1:60179
9       47  2348 DROP       tcp  --  *      *       0.0.0.0/0            77.48.89.98         tcp dpts:1:60179
10       2   149 DROP       udp  --  *      *       0.0.0.0/0            77.48.89.98         udp dpts:1:60179
11       0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpts:1:60179
12     336 33369 DROP       udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpts:1:60179
13      66  2112 net2all    all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain net2loc (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
2        0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            172.22.1.3          tcp dpt:3389
3        0     0 net2all    all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain reject (11 references)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           PKTTYPE = broadcast
2        0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           PKTTYPE = multicast
3        0     0 DROP       all  --  *      *       255.255.255.255      0.0.0.0/0
4        0     0 DROP       all  --  *      *       224.0.0.0/4          0.0.0.0/0
5        0     0 DROP       2    --  *      *       0.0.0.0/0            0.0.0.0/0
6        0     0 REJECT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with tcp-reset
7        0     0 REJECT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-port-unreachable
8        0     0 REJECT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-unreachable
9        0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited

Chain shorewall (0 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain smurfs (0 references)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 LOG        all  --  *      *       77.48.89.103         0.0.0.0/0           LOG flags 0 level 6 prefix `Shorewall:smurfs:DROP:'
2        0     0 DROP       all  --  *      *       77.48.89.103         0.0.0.0/0
3        0     0 LOG        all  --  *      *       172.22.255.255       0.0.0.0/0           LOG flags 0 level 6 prefix `Shorewall:smurfs:DROP:'
4        0     0 DROP       all  --  *      *       172.22.255.255       0.0.0.0/0
5        0     0 LOG        all  --  *      *       255.255.255.255      0.0.0.0/0           LOG flags 0 level 6 prefix `Shorewall:smurfs:DROP:'
6        0     0 DROP       all  --  *      *       255.255.255.255      0.0.0.0/0
7        0     0 LOG        all  --  *      *       224.0.0.0/4          0.0.0.0/0           LOG flags 0 level 6 prefix `Shorewall:smurfs:DROP:'
8        0     0 DROP       all  --  *      *       224.0.0.0/4          0.0.0.0/0

iptables --line-numbers -t nat -vnL


Chain PREROUTING (policy ACCEPT 31241 packets, 1793K bytes)
num   pkts bytes target     prot opt in     out     source               destination
1     1358  102K net_dnat   all  --  eth0   *       0.0.0.0/0            0.0.0.0/0
2    43721 2356K loc_dnat   all  --  eth1   *       0.0.0.0/0            0.0.0.0/0

Chain POSTROUTING (policy ACCEPT 24646 packets, 1574K bytes)
num   pkts bytes target     prot opt in     out     source               destination
1    22494 1438K eth0_masq  all  --  *      eth0    0.0.0.0/0            0.0.0.0/0

Chain OUTPUT (policy ACCEPT 24646 packets, 1574K bytes)
num   pkts bytes target     prot opt in     out     source               destination

Chain eth0_masq (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 MASQUERADE  all  --  *      *       172.22.0.0/16        0.0.0.0/0

Chain loc_dnat (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1    13841  665K REDIRECT   tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80 redir ports 3128

Chain net_dnat (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 DNAT       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:3389 to:172.22.1.3
 

15.6.2009 14:10 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Nefunguje https
Na první pohled mi připadá, že HTTPS (port tcp/443) tímhle firewallem projde. V prohlížeči, kde to zkoušíte, máte nastaven proxy server, nebo se pokouší komunikovat přímo? Zkusil bych ještě na routeru spustit
tcpdump -n "port 443"
Zda to nějakou komunikaci na portu 443 zachytí, a případně odkud bude iniciovaná a zda přijde odpověď.

Mimochodem, příště by bylo lepší ten výpis dát buď jako přílohu komentáře nebo vložit do tagu <pre>.
15.6.2009 15:15 Ondra
Rozbalit Rozbalit vše Re: Nefunguje https
Příloha:

tady je log z /var/log/squid/access.log jestli to treba nepomuze. viz priloha.

15.6.2009 16:34 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Nefunguje https
Nejprve je myslím potřeba zjistit, s čím vůbec prohlížeč komunikuje.
15.6.2009 20:22 Ondra
Rozbalit Rozbalit vše Re: Nefunguje https

Zvláštní je to, když do prohlízece zadám pouzivat proxy, IP adresu a port 3128 tak https funguje, bohuzel https nefunguje, kdyz proxy nezadam do prohlizece :-( Takze ted jde o to v cem muze byt problem? Shorewall??

houska avatar 16.6.2009 08:39 houska | skóre: 41 | blog: HW
Rozbalit Rozbalit vše Re: Nefunguje https
když do prohlízece zadám pouzivat proxy, IP adresu a port 3128 tak https funguje

no aspon ze tak

v tom vypisu iptables vidim toto pravidlo:


Chain loc_dnat (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1    13841  665K REDIRECT   tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80 redir ports 3128

Zkus se mrknout do konfiguraku shorwallu a to same tam zkusit udelat i pro port TCP/443 (opravte me jestli se pletu), to by melo presmerovat vsechny pozadavky ve na tu proxynu a jak jsi rikal to ti funguje. Nebudes tak muset ve vsech pocitacitacich v siti nastavovat proxy.
16.6.2009 08:51 Ondra
Rozbalit Rozbalit vše Re: Nefunguje https

pridal jsem do shorewallu REDIRECT loc 3128 tcp www -
REDIRECT loc 3128 tcp https - a prohlizec (firefox) hlasi -> Při spojení s www.seznam.cz nastala chyba.
Při komunikaci protokolem SSL byl obdržen záznam přesahující maximální povolenou délku.
(Kód chyby: ssl_error_rx_record_too_long)

houska avatar 16.6.2009 09:18 houska | skóre: 41 | blog: HW
Rozbalit Rozbalit vše Re: Nefunguje https
tak to vrat zase zpet, tudy cesta nevede
16.6.2009 09:14 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Nefunguje https
To fungovat nebude. Hledal jsem, zda takové pravidlo ve firewallu není, protože to by právě způsobilo nefunkčnost, ale nenašel jsem ho.

Pro protokol HTTP se může použít "man-in-the-middle" útok na spojení (nebo-li transparentní proxy server), HTTPS se proti takovým útokům brání.
16.6.2009 08:42 rastos | skóre: 60 | blog: rastos
Rozbalit Rozbalit vše Re: Nefunguje https
Už sa to tu ťahá nejak pridlho.

IP adresa stroja na ktorom je browser je aká? 172.22.10.147 ?

Toto pravidlo
Chain loc_dnat (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1    13841  665K REDIRECT   tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80 redir ports 3128

tam robí čo?

Máš tam tých pravidiel plnú *** a mne sa nechce študovať to jedno po druhom. Výpis iptables, ti ukazuje počet paketov (a ich bajtov) ktoré sa zhodli s nejakým pravidlom. Môžeš ich vynulovať (iptables -Z) a pozrieť, kde sa tie počty zmenia pri pokuse ísť von. Dokážeš podľa toho určiť, ktoré pravidlo sa použilo, keď pošleš paket z browseru bez nastaveného proxy?
16.6.2009 08:52 Ondra2
Rozbalit Rozbalit vše Re: Nefunguje https

Tak pakety se hybou, vynuloval jsem a naskocilo tam:


 

Chain loc_dnat (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1     1139 54680 REDIRECT   tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80 redir ports 3128
2      309 14832 REDIRECT   tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:443 redir ports 3128

 

16.6.2009 08:59 Ondra
Rozbalit Rozbalit vše Re: Nefunguje https

 ve /var/log/squid/cache.log se u vsech stanic co se snazi pripojit na https haze toto:
2009/06/16 08:46:47| parseHttpRequest: Unsupported method '???'
2009/06/16 08:46:47| clientTryParseRequest: FD 26 (172.22.1.5:1786) Invalid Request

16.6.2009 09:17 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Nefunguje https
V tom případě je komunikace těch prohlížečů přesměrována na proxy i pro protokol HTTPS (port 443), což je špatně. Nikde ale tohle pravidlo ve firewallu nevidím. buď to mají nastavené přímo ty stanice, nebo to dělá ještě nějaký jiný router někde dál.
16.6.2009 09:15 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Nefunguje https
To pravidlo nastavuje transparentní proxy server pro protokol HTTP (na portu 80), S HTTPS nemá nic společného.
16.6.2009 15:22 Ondra
Rozbalit Rozbalit vše Re: Nefunguje https

Tak v čem jiném může být problém?

houska avatar 16.6.2009 15:48 houska | skóre: 41 | blog: HW
Rozbalit Rozbalit vše Re: Nefunguje https
oprav to co jsem ti blbe poradil a zkus znovu zjistit kde to zahazuje pakety ... jak uz jsi jednou zkousel
16.6.2009 20:29 Ondra
Rozbalit Rozbalit vše Re: Nefunguje https

Vyzkousim, ze shorewallu jsem to zrusil, hned zitra z rana na to mrkneme a uvidi se, nemuze to delat BIND9? V nejakych  lozich jsem videl, ze mi to neautorizuje IP adresu :-( A pri restartu BINDU to haze:

 

Stopping domain name service...: bindrndc: connection to remote host closed
This may indicate that
* the remote server is using an older version of the command protocol,
* this host is not authorized to connect,
* the clocks are not syncronized, or
* the key is invalid.

16.6.2009 20:39 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Nefunguje https
Bind s tím určitě nesouvisí. Problém je v tom, že prohlížeč se pokouší protokolem HTTPS určeným pro cílový server komunikovat s proxy serverem, ten tomu ale samozřejmě nerozumí (z HTTPS umí jenom metodu CONNECT, kterou zprostředkuje kanál mezi klientem a serverem). Zřejmě je to někde nějaký pokus udělat transparentní proxy pro protokol HTTPS, což nejde – ale v tom výpisu firewallu nic takového nevidím, takže problém musí být někde jinde. Což se nejsnáze zjistí tak, že pomocí třeba toho tcpdumpu budete sledovat, kudy ty pakety vlastně jdou a zaměříte se na zařízení po cestě.
16.6.2009 16:48 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Nefunguje https
Zřejmě se ten provoz na proxy přesměrovává někde jinde – buď na stanici, nebo na nějakém dalším routeru. Zkuste příkaz tcpdump, co jsem tady někde uváděl – nejprve asi a stanici, abyste viděl, kam vlastně HTTPS provoz ze stanice směřuje. A pak případně dál, na routerech.
17.6.2009 09:23 Ondra
Rozbalit Rozbalit vše Re: Nefunguje https

Jde nejak sledovat tcpdump pouze jednoho pocitace v siti? kdyz to spustim v konzoli tak tam je velky provoz a nejak se v tom nevyznam.Mam v siti hodne zapojenych pocitacu..Potreboval bych teda nejak sledovat pouze stanici na ktere to testuji (172.22.1.5).

houska avatar 17.6.2009 10:17 houska | skóre: 41 | blog: HW
Rozbalit Rozbalit vše Re: Nefunguje https
tcpdump host 172.22.1.5

... nevim proc jsem si vzpomel na hlasku ucitele na stredni, ktery kdyz videl praci spoluzaka tak jen odvetil: "vis co? Vyser se na to a jdi prodavat banany"

17.6.2009 11:07 rastos | skóre: 60 | blog: rastos
Rozbalit Rozbalit vše Re: Nefunguje https
"vis co? Vyser se na to a jdi prodavat banany"

Myslím, že týmto príspevkom nastal čas kliknúť na "Otázka byla vyřešena" :-D
houska avatar 17.6.2009 11:17 houska | skóre: 41 | blog: HW
Rozbalit Rozbalit vše Re: Nefunguje https
nepředpokládám že mě poslechne, takže asi ne ;)
17.6.2009 11:23 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Nefunguje https
Už v komentáři o hodně výš jsem uváděl parametry, které zajistí sledování jenom provozu HTTPS:
tcpdump -n "port 443"
Pokud chcete sledovat HTTPS jen z jedné stanice, stačí zadat
tcpdump -n "host 172.22.1.5 and port 443"
17.6.2009 12:18 Ondra
Rozbalit Rozbalit vše Re: Nefunguje https

Jeste nez zjistim kde maji nejlevnejsi banany na nakup tak jsem udelal jeste neco....

Tohle je vypis z tcpdump kdyz jsem se na loklanim pc snazil dostat na https://www.seznam.cz

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes

12:12:35.830514 IP 172.22.1.5.2685 > 77.75.72.3.443: S 4238929810:4238929810(0) win 65535 <mss 1460,nop,nop,sackOK>

12:12:38.794599 IP 172.22.1.5.2685 > 77.75.72.3.443: S 4238929810:4238929810(0) win 65535 <mss 1460,nop,nop,sackOK>

12:12:44.729108 IP 172.22.1.5.2685 > 77.75.72.3.443: S 4238929810:4238929810(0) win 65535 <mss 1460,nop,nop,sackOK>

17.6.2009 12:23 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Nefunguje https
Takže se ten prohlížeč pokoušel komunikovat přímo s cílovým serverem, ale nedostal žádnou odpověď. Tohle je výpis ze kterého počítače, z routeru? A eth1 je zařízení připojené do vnitřní sítě? Pak bych zkusil ještě
tcpdump -ni eth0 "port 443"
(pokud eth0 je zařízení připojené „do Internetu“) – uvidíte, jestli pakety routerem vůbec prošly dál a jestli na ně nebyl aplikován nějaký NAT.
17.6.2009 12:42 Ondra
Rozbalit Rozbalit vše Re: Nefunguje https

eth0 je internet a eth1 je lokalni, kdyz se dumpuje eth1 tak komunikace jde videt, jde na proxy, ale z proxy na eth0 pozadavek nejde (myslim ven)

a ten vypis, ktery jsem poslal je vypis komunikace vnitrni stanice na ktere jsem zadal https://www.seznam.cz a ta komunikovala tedy s proxy, ale z proxy do internetu pozadavek uz nejde.

17.6.2009 12:49 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Nefunguje https
To je špatně, že jde na proxy. HTTPS musí jít buď přímo na server, nebo přímo na proxy. Ale nemůže tam být pro HTTPS transparentní proxy, to s protokolem HTTPS nejde. Ta pravidla z routeru jsou ta vypsaná výše v diskusi? Já tam žádné přesměrování portu 443 nevidím…
17.6.2009 12:51 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Nefunguje https
Můžete sem ještě jednou (jako přílohu nebo do tagu <pre>) dát aktuální výpis
iptables --line-numbers -t nat -vnL
?
17.6.2009 12:58 Ondra
Rozbalit Rozbalit vše Re: Nefunguje https

 

num   pkts bytes target     prot opt in     out     source               destination
1       78  4556 net_dnat   all  --  eth0   *       0.0.0.0/0            0.0.0.0/0
2      137  9551 loc_dnat   all  --  eth1   *       0.0.0.0/0            0.0.0.0/0

Chain POSTROUTING (policy ACCEPT 264 packets, 17367 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1      199 13377 eth0_masq  all  --  *      eth0    0.0.0.0/0            0.0.0.0/0

Chain OUTPUT (policy ACCEPT 265 packets, 17427 bytes)
num   pkts bytes target     prot opt in     out     source               destination

Chain eth0_masq (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 MASQUERADE  all  --  *      *       172.22.0.0/16        0.0.0.0/0

Chain loc_dnat (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1       41  1972 REDIRECT   tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80 redir ports 3128

Chain net_dnat (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 DNAT       tcp  --  *      *       85.71.197.116        0.0.0.0/0           tcp dpt:61003 to:172.22.1.3:3389
 

17.6.2009 13:23 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Nefunguje https
Já v tom tedy žádné přesměrování na proxy nevidím.

Jak jste psal výš, ta zachycená komunikace není komunikace klienta s proxy, ale klient se pokouší komunikovat se serverem Seznamu. Můžete sem dát i výpis
tcpdump -ni eth0 "port 443"
ať je vidět, zda to přesměrování dělá opravdu tenhle router, nebo jiné zařízení?
17.6.2009 13:54 Ondra
Rozbalit Rozbalit vše Re: Nefunguje https

No klidne bych dal, ale lita tam spousta dalsich connectionů z celé sítě :-(

17.6.2009 13:59 Ondra
Rozbalit Rozbalit vše Re: Nefunguje https

Tak jsem to pustil, rychle otestoval a opravdu se tam nic neukáže, lítají tam jen connectiony, které jdou přes ICQ apod. kde je nastaven port 3128 a funguje normalne pres zabezpeceny SSL protokol (443)

17.6.2009 14:11 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Nefunguje https
V tom případě to opravdu musí přesměrovávat tento router. Ale ve výpisu nikde přesměrování nevidím. Napadá mne jedině zkusit jedině na chvíli vyresetovat celý NAT (nebo lépe celý firewall) do základního stavu, aby bylo vidět, zda pak už půjde komunikace přes router přímo do internetu.
17.6.2009 14:17 Ondra
Rozbalit Rozbalit vše Re: Nefunguje https

Když jej vyresetuju tak mi internet apod. nefunguje ... :-( Je zvlastni jedna vec a to ta, ze internet mi ted bez i tak, ze nemusim mit v prohlizeci nastaveno pouzivat proxy server 172.22.1.1:3128 a funguje teda v poradku jen bez HTTPS (kjdyz proxy zapnu tak funguje i HTTPS), ale nefunguje mi ani pri vypnutem a zapnutem proxy ping na jakykoli server venku :-( A to je docela zvlastni co to dela :-( Vzdycky to fungovalo, problemy opravdu az po upgrade z ETCH na LENNY :-(

17.6.2009 14:23 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Nefunguje https
Když jej vyresetuju tak mi internet apod. nefunguje ...
To je jasné, protože tam pak není maškaráda. Ale aspoň by bylo přes tcpdump vidět, zda pakety pro protokol HTTPS přes router opravdu pokračují rovnou dál do internetu, a ne na proxy server.
Je zvlastni jedna vec a to ta, ze internet mi ted bez i tak, ze nemusim mit v prohlizeci nastaveno pouzivat proxy server 172.22.1.1:3128 a funguje teda v poradku jen bez HTTPS (kjdyz proxy zapnu tak funguje i HTTPS), ale nefunguje mi ani pri vypnutem a zapnutem proxy ping na jakykoli server venku :-(
To je jasné – v pravidlech máte přesměrování portu 80 na proxy server, takže pro protokol HTTP to funguje jako transparentní proxy server. Pro HTTPS nic takového existovat nemůže. Ping s HTTP proxy serverem nijak nesouvisí.
17.6.2009 14:32 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Nefunguje https
Jinak mne napadá už jedině možnost počkat si, až nebude v síti žádný provoz, vynulovat čítače na firewallu a pak postupně sledovat pak navazující HTTPS spojení, na jaké rozhraní přijde, které čítače na firewallu zvýší, jestli se NATuje a jestli a kudy odejde.
17.6.2009 14:41 Ondra
Rozbalit Rozbalit vše Re: Nefunguje https

Tak ještě jeden poznatek, teď již funguje https i pingy :-) Ale bohužel nechápu co tomu mohlo pomoci, to že jsem vypl shorewall a vymazal iptables pomoci iptables -X ??? Může to dělat i něco jiného, že by připsalo nějaké pravidla při bootování apod.?

17.6.2009 14:40 Ondra
Rozbalit Rozbalit vše Re: Nefunguje https

Tak jsem testoval

tcpdump -ni eth0 "port 443"

při vypnutém shorewallu a iptables -X ... teď se již snažil na 443 připojit, tak že by problém shorewallu?

houska avatar 17.6.2009 14:47 houska | skóre: 41 | blog: HW
Rozbalit Rozbalit vše Re: Nefunguje https
že by problém shorewallu

ukaz konfiguraky

17.6.2009 14:51 Ondra
Rozbalit Rozbalit vše Re: Nefunguje https

Konfiguraku je hodne, ktery potrebujes?

Ted jsem restartl server a opravdu zase nefunguje, vypl jsem shorewall stop, potom iptables -X a pak zase shorewall start a rozjelo se to ...

houska avatar 17.6.2009 15:12 houska | skóre: 41 | blog: HW
Rozbalit Rozbalit vše Re: Nefunguje https
hele neni mozny ze se treba nektery konfiguraky nenactou? zkus se podivat do logu co se tam behem toho startu deje

rekl bych ze pri startu serveru se nic jineho nez shorwall start nedela ...

17.6.2009 15:31 Ondra
Rozbalit Rozbalit vše Re: Nefunguje https

nastaveny asi bude, po restartu vidim, ze v iptables jsou jiz pravidla zapsany. Tak jsem udelal sposuteci script, ktery vypne shorewall, spusti iptables -Xa zapne shorewall, takze ted jiz vse po startu funguje. Velice Vám děkujeme za Vaše rady, které nás navedly na to v čem může být problém.

houska avatar 17.6.2009 15:51 houska | skóre: 41 | blog: HW
Rozbalit Rozbalit vše Re: Nefunguje https
co takhle jeste zjistit kdo/co je tam pri tom startu nacpal? a zatrhnout mu to ;)
houska avatar 17.6.2009 15:54 houska | skóre: 41 | blog: HW
Rozbalit Rozbalit vše Re: Nefunguje https
neni v init skriptech pred ukoncenim neco jako iptables-save a po spusteni iptables-restore?

zkus se taky podivat jestli neni neco zajimavyho v /etc/default/

17.6.2009 16:18 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Nefunguje https
Chtělo by to zjistit, který spouštěcí skript tam ta pravidla přidá – zkuste v adresáři /etc hledat soubory, které obsahují iptables-restore. A pak by mne také zajímalo, které pravidlo to způsobuje, já ho tam nikde nevidím…
15.6.2009 09:17 Ondra
Rozbalit Rozbalit vše Re: Nefunguje https

mod_ssl je na pache funkcni.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.