abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

dnes 12:55 | Nová verze

Byla vydána verze 17.12.0 KDE Aplikací (KDE Applications). Přehled novinek v kompletním seznamu změn a na stránce s dalšími informacemi. Aplikace, které nebyly dosud portovány na KDE Frameworks 5, byly z KDE Aplikací odstraněny.

Ladislav Hagara | Komentářů: 9
dnes 03:00 | Komunita

Na Humble Bundle lze získat počítačovou hru Company of Heroes 2 (Wikipedie, YouTube) běžící také v Linuxu zdarma. Speciální akce končí v sobotu v 19:00.

Ladislav Hagara | Komentářů: 0
dnes 02:00 | Zajímavý software

Christian Kellner představil na svém blogu projekt Bolt řešící bezpečnost rozhraní Thunderbolt 3 na Linuxu. Pomocí příkazu boltctl nebo rozšíření GNOME Shellu lze komunikovat s démonem boltd a například zakázat neznámá zařízení a předejít tak útokům typu Thunderstrike nebo DMA.

Ladislav Hagara | Komentářů: 5
dnes 01:00 | Nová verze

Po půl roce vývoje od vydání verze 11.0 byla vydána verze 11.1 svobodného softwaru pro vytváření datových úložišť na síti FreeNAS (Wikipedie). Nejnovější FreeNAS je postaven na FreeBSD 11.1. Přehled novinek v příspěvku na blogu. Zdůraznit lze zvýšení výkonu OpenZFS, počáteční podporu Dockeru nebo synchronizaci s cloudovými službami Amazon S3 (Simple Storage Services), Backblaze B2 Cloud, Google Cloud a Microsoft Azure

Ladislav Hagara | Komentářů: 0
včera 23:55 | Nová verze

Po dvou měsících vývoje od vydání verze 235 oznámil Lennart Poettering vydání verze 236 správce systému a služeb systemd (GitHub, NEWS).

Ladislav Hagara | Komentářů: 5
včera 20:00 | Nová verze Ladislav Hagara | Komentářů: 0
včera 19:33 | Pozvánky

Pražská Fedora 27 Release Party, oslava nedávného vydání Fedory 27, se uskuteční 19. prosince od 19:00 v prostorách společnosti Etnetera (Jankovcova 1037/49). Na programu budou přednášky o novinkách, diskuse, neřízený networking atd.

Ladislav Hagara | Komentářů: 0
včera 18:11 | Nová verze

Byla vydána verze 2.11.0 QEMU (Wikipedie). Přispělo 165 vývojářů. Provedeno bylo více než 2 000 commitů. Přehled úprav a nových vlastností v seznamu změn.

Ladislav Hagara | Komentářů: 0
včera 17:44 | Komunita

Canonical oznámil dostupnost kryptografických balíčků s certifikací FIPS 140-2 úrovně 1 pro Ubuntu 16.04 LTS pro předplatitele podpory Ubuntu Advantage Advanced. Certifikace FIPS (Federal Information Processing Standards) jsou vyžadovány (nejenom) vládními institucemi USA.

Ladislav Hagara | Komentářů: 3
včera 16:11 | Zajímavý software

Společnost Avast uvolnila zdrojové kódy svého dekompilátoru RetDec (Retargetable Decompiler) založeného na LLVM. Vyzkoušet lze RetDec jako webovou službu nebo plugin pro interaktivní disassembler IDA. Zdrojové kódy RetDec jsou k dispozici na GitHubu pod open source licencí MIT.

Ladislav Hagara | Komentářů: 3
Jak se vás potenciálně dotkne trend odstraňování analogového audio konektoru typu 3,5mm jack z „chytrých telefonů“?
 (8%)
 (1%)
 (1%)
 (1%)
 (76%)
 (14%)
Celkem 997 hlasů
 Komentářů: 45, poslední 1.12. 19:00
    Rozcestník

    Dotaz: Nefunguje https

    12.6.2009 11:30 Ondra
    Nefunguje https
    Přečteno: 1135×

    Dobrý den, mám upgradovaný server na debian lenny a po instalaci mi prestal fungovat protokol https://.

    Předem děkuji za odpověd'.

    Odpovědi

    houska avatar 12.6.2009 13:28 houska | skóre: 41 | blog: HW
    Rozbalit Rozbalit vše Re: Nefunguje https
    tak to to mas asi rozbity ...

    dodal jsi prilis malo informaci ... co hlasi browser? co hlasi apache do logu kdyz se na https snazis dostat? co error log?

    12.6.2009 14:01 Ondra
    Rozbalit Rozbalit vše Re: Nefunguje https

    firefox hlásí ->

    Vypršel čas na spojení
    Při pokusu kontaktovat server vypršel časový limit.

    explorer->

    Aplikace Internet Explorer nemůže zobrazit tuto webovou stránku.

     

    houska avatar 12.6.2009 14:19 houska | skóre: 41 | blog: HW
    Rozbalit Rozbalit vše Re: Nefunguje https
    no tohle vypada, ze na tom portu nic neni, takze se podivej jestli apache opravdu bezi

    a jestli bezi, tak se bez konfiguraku apache a logu ani nevracej ;)

    12.6.2009 14:07 rastos | skóre: 60 | blog: rastos
    Rozbalit Rozbalit vše Re: Nefunguje https
    No a sever počúva na porte 443? (Viď netstat) Ak nie, tak v konfiguráku to má povolené?
    12.6.2009 14:33 Ondra
    Rozbalit Rozbalit vše Re: Nefunguje https

    jak to zjistím?

    houska avatar 12.6.2009 14:50 houska | skóre: 41 | blog: HW
    Rozbalit Rozbalit vše Re: Nefunguje https
    netstat -lan |grep 443

    houska avatar 12.6.2009 14:52 houska | skóre: 41 | blog: HW
    Rozbalit Rozbalit vše Re: Nefunguje https
    a jestli ti to nevrati mj. neco jako
    tcp        0      0 0.0.0.0:443            0.0.0.0:*               LISTEN
    
    tak to nemas v konfiguraku povoleny
    12.6.2009 15:06 Ondra
    Rozbalit Rozbalit vše Re: Nefunguje https

    pise to tohle->

    tcp6       0      0 :::443                  :::*                    LISTEN
     

    houska avatar 12.6.2009 15:14 houska | skóre: 41 | blog: HW
    Rozbalit Rozbalit vše Re: Nefunguje https
    hm, tzn ze posloucha na ipv6, podle tvych znalosti usuzuju ze to neni to co po nem chces, takze doporucuju se podivat do dokumentace
    15.6.2009 08:56 Ondra
    Rozbalit Rozbalit vše Re: Nefunguje https

    a na cem by mel poslouchat kdyz ne ipv6? A jak se to da udelat?

    houska avatar 15.6.2009 09:15 houska | skóre: 41 | blog: HW
    Rozbalit Rozbalit vše Re: Nefunguje https
    treba ipv4 :)
    15.6.2009 14:01 Ondra
    Rozbalit Rozbalit vše Re: Nefunguje https

    a jak ? :o)

    12.6.2009 14:20 Ondra
    Rozbalit Rozbalit vše Re: Nefunguje https

    squid log: 2009/06/12 14:03:43| parseHttpRequest: Unsupported method '?'

     

    2009/06/12 14:03:43| clientTryParseRequest: FD 30 (172.22.10.147:4812) Invalid Request

     

    2009/06/12 14:05:43| parseHttpRequest: Unsupported method 'y?Ív«;\?d~^!?+I×ió?_O/ż?˛|B´?ń“Ěź?/9v–“™'–—uĺ÷'

     

    2009/06/12 14:05:43| clientTryParseRequest: FD 149 (172.22.10.147:4832) Invalid Request

     

    2009/06/12 14:06:06| clientTryParseRequest: FD 96 (172.22.10.147:4839) Invalid Request

     

    2009/06/12 14:06:30| parseHttpRequest: Unsupported method ']XóȤm'

     

    2009/06/12 14:06:30| clientTryParseRequest: FD 34 (172.22.10.147:4843) Invalid Request

     

    2009/06/12 14:06:46| clientTryParseRequest: FD 31 (172.22.10.147:4846) Invalid Request

     

    2009/06/12 14:10:11| clientTryParseRequest: FD 98 (172.22.10.147:4886) Invalid Request

     

    2009/06/12 14:10:35| clientTryParseRequest: FD 37 (172.22.10.147:4890) Invalid Request

     

    2009/06/12 14:10:59| clientTryParseRequest: FD 56 (172.22.10.147:4896) Invalid Request

     

    12.6.2009 18:53 Jaris | skóre: 19 | blog: Jaris
    Rozbalit Rozbalit vše Re: Nefunguje https

    nebezi nahodou apache bez ssl na porte 443? 

    12.6.2009 17:27 moky | skóre: 5
    Rozbalit Rozbalit vše Re: Nefunguje https

    a co firewall? neblokuje port 443?

    12.6.2009 18:42 Ondra
    Rozbalit Rozbalit vše Re: Nefunguje https

    Firewall jej neblokuje :-( Je povolený, vše se udělo po přeinstalaci z DEBIAN ETCH na LENNYho, vše zůstalo nezměněno, vypadá to spíše na problém ve squidu, jedná se tedy o to, že když někdo z vnitřní sítě zadá adresu např. https://www.seznam.cz nebo se snaží připojit do mailu centrumu apod. tak se mu https stránka nezobrazí :-( vnitřně jsou povoleny porty 80 i 443, port 80 jede normálně, ale 443 ne :-(

    Nemůže být problém v tom, že je potřeba překonfigurovat SSL certifikáty, když je nová distribuce, nerozumím tomu tak, ale myslím si, že SSL je spíš pro apache a postfix a vliv na to, zda-li bude zobrazovat squid port 443 to asi nemá vliv, že? Přímo z KDE na danem serveru se k https připojím, tak to opravdu vypadá na squida

     

    15.6.2009 07:58 Ondra
    Rozbalit Rozbalit vše Re: Nefunguje https

    nikdo neví?

    houska avatar 15.6.2009 08:25 houska | skóre: 41 | blog: HW
    Rozbalit Rozbalit vše Re: Nefunguje https
    zkus sem dát konfigurák toho squida (bez komentářů)
    15.6.2009 08:51 Ondra
    Rozbalit Rozbalit vše Re: Nefunguje https

    Nejedna se o stranky na serveru ale nejdou stranky ktere jsou na internetu..Takze kdyz nejede https na apache nejede https ani na squidu?

    15.6.2009 08:34 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Nefunguje https
    Pokračoval bych tady
    15.6.2009 09:06 Tomáš
    Rozbalit Rozbalit vše Re: Nefunguje https

    Přeci nemůže mít apache vliv na squid nebo jo? Co když budu chtít mít na proxyně pouze udělaný proxy server a prostě si prohlížet zabezpečené stránky např. www.mojebanka.cz apod. ... to budu muset kvůli tomu instalovat apache?

    15.6.2009 09:16 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Nefunguje https
    Co tedy vůbec řešíte? Že vám na vašem serveru nefunguje HTTPS, nebo že vy se nemůžete s prohlížečem připojit na cizí servery protokolem HTTPS?
    houska avatar 15.6.2009 09:19 houska | skóre: 41 | blog: HW
    Rozbalit Rozbalit vše Re: Nefunguje https
    apachem to asi opravdu nebude

    tazatel je trumbelin a ani nedokaze poradne napsat co mu nefunguje (viz dotaz), takze jsem si nespravne myslel ze mluvi o web serveru, ale zrejme se jedna o to ze mu ze site kterou provozuje nejde dostat ven na https ... protoze mu update asi rozbyl squida

    15.6.2009 09:24 Ondra
    Rozbalit Rozbalit vše Re: Nefunguje https

    Mas pravdu. To je ten problem..:o/

    15.6.2009 09:26 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Nefunguje https
    No a jak to tedy je? Co vám nefunguje?
    15.6.2009 09:33 Tomáš
    Rozbalit Rozbalit vše Re: Nefunguje https

    Nefunguje na Lennym přístup na HTTPS servery na internetu, nelze se tedy přihlásit do seznam a centrum e-mailu, do internetových bankovnictví, všude tam, kde se používá HTTPS (443). Prostě z vnitřní sítě nelze na HTTPS přijít, z proxy serveru se na https dostane. Co se týká firewallu, port 443 je z vnitrni site povolen. Prikladam jeho squid.conf:

     

     

    http_port 3128 transparent

    hierarchy_stoplist cgi-bin ?

    acl QUERY urlpath_regex cgi-bin \?

    #cache_dir diskd /var/spool/squid 100 16 256

    cache_store_log none

    auth_param basic children 5

    auth_param basic realm Squid proxy-caching web server

    auth_param basic credentialsttl 2 hours

    refresh_pattern ^ftp: 1440 20% 10080

    refresh_pattern ^gopher: 1440 0% 1440

    refresh_pattern . 0 20% 4320

    half_closed_clients off

    acl all src 0.0.0.0/0.0.0.0

    acl wifistudent src 172.22.254.0/255.255.255.200

    delay_pools 1

    delay_class 1 1

    delay_access 1 allow wifistudent

    delay_parameters 1 64000/64000

    acl manager proto cache_object

    acl localhost src 127.0.0.1/255.255.255.255

    acl to_localhost dst 127.0.0.0/8

    acl SSL_ports port 443 563

    acl Safe_ports port 80 # http

    acl Safe_ports port 21 # ftp

    acl Safe_ports port 443 563 # https, snews

    acl Safe_ports port 70 # gopher

    acl Safe_ports port 210 # wais

    acl Safe_ports port 1025-65535 # unregistered ports

    acl Safe_ports port 280 # http-mgmt

    acl Safe_ports port 488 # gss-http

    acl Safe_ports port 591 # filemaker

    acl Safe_ports port 777 # multiling http

    acl CONNECT method CONNECT

    http_access allow manager localhost

    http_access deny manager

    http_access deny !Safe_ports

    http_access deny CONNECT !SSL_ports

    http_access deny to_localhost

    acl mynetwork src 172.22.0.0/255.255.0.0

    no_cache deny QUERY all

    http_access allow mynetwork

    http_access allow localhost

    http_reply_access allow all

    icp_access allow all

    visible_hostname firewall

    append_domain .vasweb.cz

    err_html_text roman@gfpvm.cz

    error_directory /usr/share/squid/errors/Czech

    deny_info ERR_ACCESS_DENIED all

    #memory_pools off

    coredump_dir /var/spool/squid

    ie_refresh on

    vary_ignore_expire on

    #httpd_accel_single_host off

    forwarded_for off

    #redirect_program /usr/bin/squidGuard -c /etc/squid/squidGuard.conf

    cache_effective_user proxy

    cache_effective_group proxy

    access_log none

    read_timeout 30 second

    log_fqdn on

    15.6.2009 10:08 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Nefunguje https
    Pokud to přes proxy server jde a přímo ne, bude problém spíš ve firewallu, proxy server s tou nefunkčností pak nemá nic společného. Pokud je router linuxový, vložte sem výpis
    iptables --line-numbers -vnL
    iptables --line-numbers -t nat -vnL
    
    15.6.2009 11:30 Ondra
    Rozbalit Rozbalit vše Re: Nefunguje https

     iptables --line-numbers -vnL


    Chain INPUT (policy DROP 1 packets, 60 bytes)
    num   pkts bytes target     prot opt in     out     source               destination
    1    34009   21M ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
    2     876K 1134M eth0_in    all  --  eth0   *       0.0.0.0/0            0.0.0.0/0
    3     474K   53M eth1_in    all  --  eth1   *       0.0.0.0/0            0.0.0.0/0
    4        0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
    5        0     0 Reject     all  --  *      *       0.0.0.0/0            0.0.0.0/0
    6        0     0 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0           LOG flags 0 level 6 prefix `Shorewall:INPUT:REJECT:'
    7        0     0 reject     all  --  *      *       0.0.0.0/0            0.0.0.0/0

    Chain FORWARD (policy DROP 0 packets, 0 bytes)
    num   pkts bytes target     prot opt in     out     source               destination
    1        0     0 eth0_fwd   all  --  eth0   *       0.0.0.0/0            0.0.0.0/0
    2        0     0 eth1_fwd   all  --  eth1   *       0.0.0.0/0            0.0.0.0/0
    3        0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
    4        0     0 Reject     all  --  *      *       0.0.0.0/0            0.0.0.0/0
    5        0     0 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0           LOG flags 0 level 6 prefix `Shorewall:FORWARD:REJECT:'
    6        0     0 reject     all  --  *      *       0.0.0.0/0            0.0.0.0/0

    Chain OUTPUT (policy DROP 0 packets, 0 bytes)
    num   pkts bytes target     prot opt in     out     source               destination
    1    33964   21M ACCEPT     all  --  *      lo      0.0.0.0/0            0.0.0.0/0
    2     604K   73M eth0_out   all  --  *      eth0    0.0.0.0/0            0.0.0.0/0
    3     701K 1142M eth1_out   all  --  *      eth1    0.0.0.0/0            0.0.0.0/0
    4        0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
    5        0     0 Reject     all  --  *      *       0.0.0.0/0            0.0.0.0/0
    6        0     0 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0           LOG flags 0 level 6 prefix `Shorewall:OUTPUT:REJECT:'
    7        0     0 reject     all  --  *      *       0.0.0.0/0            0.0.0.0/0

    Chain Drop (1 references)
    num   pkts bytes target     prot opt in     out     source               destination
    1        0     0 reject     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:113
    2       66  2112 dropBcast  all  --  *      *       0.0.0.0/0            0.0.0.0/0
    3        0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 3 code 4
    4        0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 11
    5        0     0 dropInvalid  all  --  *      *       0.0.0.0/0            0.0.0.0/0
    6        0     0 DROP       udp  --  *      *       0.0.0.0/0            0.0.0.0/0           multiport dports 135,445
    7        0     0 DROP       udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpts:137:139
    8        0     0 DROP       udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp spt:137 dpts:1024:65535
    9        0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           multiport dports 135,139,445
    10       0     0 DROP       udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:1900
    11       0     0 dropNotSyn  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0
    12       0     0 DROP       udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp spt:53

    Chain Reject (4 references)
    num   pkts bytes target     prot opt in     out     source               destination
    1        0     0 reject     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:113
    2        0     0 dropBcast  all  --  *      *       0.0.0.0/0            0.0.0.0/0
    3        0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 3 code 4
    4        0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 11
    5        0     0 dropInvalid  all  --  *      *       0.0.0.0/0            0.0.0.0/0
    6        0     0 reject     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           multiport dports 135,445
    7        0     0 reject     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpts:137:139
    8        0     0 reject     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp spt:137 dpts:1024:65535
    9        0     0 reject     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           multiport dports 135,139,445
    10       0     0 DROP       udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:1900
    11       0     0 dropNotSyn  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0
    12       0     0 DROP       udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp spt:53

    Chain all2all (0 references)
    num   pkts bytes target     prot opt in     out     source               destination
    1        0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
    2        0     0 Reject     all  --  *      *       0.0.0.0/0            0.0.0.0/0
    3        0     0 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0           LOG flags 0 level 6 prefix `Shorewall:all2all:REJECT:'
    4        0     0 reject     all  --  *      *       0.0.0.0/0            0.0.0.0/0

    Chain dropBcast (2 references)
    num   pkts bytes target     prot opt in     out     source               destination
    1        0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           PKTTYPE = broadcast
    2       66  2112 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           PKTTYPE = multicast

    Chain dropInvalid (2 references)
    num   pkts bytes target     prot opt in     out     source               destination
    1        0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           state INVALID

    Chain dropNotSyn (2 references)
    num   pkts bytes target     prot opt in     out     source               destination
    1        0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp flags:!0x17/0x02

    Chain dynamic (4 references)
    num   pkts bytes target     prot opt in     out     source               destination

    Chain eth0_fwd (1 references)
    num   pkts bytes target     prot opt in     out     source               destination
    1        0     0 dynamic    all  --  *      *       0.0.0.0/0            0.0.0.0/0           state INVALID,NEW
    2        0     0 net2loc    all  --  *      eth1    0.0.0.0/0            0.0.0.0/0

    Chain eth0_in (1 references)
    num   pkts bytes target     prot opt in     out     source               destination
    1     1283 99066 dynamic    all  --  *      *       0.0.0.0/0            0.0.0.0/0           state INVALID,NEW
    2     876K 1134M net2fw     all  --  *      *       0.0.0.0/0            0.0.0.0/0

    Chain eth0_out (1 references)
    num   pkts bytes target     prot opt in     out     source               destination
    1     604K   73M fw2net     all  --  *      *       0.0.0.0/0            0.0.0.0/0

    Chain eth1_fwd (1 references)
    num   pkts bytes target     prot opt in     out     source               destination
    1        0     0 dynamic    all  --  *      *       0.0.0.0/0            0.0.0.0/0           state INVALID,NEW
    2        0     0 loc2net    all  --  *      eth0    0.0.0.0/0            0.0.0.0/0

    Chain eth1_in (1 references)
    num   pkts bytes target     prot opt in     out     source               destination
    1    21173 1395K dynamic    all  --  *      *       0.0.0.0/0            0.0.0.0/0           state INVALID,NEW
    2     474K   53M loc2fw     all  --  *      *       0.0.0.0/0            0.0.0.0/0

    Chain eth1_out (1 references)
    num   pkts bytes target     prot opt in     out     source               destination
    1     701K 1142M fw2loc     all  --  *      *       0.0.0.0/0            0.0.0.0/0

    Chain fw2loc (1 references)
    num   pkts bytes target     prot opt in     out     source               destination
    1     701K 1142M ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
    2       30  3610 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0

    Chain fw2net (1 references)
    num   pkts bytes target     prot opt in     out     source               destination
    1     582K   72M ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
    2    22528 1442K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0

    Chain loc2fw (1 references)
    num   pkts bytes target     prot opt in     out     source               destination
    1     453K   51M ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
    2    13783  662K ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:3128
    3     7390  733K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0

    Chain loc2net (1 references)
    num   pkts bytes target     prot opt in     out     source               destination
    1        0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
    2        0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           multiport dports 21,80,443,3128,3306,10000
    3        0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:4156
    4        0     0 ACCEPT     tcp  --  *      *       172.22.253.50        0.0.0.0/0           tcp dpts:1:60179
    5        0     0 ACCEPT     tcp  --  *      *       172.22.253.22        0.0.0.0/0           tcp dpts:1:60179
    6        0     0 ACCEPT     tcp  --  *      *       172.22.1.28          0.0.0.0/0           tcp dpts:1:60179
    7        0     0 ACCEPT     tcp  --  *      *       172.22.247.1         0.0.0.0/0           tcp dpts:1:60179
    8        0     0 ACCEPT     tcp  --  *      *       172.22.1.5           0.0.0.0/0           tcp dpts:1:60179
    9        0     0 ACCEPT     tcp  --  *      *       172.22.1.6           0.0.0.0/0           tcp dpts:1:60179
    10       0     0 ACCEPT     tcp  --  *      *       172.22.11.13         0.0.0.0/0           tcp dpts:1:60179
    11       0     0 ACCEPT     tcp  --  *      *       172.22.250.22        0.0.0.0/0           tcp dpts:1:60179
    12       0     0 ACCEPT     tcp  --  *      *       172.22.254.101       0.0.0.0/0           tcp dpts:1:60179
    13       0     0 ACCEPT     udp  --  *      *       172.22.253.50        0.0.0.0/0           udp dpts:1:60179
    14       0     0 ACCEPT     udp  --  *      *       172.22.253.22        0.0.0.0/0           udp dpts:1:60179
    15       0     0 ACCEPT     udp  --  *      *       172.22.1.28          0.0.0.0/0           udp dpts:1:60179
    16       0     0 ACCEPT     udp  --  *      *       172.22.247.1         0.0.0.0/0           udp dpts:1:60179
    17       0     0 ACCEPT     udp  --  *      *       172.22.1.5           0.0.0.0/0           udp dpts:1:60179
    18       0     0 ACCEPT     udp  --  *      *       172.22.1.6           0.0.0.0/0           udp dpts:1:60179
    19       0     0 ACCEPT     udp  --  *      *       172.22.250.22        0.0.0.0/0           udp dpts:1:60179
    20       0     0 ACCEPT     udp  --  *      *       172.22.254.101       0.0.0.0/0           udp dpts:1:60179
    21       0     0 ACCEPT     tcp  --  *      *       172.22.251.30        0.0.0.0/0           tcp dpt:25
    22       0     0 ACCEPT     tcp  --  *      *       172.22.253.3         0.0.0.0/0           tcp dpt:25
    23       0     0 ACCEPT     tcp  --  *      *       172.22.253.5         0.0.0.0/0           tcp dpt:25
    24       0     0 ACCEPT     tcp  --  *      *       172.22.253.20        0.0.0.0/0           tcp dpt:25
    25       0     0 ACCEPT     tcp  --  *      *       172.22.253.22        0.0.0.0/0           tcp dpt:25
    26       0     0 ACCEPT     tcp  --  *      *       172.22.253.54        0.0.0.0/0           tcp dpt:25
    27       0     0 ACCEPT     tcp  --  *      *       172.22.4.1           0.0.0.0/0           tcp dpt:25
    28       0     0 ACCEPT     tcp  --  *      *       172.22.4.9           0.0.0.0/0           tcp dpt:25
    29       0     0 ACCEPT     tcp  --  *      *       172.22.60.45         0.0.0.0/0           tcp dpt:25
    30       0     0 ACCEPT     tcp  --  *      *       172.22.254.102       0.0.0.0/0           tcp dpt:25
    31       0     0 ACCEPT     tcp  --  *      *       172.22.251.30        0.0.0.0/0           tcp dpt:110
    32       0     0 ACCEPT     tcp  --  *      *       172.22.253.3         0.0.0.0/0           tcp dpt:110
    33       0     0 ACCEPT     tcp  --  *      *       172.22.253.5         0.0.0.0/0           tcp dpt:110
    34       0     0 ACCEPT     tcp  --  *      *       172.22.253.20        0.0.0.0/0           tcp dpt:110
    35       0     0 ACCEPT     tcp  --  *      *       172.22.253.22        0.0.0.0/0           tcp dpt:110
    36       0     0 ACCEPT     tcp  --  *      *       172.22.253.54        0.0.0.0/0           tcp dpt:110
    37       0     0 ACCEPT     tcp  --  *      *       172.22.4.1           0.0.0.0/0           tcp dpt:110
    38       0     0 ACCEPT     tcp  --  *      *       172.22.4.9           0.0.0.0/0           tcp dpt:110
    39       0     0 ACCEPT     tcp  --  *      *       172.22.60.45         0.0.0.0/0           tcp dpt:110
    40       0     0 ACCEPT     tcp  --  *      *       172.22.254.102       0.0.0.0/0           tcp dpt:110
    41       0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:25
    42       0     0 ACCEPT     tcp  --  *      *       172.22.251.30        0.0.0.0/0           tcp dpt:5190
    43       0     0 ACCEPT     tcp  --  *      *       172.22.1.45          0.0.0.0/0           tcp dpt:5190
    44       0     0 ACCEPT     tcp  --  *      *       172.22.11.13         0.0.0.0/0           tcp dpt:5190
    45       0     0 ACCEPT     tcp  --  *      *       172.22.253.5         0.0.0.0/0           tcp dpt:5190
    46       0     0 ACCEPT     tcp  --  *      *       172.22.253.12        0.0.0.0/0           tcp dpt:5190
    47       0     0 ACCEPT     tcp  --  *      *       172.22.253.20        0.0.0.0/0           tcp dpt:5190
    48       0     0 ACCEPT     tcp  --  *      *       172.22.253.22        0.0.0.0/0           tcp dpt:5190
    49       0     0 ACCEPT     tcp  --  *      *       172.22.253.28        0.0.0.0/0           tcp dpt:5190
    50       0     0 ACCEPT     tcp  --  *      *       172.22.253.29        0.0.0.0/0           tcp dpt:5190
    51       0     0 ACCEPT     tcp  --  *      *       172.22.254.101       0.0.0.0/0           tcp dpt:5190
    52       0     0 ACCEPT     tcp  --  *      *       172.22.254.102       0.0.0.0/0           tcp dpt:5190
    53       0     0 ACCEPT     tcp  --  *      *       172.22.254.103       0.0.0.0/0           tcp dpt:5190
    54       0     0 ACCEPT     udp  --  *      *       172.22.251.30        0.0.0.0/0           udp dpts:1200:1240
    55       0     0 ACCEPT     udp  --  *      *       172.22.1.45          0.0.0.0/0           udp dpts:1200:1240
    56       0     0 ACCEPT     udp  --  *      *       172.22.11.13         0.0.0.0/0           udp dpts:1200:1240
    57       0     0 ACCEPT     udp  --  *      *       172.22.253.5         0.0.0.0/0           udp dpts:1200:1240
    58       0     0 ACCEPT     udp  --  *      *       172.22.253.12        0.0.0.0/0           udp dpts:1200:1240
    59       0     0 ACCEPT     udp  --  *      *       172.22.253.20        0.0.0.0/0           udp dpts:1200:1240
    60       0     0 ACCEPT     udp  --  *      *       172.22.253.22        0.0.0.0/0           udp dpts:1200:1240
    61       0     0 ACCEPT     udp  --  *      *       172.22.253.28        0.0.0.0/0           udp dpts:1200:1240
    62       0     0 ACCEPT     udp  --  *      *       172.22.253.29        0.0.0.0/0           udp dpts:1200:1240
    63       0     0 ACCEPT     udp  --  *      *       172.22.254.101       0.0.0.0/0           udp dpts:1200:1240
    64       0     0 ACCEPT     udp  --  *      *       172.22.254.102       0.0.0.0/0           udp dpts:1200:1240
    65       0     0 ACCEPT     udp  --  *      *       172.22.254.103       0.0.0.0/0           udp dpts:1200:1240
    66       0     0 DROP       udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpts:1200:1240
    67       0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:5190
    68       0     0 ACCEPT     tcp  --  *      *       172.22.253.28        0.0.0.0/0           tcp dpts:5150:5160
    69       0     0 ACCEPT     tcp  --  *      *       172.22.253.29        0.0.0.0/0           tcp dpts:5150:5160
    70       0     0 ACCEPT     tcp  --  *      *       172.22.253.28        0.0.0.0/0           tcp dpt:5222
    71       0     0 ACCEPT     tcp  --  *      *       172.22.253.29        0.0.0.0/0           tcp dpt:5222
    72       0     0 ACCEPT     tcp  --  *      *       172.22.253.28        0.0.0.0/0           multiport dports 8085,3724,26000,29070,29080,29999,6667,8767,554,8000
    73       0     0 ACCEPT     tcp  --  *      *       172.22.253.29        0.0.0.0/0           multiport dports 8085,3724,26000,29070,29080,29999,6667,8767,554,8000
    74       0     0 DROP       udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpts:1:60179
    75       0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpts:1:60179
    76       0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0

    Chain logdrop (0 references)
    num   pkts bytes target     prot opt in     out     source               destination
    1        0     0 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0           LOG flags 0 level 6 prefix `Shorewall:logdrop:DROP:'
    2        0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0

    Chain logreject (0 references)
    num   pkts bytes target     prot opt in     out     source               destination
    1        0     0 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0           LOG flags 0 level 6 prefix `Shorewall:logreject:REJECT:'
    2        0     0 reject     all  --  *      *       0.0.0.0/0            0.0.0.0/0

    Chain net2all (2 references)
    num   pkts bytes target     prot opt in     out     source               destination
    1        0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
    2       66  2112 Drop       all  --  *      *       0.0.0.0/0            0.0.0.0/0
    3        0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0

    Chain net2fw (1 references)
    num   pkts bytes target     prot opt in     out     source               destination
    1     875K 1134M ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
    2       21  1464 ACCEPT     udp  --  *      *       0.0.0.0/0            77.48.89.98         udp dpt:53
    3      398 19952 ACCEPT     tcp  --  *      *       0.0.0.0/0            77.48.89.98         multiport dports 80,443,53,20,21,22,25,109,110,143,3306,5060
    4       66  3168 ACCEPT     tcp  --  *      *       85.71.197.116        77.48.89.98         tcp dpt:10000
    5      228 27472 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 8
    6        0     0 ACCEPT     tcp  --  *      *       77.48.89.58          77.48.89.99         tcp dpt:1723
    7      119  9032 DROP       tcp  --  *      *       0.0.0.0/0            77.48.89.99         tcp dpts:1:60179
    8        0     0 DROP       udp  --  *      *       0.0.0.0/0            77.48.89.99         udp dpts:1:60179
    9       47  2348 DROP       tcp  --  *      *       0.0.0.0/0            77.48.89.98         tcp dpts:1:60179
    10       2   149 DROP       udp  --  *      *       0.0.0.0/0            77.48.89.98         udp dpts:1:60179
    11       0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpts:1:60179
    12     336 33369 DROP       udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpts:1:60179
    13      66  2112 net2all    all  --  *      *       0.0.0.0/0            0.0.0.0/0

    Chain net2loc (1 references)
    num   pkts bytes target     prot opt in     out     source               destination
    1        0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
    2        0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            172.22.1.3          tcp dpt:3389
    3        0     0 net2all    all  --  *      *       0.0.0.0/0            0.0.0.0/0

    Chain reject (11 references)
    num   pkts bytes target     prot opt in     out     source               destination
    1        0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           PKTTYPE = broadcast
    2        0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           PKTTYPE = multicast
    3        0     0 DROP       all  --  *      *       255.255.255.255      0.0.0.0/0
    4        0     0 DROP       all  --  *      *       224.0.0.0/4          0.0.0.0/0
    5        0     0 DROP       2    --  *      *       0.0.0.0/0            0.0.0.0/0
    6        0     0 REJECT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with tcp-reset
    7        0     0 REJECT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-port-unreachable
    8        0     0 REJECT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-unreachable
    9        0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited

    Chain shorewall (0 references)
    num   pkts bytes target     prot opt in     out     source               destination

    Chain smurfs (0 references)
    num   pkts bytes target     prot opt in     out     source               destination
    1        0     0 LOG        all  --  *      *       77.48.89.103         0.0.0.0/0           LOG flags 0 level 6 prefix `Shorewall:smurfs:DROP:'
    2        0     0 DROP       all  --  *      *       77.48.89.103         0.0.0.0/0
    3        0     0 LOG        all  --  *      *       172.22.255.255       0.0.0.0/0           LOG flags 0 level 6 prefix `Shorewall:smurfs:DROP:'
    4        0     0 DROP       all  --  *      *       172.22.255.255       0.0.0.0/0
    5        0     0 LOG        all  --  *      *       255.255.255.255      0.0.0.0/0           LOG flags 0 level 6 prefix `Shorewall:smurfs:DROP:'
    6        0     0 DROP       all  --  *      *       255.255.255.255      0.0.0.0/0
    7        0     0 LOG        all  --  *      *       224.0.0.0/4          0.0.0.0/0           LOG flags 0 level 6 prefix `Shorewall:smurfs:DROP:'
    8        0     0 DROP       all  --  *      *       224.0.0.0/4          0.0.0.0/0

    iptables --line-numbers -t nat -vnL


    Chain PREROUTING (policy ACCEPT 31241 packets, 1793K bytes)
    num   pkts bytes target     prot opt in     out     source               destination
    1     1358  102K net_dnat   all  --  eth0   *       0.0.0.0/0            0.0.0.0/0
    2    43721 2356K loc_dnat   all  --  eth1   *       0.0.0.0/0            0.0.0.0/0

    Chain POSTROUTING (policy ACCEPT 24646 packets, 1574K bytes)
    num   pkts bytes target     prot opt in     out     source               destination
    1    22494 1438K eth0_masq  all  --  *      eth0    0.0.0.0/0            0.0.0.0/0

    Chain OUTPUT (policy ACCEPT 24646 packets, 1574K bytes)
    num   pkts bytes target     prot opt in     out     source               destination

    Chain eth0_masq (1 references)
    num   pkts bytes target     prot opt in     out     source               destination
    1        0     0 MASQUERADE  all  --  *      *       172.22.0.0/16        0.0.0.0/0

    Chain loc_dnat (1 references)
    num   pkts bytes target     prot opt in     out     source               destination
    1    13841  665K REDIRECT   tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80 redir ports 3128

    Chain net_dnat (1 references)
    num   pkts bytes target     prot opt in     out     source               destination
    1        0     0 DNAT       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:3389 to:172.22.1.3
     

    15.6.2009 14:10 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Nefunguje https
    Na první pohled mi připadá, že HTTPS (port tcp/443) tímhle firewallem projde. V prohlížeči, kde to zkoušíte, máte nastaven proxy server, nebo se pokouší komunikovat přímo? Zkusil bych ještě na routeru spustit
    tcpdump -n "port 443"
    
    Zda to nějakou komunikaci na portu 443 zachytí, a případně odkud bude iniciovaná a zda přijde odpověď.

    Mimochodem, příště by bylo lepší ten výpis dát buď jako přílohu komentáře nebo vložit do tagu <pre>.
    15.6.2009 15:15 Ondra
    Rozbalit Rozbalit vše Re: Nefunguje https
    Příloha:

    tady je log z /var/log/squid/access.log jestli to treba nepomuze. viz priloha.

    15.6.2009 16:34 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Nefunguje https
    Nejprve je myslím potřeba zjistit, s čím vůbec prohlížeč komunikuje.
    15.6.2009 20:22 Ondra
    Rozbalit Rozbalit vše Re: Nefunguje https

    Zvláštní je to, když do prohlízece zadám pouzivat proxy, IP adresu a port 3128 tak https funguje, bohuzel https nefunguje, kdyz proxy nezadam do prohlizece :-( Takze ted jde o to v cem muze byt problem? Shorewall??

    houska avatar 16.6.2009 08:39 houska | skóre: 41 | blog: HW
    Rozbalit Rozbalit vše Re: Nefunguje https
    když do prohlízece zadám pouzivat proxy, IP adresu a port 3128 tak https funguje

    no aspon ze tak

    v tom vypisu iptables vidim toto pravidlo:

    
    Chain loc_dnat (1 references)
    num   pkts bytes target     prot opt in     out     source               destination
    1    13841  665K REDIRECT   tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80 redir ports 3128
    
    
    Zkus se mrknout do konfiguraku shorwallu a to same tam zkusit udelat i pro port TCP/443 (opravte me jestli se pletu), to by melo presmerovat vsechny pozadavky ve na tu proxynu a jak jsi rikal to ti funguje. Nebudes tak muset ve vsech pocitacitacich v siti nastavovat proxy.
    16.6.2009 08:51 Ondra
    Rozbalit Rozbalit vše Re: Nefunguje https

    pridal jsem do shorewallu REDIRECT loc 3128 tcp www -
    REDIRECT loc 3128 tcp https - a prohlizec (firefox) hlasi -> Při spojení s www.seznam.cz nastala chyba.
    Při komunikaci protokolem SSL byl obdržen záznam přesahující maximální povolenou délku.
    (Kód chyby: ssl_error_rx_record_too_long)

    houska avatar 16.6.2009 09:18 houska | skóre: 41 | blog: HW
    Rozbalit Rozbalit vše Re: Nefunguje https
    tak to vrat zase zpet, tudy cesta nevede
    16.6.2009 09:14 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Nefunguje https
    To fungovat nebude. Hledal jsem, zda takové pravidlo ve firewallu není, protože to by právě způsobilo nefunkčnost, ale nenašel jsem ho.

    Pro protokol HTTP se může použít "man-in-the-middle" útok na spojení (nebo-li transparentní proxy server), HTTPS se proti takovým útokům brání.
    16.6.2009 08:42 rastos | skóre: 60 | blog: rastos
    Rozbalit Rozbalit vše Re: Nefunguje https
    Už sa to tu ťahá nejak pridlho.

    IP adresa stroja na ktorom je browser je aká? 172.22.10.147 ?

    Toto pravidlo
    Chain loc_dnat (1 references)
    num   pkts bytes target     prot opt in     out     source               destination
    1    13841  665K REDIRECT   tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80 redir ports 3128

    tam robí čo?

    Máš tam tých pravidiel plnú *** a mne sa nechce študovať to jedno po druhom. Výpis iptables, ti ukazuje počet paketov (a ich bajtov) ktoré sa zhodli s nejakým pravidlom. Môžeš ich vynulovať (iptables -Z) a pozrieť, kde sa tie počty zmenia pri pokuse ísť von. Dokážeš podľa toho určiť, ktoré pravidlo sa použilo, keď pošleš paket z browseru bez nastaveného proxy?
    16.6.2009 08:52 Ondra2
    Rozbalit Rozbalit vše Re: Nefunguje https

    Tak pakety se hybou, vynuloval jsem a naskocilo tam:


     

    Chain loc_dnat (1 references)
    num   pkts bytes target     prot opt in     out     source               destination
    1     1139 54680 REDIRECT   tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80 redir ports 3128
    2      309 14832 REDIRECT   tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:443 redir ports 3128

     

    16.6.2009 08:59 Ondra
    Rozbalit Rozbalit vše Re: Nefunguje https

     ve /var/log/squid/cache.log se u vsech stanic co se snazi pripojit na https haze toto:
    2009/06/16 08:46:47| parseHttpRequest: Unsupported method '???'
    2009/06/16 08:46:47| clientTryParseRequest: FD 26 (172.22.1.5:1786) Invalid Request

    16.6.2009 09:17 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Nefunguje https
    V tom případě je komunikace těch prohlížečů přesměrována na proxy i pro protokol HTTPS (port 443), což je špatně. Nikde ale tohle pravidlo ve firewallu nevidím. buď to mají nastavené přímo ty stanice, nebo to dělá ještě nějaký jiný router někde dál.
    16.6.2009 09:15 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Nefunguje https
    To pravidlo nastavuje transparentní proxy server pro protokol HTTP (na portu 80), S HTTPS nemá nic společného.
    16.6.2009 15:22 Ondra
    Rozbalit Rozbalit vše Re: Nefunguje https

    Tak v čem jiném může být problém?

    houska avatar 16.6.2009 15:48 houska | skóre: 41 | blog: HW
    Rozbalit Rozbalit vše Re: Nefunguje https
    oprav to co jsem ti blbe poradil a zkus znovu zjistit kde to zahazuje pakety ... jak uz jsi jednou zkousel
    16.6.2009 20:29 Ondra
    Rozbalit Rozbalit vše Re: Nefunguje https

    Vyzkousim, ze shorewallu jsem to zrusil, hned zitra z rana na to mrkneme a uvidi se, nemuze to delat BIND9? V nejakych  lozich jsem videl, ze mi to neautorizuje IP adresu :-( A pri restartu BINDU to haze:

     

    Stopping domain name service...: bindrndc: connection to remote host closed
    This may indicate that
    * the remote server is using an older version of the command protocol,
    * this host is not authorized to connect,
    * the clocks are not syncronized, or
    * the key is invalid.

    16.6.2009 20:39 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Nefunguje https
    Bind s tím určitě nesouvisí. Problém je v tom, že prohlížeč se pokouší protokolem HTTPS určeným pro cílový server komunikovat s proxy serverem, ten tomu ale samozřejmě nerozumí (z HTTPS umí jenom metodu CONNECT, kterou zprostředkuje kanál mezi klientem a serverem). Zřejmě je to někde nějaký pokus udělat transparentní proxy pro protokol HTTPS, což nejde – ale v tom výpisu firewallu nic takového nevidím, takže problém musí být někde jinde. Což se nejsnáze zjistí tak, že pomocí třeba toho tcpdumpu budete sledovat, kudy ty pakety vlastně jdou a zaměříte se na zařízení po cestě.
    16.6.2009 16:48 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Nefunguje https
    Zřejmě se ten provoz na proxy přesměrovává někde jinde – buď na stanici, nebo na nějakém dalším routeru. Zkuste příkaz tcpdump, co jsem tady někde uváděl – nejprve asi a stanici, abyste viděl, kam vlastně HTTPS provoz ze stanice směřuje. A pak případně dál, na routerech.
    17.6.2009 09:23 Ondra
    Rozbalit Rozbalit vše Re: Nefunguje https

    Jde nejak sledovat tcpdump pouze jednoho pocitace v siti? kdyz to spustim v konzoli tak tam je velky provoz a nejak se v tom nevyznam.Mam v siti hodne zapojenych pocitacu..Potreboval bych teda nejak sledovat pouze stanici na ktere to testuji (172.22.1.5).

    houska avatar 17.6.2009 10:17 houska | skóre: 41 | blog: HW
    Rozbalit Rozbalit vše Re: Nefunguje https
    tcpdump host 172.22.1.5

    ... nevim proc jsem si vzpomel na hlasku ucitele na stredni, ktery kdyz videl praci spoluzaka tak jen odvetil: "vis co? Vyser se na to a jdi prodavat banany"

    17.6.2009 11:07 rastos | skóre: 60 | blog: rastos
    Rozbalit Rozbalit vše Re: Nefunguje https
    "vis co? Vyser se na to a jdi prodavat banany"

    Myslím, že týmto príspevkom nastal čas kliknúť na "Otázka byla vyřešena" :-D
    houska avatar 17.6.2009 11:17 houska | skóre: 41 | blog: HW
    Rozbalit Rozbalit vše Re: Nefunguje https
    nepředpokládám že mě poslechne, takže asi ne ;)
    17.6.2009 11:23 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Nefunguje https
    Už v komentáři o hodně výš jsem uváděl parametry, které zajistí sledování jenom provozu HTTPS:
    tcpdump -n "port 443"
    
    Pokud chcete sledovat HTTPS jen z jedné stanice, stačí zadat
    tcpdump -n "host 172.22.1.5 and port 443"
    
    17.6.2009 12:18 Ondra
    Rozbalit Rozbalit vše Re: Nefunguje https

    Jeste nez zjistim kde maji nejlevnejsi banany na nakup tak jsem udelal jeste neco....

    Tohle je vypis z tcpdump kdyz jsem se na loklanim pc snazil dostat na https://www.seznam.cz

    tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

    listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes

    12:12:35.830514 IP 172.22.1.5.2685 > 77.75.72.3.443: S 4238929810:4238929810(0) win 65535 <mss 1460,nop,nop,sackOK>

    12:12:38.794599 IP 172.22.1.5.2685 > 77.75.72.3.443: S 4238929810:4238929810(0) win 65535 <mss 1460,nop,nop,sackOK>

    12:12:44.729108 IP 172.22.1.5.2685 > 77.75.72.3.443: S 4238929810:4238929810(0) win 65535 <mss 1460,nop,nop,sackOK>

    17.6.2009 12:23 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Nefunguje https
    Takže se ten prohlížeč pokoušel komunikovat přímo s cílovým serverem, ale nedostal žádnou odpověď. Tohle je výpis ze kterého počítače, z routeru? A eth1 je zařízení připojené do vnitřní sítě? Pak bych zkusil ještě
    tcpdump -ni eth0 "port 443"
    
    (pokud eth0 je zařízení připojené „do Internetu“) – uvidíte, jestli pakety routerem vůbec prošly dál a jestli na ně nebyl aplikován nějaký NAT.
    17.6.2009 12:42 Ondra
    Rozbalit Rozbalit vše Re: Nefunguje https

    eth0 je internet a eth1 je lokalni, kdyz se dumpuje eth1 tak komunikace jde videt, jde na proxy, ale z proxy na eth0 pozadavek nejde (myslim ven)

    a ten vypis, ktery jsem poslal je vypis komunikace vnitrni stanice na ktere jsem zadal https://www.seznam.cz a ta komunikovala tedy s proxy, ale z proxy do internetu pozadavek uz nejde.

    17.6.2009 12:49 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Nefunguje https
    To je špatně, že jde na proxy. HTTPS musí jít buď přímo na server, nebo přímo na proxy. Ale nemůže tam být pro HTTPS transparentní proxy, to s protokolem HTTPS nejde. Ta pravidla z routeru jsou ta vypsaná výše v diskusi? Já tam žádné přesměrování portu 443 nevidím…
    17.6.2009 12:51 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Nefunguje https
    Můžete sem ještě jednou (jako přílohu nebo do tagu <pre>) dát aktuální výpis
    iptables --line-numbers -t nat -vnL
    ?
    17.6.2009 12:58 Ondra
    Rozbalit Rozbalit vše Re: Nefunguje https

     

    num   pkts bytes target     prot opt in     out     source               destination
    1       78  4556 net_dnat   all  --  eth0   *       0.0.0.0/0            0.0.0.0/0
    2      137  9551 loc_dnat   all  --  eth1   *       0.0.0.0/0            0.0.0.0/0

    Chain POSTROUTING (policy ACCEPT 264 packets, 17367 bytes)
    num   pkts bytes target     prot opt in     out     source               destination
    1      199 13377 eth0_masq  all  --  *      eth0    0.0.0.0/0            0.0.0.0/0

    Chain OUTPUT (policy ACCEPT 265 packets, 17427 bytes)
    num   pkts bytes target     prot opt in     out     source               destination

    Chain eth0_masq (1 references)
    num   pkts bytes target     prot opt in     out     source               destination
    1        0     0 MASQUERADE  all  --  *      *       172.22.0.0/16        0.0.0.0/0

    Chain loc_dnat (1 references)
    num   pkts bytes target     prot opt in     out     source               destination
    1       41  1972 REDIRECT   tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80 redir ports 3128

    Chain net_dnat (1 references)
    num   pkts bytes target     prot opt in     out     source               destination
    1        0     0 DNAT       tcp  --  *      *       85.71.197.116        0.0.0.0/0           tcp dpt:61003 to:172.22.1.3:3389
     

    17.6.2009 13:23 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Nefunguje https
    Já v tom tedy žádné přesměrování na proxy nevidím.

    Jak jste psal výš, ta zachycená komunikace není komunikace klienta s proxy, ale klient se pokouší komunikovat se serverem Seznamu. Můžete sem dát i výpis
    tcpdump -ni eth0 "port 443"
    
    ať je vidět, zda to přesměrování dělá opravdu tenhle router, nebo jiné zařízení?
    17.6.2009 13:54 Ondra
    Rozbalit Rozbalit vše Re: Nefunguje https

    No klidne bych dal, ale lita tam spousta dalsich connectionů z celé sítě :-(

    17.6.2009 13:59 Ondra
    Rozbalit Rozbalit vše Re: Nefunguje https

    Tak jsem to pustil, rychle otestoval a opravdu se tam nic neukáže, lítají tam jen connectiony, které jdou přes ICQ apod. kde je nastaven port 3128 a funguje normalne pres zabezpeceny SSL protokol (443)

    17.6.2009 14:11 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Nefunguje https
    V tom případě to opravdu musí přesměrovávat tento router. Ale ve výpisu nikde přesměrování nevidím. Napadá mne jedině zkusit jedině na chvíli vyresetovat celý NAT (nebo lépe celý firewall) do základního stavu, aby bylo vidět, zda pak už půjde komunikace přes router přímo do internetu.
    17.6.2009 14:17 Ondra
    Rozbalit Rozbalit vše Re: Nefunguje https

    Když jej vyresetuju tak mi internet apod. nefunguje ... :-( Je zvlastni jedna vec a to ta, ze internet mi ted bez i tak, ze nemusim mit v prohlizeci nastaveno pouzivat proxy server 172.22.1.1:3128 a funguje teda v poradku jen bez HTTPS (kjdyz proxy zapnu tak funguje i HTTPS), ale nefunguje mi ani pri vypnutem a zapnutem proxy ping na jakykoli server venku :-( A to je docela zvlastni co to dela :-( Vzdycky to fungovalo, problemy opravdu az po upgrade z ETCH na LENNY :-(

    17.6.2009 14:23 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Nefunguje https
    Když jej vyresetuju tak mi internet apod. nefunguje ...
    To je jasné, protože tam pak není maškaráda. Ale aspoň by bylo přes tcpdump vidět, zda pakety pro protokol HTTPS přes router opravdu pokračují rovnou dál do internetu, a ne na proxy server.
    Je zvlastni jedna vec a to ta, ze internet mi ted bez i tak, ze nemusim mit v prohlizeci nastaveno pouzivat proxy server 172.22.1.1:3128 a funguje teda v poradku jen bez HTTPS (kjdyz proxy zapnu tak funguje i HTTPS), ale nefunguje mi ani pri vypnutem a zapnutem proxy ping na jakykoli server venku :-(
    To je jasné – v pravidlech máte přesměrování portu 80 na proxy server, takže pro protokol HTTP to funguje jako transparentní proxy server. Pro HTTPS nic takového existovat nemůže. Ping s HTTP proxy serverem nijak nesouvisí.
    17.6.2009 14:32 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Nefunguje https
    Jinak mne napadá už jedině možnost počkat si, až nebude v síti žádný provoz, vynulovat čítače na firewallu a pak postupně sledovat pak navazující HTTPS spojení, na jaké rozhraní přijde, které čítače na firewallu zvýší, jestli se NATuje a jestli a kudy odejde.
    17.6.2009 14:41 Ondra
    Rozbalit Rozbalit vše Re: Nefunguje https

    Tak ještě jeden poznatek, teď již funguje https i pingy :-) Ale bohužel nechápu co tomu mohlo pomoci, to že jsem vypl shorewall a vymazal iptables pomoci iptables -X ??? Může to dělat i něco jiného, že by připsalo nějaké pravidla při bootování apod.?

    17.6.2009 14:40 Ondra
    Rozbalit Rozbalit vše Re: Nefunguje https

    Tak jsem testoval

    tcpdump -ni eth0 "port 443"

    při vypnutém shorewallu a iptables -X ... teď se již snažil na 443 připojit, tak že by problém shorewallu?

    houska avatar 17.6.2009 14:47 houska | skóre: 41 | blog: HW
    Rozbalit Rozbalit vše Re: Nefunguje https
    že by problém shorewallu

    ukaz konfiguraky

    17.6.2009 14:51 Ondra
    Rozbalit Rozbalit vše Re: Nefunguje https

    Konfiguraku je hodne, ktery potrebujes?

    Ted jsem restartl server a opravdu zase nefunguje, vypl jsem shorewall stop, potom iptables -X a pak zase shorewall start a rozjelo se to ...

    houska avatar 17.6.2009 15:12 houska | skóre: 41 | blog: HW
    Rozbalit Rozbalit vše Re: Nefunguje https
    hele neni mozny ze se treba nektery konfiguraky nenactou? zkus se podivat do logu co se tam behem toho startu deje

    rekl bych ze pri startu serveru se nic jineho nez shorwall start nedela ...

    17.6.2009 15:31 Ondra
    Rozbalit Rozbalit vše Re: Nefunguje https

    nastaveny asi bude, po restartu vidim, ze v iptables jsou jiz pravidla zapsany. Tak jsem udelal sposuteci script, ktery vypne shorewall, spusti iptables -Xa zapne shorewall, takze ted jiz vse po startu funguje. Velice Vám děkujeme za Vaše rady, které nás navedly na to v čem může být problém.

    houska avatar 17.6.2009 15:51 houska | skóre: 41 | blog: HW
    Rozbalit Rozbalit vše Re: Nefunguje https
    co takhle jeste zjistit kdo/co je tam pri tom startu nacpal? a zatrhnout mu to ;)
    houska avatar 17.6.2009 15:54 houska | skóre: 41 | blog: HW
    Rozbalit Rozbalit vše Re: Nefunguje https
    neni v init skriptech pred ukoncenim neco jako iptables-save a po spusteni iptables-restore?

    zkus se taky podivat jestli neni neco zajimavyho v /etc/default/

    17.6.2009 16:18 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Nefunguje https
    Chtělo by to zjistit, který spouštěcí skript tam ta pravidla přidá – zkuste v adresáři /etc hledat soubory, které obsahují iptables-restore. A pak by mne také zajímalo, které pravidlo to způsobuje, já ho tam nikde nevidím…
    15.6.2009 09:17 Ondra
    Rozbalit Rozbalit vše Re: Nefunguje https

    mod_ssl je na pache funkcni.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.