77282
77282
12.08.2013
view3630
view18
0

Squid3 Konfigurationsdatei HTTPs freischalten

FrageLinux Linux Netzwerk
Hallo, ich bin aktuelle dabei einen Squid aufzusetzen.
Hat auch soweit alle geklappt, nur HTTPS funktioniert noch nicht.
Was mach ich falsch?
Hier meine config File:

#Network-----------------------------------------------------------------------
http_port 8080 


cache_mem 500 MB
maximum_object_size 40480 KB
maximum_object_size_in_memory 100 KB


# ACLs  Berechtigungen----------------------------------------------------------
acl freigabeInet src 172.20.10.0/24 172.20.11.0/24
acl localhost src 127.0.0.1/32


acl SSL_ports port 443 80 21

acl Safe_ports port 80 # http
acl Safe_ports port 443 # https
acl Safe_ports port 21 # ftp

acl CONNECT method CONNECT
http_access deny !Safe_ports

http_access deny CONNECT !SSL_ports

http_access allow freigabeInet
Share articleTeilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilen

Content-ID: 214036

Url: https://administrator.de/forum/squid3-konfigurationsdatei-https-freischalten-214036.html

Ausgedruckt am: 12.07.2025 um 17:07 Uhr

18 Kommentare
Neuester Kommentar
Goto Top
aqui
aqui 12.08.2013 um 14:02:04 Uhr
Goto Top
Ist das ein transparenter Proxy ?
linuxsolved.com/forums/index.php?topic=944.0
Dani
Dani 12.08.2013 um 14:34:32 Uhr
Goto Top
Moin,
versuch es damit:
# -----------------------------------------------------------------------
# Basic Settings
# -----------------------------------------------------------------------
http_port 8080 

cache_mem 500 MB
maximum_object_size 40480 KB
maximum_object_size_in_memory 100 KB

# -----------------------------------------------------------------------
# ACLs
# -----------------------------------------------------------------------
acl localhost src 127.0.0.1/32
acl freigabeInet src 172.20.10.0/24 172.20.11.0/24
acl all src all

acl SSL_ports port 443	# https

acl Safe_ports port 21  # ftp
acl Safe_ports port 80  # http
acl Safe_ports port 443 # https


acl CONNECT method CONNECT
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

http_access allow freigabeInet 
http_access deny all

Grüße,
Dani
77282
77282 12.08.2013 um 14:37:06 Uhr
Goto Top
Hallo, nein, sollte ein normaler client proxy sein der im Browser eingetragen wird.
Gibt es von Squid verscheidene Pakete, oder ist das ein Konfigurationssache um welche Art von Proxy es sich handelt?
Dani
Dani 12.08.2013 um 14:39:53 Uhr
Goto Top
Hallo,
Gibt es von Squid verscheidene Pakete, oder ist das ein Konfigurationssache um welche Art von Proxy es sich handelt?
Konfigurationssache.


Grüße,
Dani
77282
77282 12.08.2013 um 14:56:09 Uhr
Goto Top
Hallo, nee bekomme leider beim restart des squid diese Meldung und komme weiterhin nur auf die http seiten..:

root@proxy2:/home/blade/Downloads# /etc/init.d/squid3 restart
[ ok ] Restarting Squid HTTP Proxy 3.x: squid3[....] Waiting.....................done.
2013/08/04 14:34:17| WARNING: (B) '::/0' is a subnetwork of (A) '::/0'
2013/08/04 14:34:17| WARNING: because of this '::/0' is ignored to keep splay tree searching predictable
2013/08/04 14:34:17| WARNING: You should probably remove '::/0' from the ACL named 'all'
. ok
root@proxy2:/home/blade/Downloads#
Dani
Dani 12.08.2013 aktualisiert um 14:58:12 Uhr
Goto Top
Folgende Zeile ersetzen:
acl all src all
durch:
acl all src 0.0.0.0/0.0.0.0

Grüße,
Dani
77282
77282 12.08.2013 um 15:00:41 Uhr
Goto Top
Hatte ich auch schon getestet, leider mit dem folgendem Fehler:

root@proxy2:/home/blade/Downloads# /etc/init.d/squid3 restart
[ ok ] Restarting Squid HTTP Proxy 3.x: squid3[....] Waiting.....................done.
2013/08/04 14:39:28| ERROR: '0.0.0.0/0.0.0.0' needs to be replaced by the term 'all'.
2013/08/04 14:39:28| SECURITY NOTICE: Overriding config setting. Using 'all' instead.
2013/08/04 14:39:28| WARNING: (B) '::/0' is a subnetwork of (A) '::/0'
2013/08/04 14:39:28| WARNING: because of this '::/0' is ignored to keep splay tree searching predictable
2013/08/04 14:39:28| WARNING: You should probably remove '::/0' from the ACL named 'all'
. ok
root@proxy2:/home/blade/Downloads#
Dani
Dani 12.08.2013 um 15:04:08 Uhr
Goto Top
Lass diese Zeile bitte weg:
http_access deny all
aqui
aqui 12.08.2013 um 15:24:45 Uhr
Goto Top
"acl all src all" ist ja hinterher eigentlich auch unsinnig wenn du oben mit "src 172.20.10.0/24 172.20.11.0/24 " schon deine source netze freigegeben hast.
all all gibt dann ochmal alles frei...warum ?
Dani
Dani 12.08.2013 um 15:27:24 Uhr
Goto Top
@aqui
Aus alter Gewohnheit schließe ich alle Access-Listen mit deny ab. Und dazu brauchst du bei Squid ein Objekt. Kann aber je nach Version von Squid inzwischen ein Problem sein.


Grüße,
Dani
77282
77282 12.08.2013 um 16:20:19 Uhr
Goto Top
Also hab die zeile gelöscht, aber https kann ich immer noch nicht verwenden. gibt es noch eine andere konfig file?
77282
77282 13.08.2013 aktualisiert um 12:22:53 Uhr
Goto Top
Leider komm ich immer noch nicht auf https Seiten. Von dem Debian Rechner selbst komm ich aber mit Firefox und co. auf https Seiten., hier meine aktuelle Konfig File, hat vielleicht noch einer Ideen?:


 
http_port 8080  


cache_mem 500 MB 

maximum_object_size 40480 KB 

maximum_object_size_in_memory 100 KB 

 

# ----------------------------------------------------------------------- 

# ACLs 

# ----------------------------------------------------------------------- 

acl localhost src 127.0.0.1/32 

acl freigabeInet src 172.20.10.0/24 172.20.11.0/24 



 

acl SSL_ports port 443   # https 

 

acl Safe_ports port 21  # ftp 

acl Safe_ports port 80  # http 

acl Safe_ports port 443 # https 

 

 

acl CONNECT method CONNECT 

http_access deny !Safe_ports 

http_access deny CONNECT !SSL_ports 

 

http_access allow freigabeInet  

#http_access deny all
Dani
Dani 13.08.2013 um 10:54:44 Uhr
Goto Top
Moin,
solange du nicht fähig bist unsere Formatierungeshilfen zu benutzen, bin ich nicht gewillt daran weiter zuarbeiten. Ist das zu viel verlangt, dass Konfigurationszeilen ordentlich darzustellen?


Grüße,
Dani
77282
77282 13.08.2013 um 12:24:02 Uhr
Goto Top
sorry face-smile mein Fehler...
Dani
Dani 13.08.2013 aktualisiert um 12:28:09 Uhr
Goto Top
Moin,
bin ich doof... das Problem ist folgendes: Squid-Package wird von Debian/Ubuntu ohne SSL-Option ausgeliefert. D.h. es wird ohne den Parameter "--enable-ssl" kompiliert.

Du hast zwei Möglichkeiten:
a) Squid 2.x als Reverse Proxy für Exchange 2010 (den oberen Teil davon)
b) mydlp.com/now-squid3-ssl-packages-in-mydlp-repository/


Grüße,
Dani
heart1
77282
77282 14.08.2013 um 09:54:32 Uhr
Goto Top
Vielen Dank für deine Hilfe! Das hätte ich ja nicht gedacht, dass SSL bei Squid für debian ausgeschaltet ist.
77282
77282 14.08.2013 um 15:25:14 Uhr
Goto Top
Zitat von @Dani:
Folgende Zeile ersetzen:
> acl all src all
>
durch:
> acl all src 0.0.0.0/0.0.0.0
>

Grüße,
Dani

Hallo, hierzu hab ich nochmal eine Frage, wozu brauch ich eigentlich "all"? wenn ich schon meine ip s explizit freigegeben habe? Nehme ich diese Zeile nämlich raus, so bekomm ich einen Fehler beim starten von Squid.
Dani
Dani 15.08.2013 um 12:58:31 Uhr
Goto Top
Moin,
wenn du die Zeile herausnimmst solltest du auch die Objekte die dazugehören auskommentieren. Sonst meckert Squid sofort.
Standardmäßig mach ich automatisch an das Ende einer ACL immer ein Deny any any. D.h. alles was nicht erlaubt ist, wird verboten!


Grüße,
Dani
FrageLinux Linux Netzwerk
Heiß diskutiert
Michl16(Neues) Backup Programm gesuchtMichl16 - 41 KommentareNer.CoIPv6 an Client hinter SophosNer.Co - 41 KommentarenachgefragtWindows Server 2025 VM startet nicht nach Patchday CU202507nachgefragt - 38 KommentareJeekJeekM365 Family Abo (Prime Day)JeekJeek - 29 KommentarekreuzbergerMainboard Suche für Veeam-Mini-Serverkreuzberger - 27 Kommentaretian1974Der neue Servertian1974 - 27 KommentareSeekuhrittyVPN (DNS?) ProblemSeekuhritty - 24 KommentareLooser27Erfahrungsbericht: pfSense Upgrade auf 2.8Looser27 - 21 KommentaresemihtestExchange 2013 On-Premise Hybrid mit M365semihtest - 20 Kommentare