URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID12
Нить номер: 6622
[ Назад ]

Исходное сообщение
"Защищенное подключение к Squid'у"
Отправлено an_er , 18-Мрт-11 17:58

Здравствуйте! Есть вопрос. Есть сервер, находящийся в корпоративной сети, доступ к нему имеют компы из корпоративной сети и парочка компов из внешней сети. На сервере работает софт, к которому обращаются через веб-интерфейс. Необходимо организовать доступ через интернет. Если я подниму Squid на одной из машин которая имеет доступ к серверу и буду ходить через этот Squid на сервер. Вот тут появляются ряд ограничений. Естественно доступ к Squid'у сделаю с паролем, но не хотелось бы передавать логины пароли в открытом виде и информацию, которая будет ходить, тоже не хотелось бы оставлять в открытом виде. Вот собственно и вопрос, можно ли сделать так, чтобы к сквиду подключения были безопасными(TLS,SSL), а от него запросы к серверу уже были обычными??? Другими словами, хочу сделать из сквида шлюз для http запросов, но чтобы внешние подключения были через SSL, а подключения сквида к серверу обычными. Возможно ли это?

Содержание

Защищенное подключение к Squid'у,reader, 20:16 , 18-Мрт-11
- Защищенное подключение к Squid'у,an_er, 23:00 , 18-Мрт-11
  - Защищенное подключение к Squid'у,Aquarius, 00:33 , 19-Мрт-11
    - Защищенное подключение к Squid'у,an_er, 17:11 , 19-Мрт-11
      - Защищенное подключение к Squid'у,Aquarius, 17:35 , 19-Мрт-11
Защищенное подключение к Squid'у,Alexander Sheiko, 18:03 , 19-Мрт-11
- Защищенное подключение к Squid'у,an_er, 19:51 , 20-Мрт-11

Сообщения в этом обсуждении

"Защищенное подключение к Squid'у"
Отправлено reader , 18-Мрт-11 20:16

>[оверквотинг удален]
> доступ через интернет. Если я подниму Squid на одной из машин
> которая имеет доступ к серверу и буду ходить через этот Squid
> на сервер. Вот тут появляются ряд ограничений. Естественно доступ к Squid'у
> сделаю с паролем, но не хотелось бы передавать логины пароли в
> открытом виде и информацию, которая будет ходить, тоже не хотелось бы
> оставлять в открытом виде. Вот собственно и вопрос, можно ли сделать
> так, чтобы к сквиду подключения были безопасными(TLS,SSL), а от него запросы
> к серверу уже были обычными??? Другими словами, хочу сделать из сквида
> шлюз для http запросов, но чтобы внешние подключения были через SSL,
> а подключения сквида к серверу обычными. Возможно ли это?
а vpn чем не устраивает?

"Защищенное подключение к Squid'у"
Отправлено an_er , 18-Мрт-11 23:00

> а vpn чем не устраивает?
VPN надо чем-то поднимать, а на каждый ноут или домашний комп я не поставлю клиента, а прописать в браузере проксю - это проще объяснить... :)

"Защищенное подключение к Squid'у"
Отправлено Aquarius , 19-Мрт-11 00:33

>> а vpn чем не устраивает?
> VPN надо чем-то поднимать, а на каждый ноут или домашний комп я
> не поставлю клиента, а прописать в браузере проксю - это проще
> объяснить... :)
если речь об off-topic, то никаких клиентов для PPTP/L2TP/PPPoE ставить и не надо

"Защищенное подключение к Squid'у"
Отправлено an_er , 19-Мрт-11 17:11

> если речь об off-topic, то никаких клиентов для PPTP/L2TP/PPPoE ставить и не
> надо
Вобще-то хотелось бы услышать ответ на свой вопрос... :) но я не отвергаю и других способов решения данной задачи...  просто мне казался описаный способ самым простым, да и наиболее легким для организации(в смысле создания)...
по поводу поста, тогда объясните как Вы собираетесь поднимать VPN, не устанавливая дополнительного ПО??? оговорюсь сразу операционки будут разные...  кстати, это еще один из факторов, а в любой операционке есть браузер, в котором прописать проксю проще чем поднимать VPN...
попытаюсь раскрыть более детально вопрос своего первого поста. я собствено уже попробовал поднять сквид, и в конфиге есть пункт https_port. Это порт на котором он будет слушать и принимать запросы от браузеров что-то вроде: https://bla-bla-bla ??? или на этом порту он будет слушать запрсы, чтобы установить секьюрное соединение между собой и подключающимся клиентом(и не важно будут ли там ходить запросы типа https или http)??? если первое, то не понятно зачем в этом пункте дополнительные аргументы cert="сертефикат" и key="ключ". а если второе, то как настроить браузер, чтобы он обращался к сквиду создавая секьюрное соединение? если я указываю в браузере просто адрес и порт прокси сервера, то он сбрасывает подключение(что в принципе понятно), а если указываю в настройках прокси сервера https://xxx.xxx.xxx.xxx:yyy то ничего не происходит, смотрел tcpdump'ом и ssldump'ом идет попытка подключения и тишина... и ничего не происходит...  вот собствено вопрос, где я заблуждаюсь??? :)

"Защищенное подключение к Squid'у"
Отправлено Aquarius , 19-Мрт-11 17:35

> ... где я заблуждаюсь??? :)
вы игнорируете содержимое http://www.squid-cache.org/Doc/config/https_port/ ;
собственно, это основной источник заблуждений

"Защищенное подключение к Squid'у"
Отправлено Alexander Sheiko , 19-Мрт-11 18:03

> Здравствуйте! Есть вопрос. Есть сервер, находящийся в корпоративной сети, доступ к нему
> имеют компы из корпоративной сети и парочка компов из внешней сети.
> На сервере работает софт, к которому обращаются через веб-интерфейс. Необходимо организовать доступ через интернет.
Squid там не лучший вариант. Сделайте проксирование через хост на Nginx с SSL.

"Защищенное подключение к Squid'у"
Отправлено an_er , 20-Мрт-11 19:51

Спасибо за ответы!
>> ... где я заблуждаюсь??? :)
>вы игнорируете содержимое http://www.squid-cache.org/Doc/config/https_port/ ;
>собственно, это основной источник заблуждений
спасибо, что послали туда, куда нужно... :)
да, это не то, что я хотел...
> Squid там не лучший вариант. Сделайте проксирование через хост на Nginx с
> SSL.
Спасибо, за подсказку! посмотрю в сторону Nginx'а.