https://www.opennet.me/openforum/vsluhforumID12/6826.html Моя проблема в следующем: есть шлюз с squid, настроено так что он пропускает только на необходимые сайты, остальные под запретом. <br> <br> Мне необходимо добавить разрешение для доступа к банковскому сайту https://sbi.sberbank.ru:9443/ic/ <br> <br>вот из конфига squid(то что касается этого сайта) <br> <br>acl mts src 192.168.80.1 <br>acl sbonline dstdom_regex sbi.sberbank.ru <br>acl SSL_ports port 9443 # sbonline <br>acl CONNECT method CONNECT <br>http_access deny CONNECT !SSL_ports <br>http_access allow mts sbonline <br> <br>Но страница не отображается, нет записи что сайт заблокирован squid, просто не отображается. <br> <br>В логе следующее: <br> <br>1340688067.422 0 192.168.80.1 TCP_DENIED/403 1327 CONNECT sbi.sberbank.ru:9443 - NONE/- text/html <br> <br>В чем загвоздка, подскажите?<br><br>PS нашел похожую тему , http://www.opennet.ru/openforum/vsluhforumID12/6642.html , все то же но не работает. <br> https://www.opennet.me/openforum/vsluhforumID12/6826.html#20 Wed, 29 Aug 2012 05:48:29 GMT &gt;&gt; Все, проблема решена, все дело в SELinux, необходимо было добавить 9443 порт <br>&gt;&gt; в http_port_t следующим образом semanage port -a -t http_port_t -p tcp <br>&gt;&gt; 9443, может кому и пригодится.<br>&gt; :-O Приятно видеть человека, решившего проблему не по накатанному "с самого начала <br>&gt; отключаем SELinux"!<br><br>Я тоже столкнулся с такой проблемой и не сразу догадался отключить SELinux... :)<br>Но включение этого порта мне не помогло, пришлось сделать<br>setsebool -P squid_connect_any 1<br>чтобы совсем не отключать SELinux.<br>Если кому интересно, в логах на предмет squid и connect было примерно так:<br>#============= squid_t ==============<br>allow squid_t pki_ca_port_t:tcp_socket name_connect;<br>allow squid_t pki_tps_port_t:tcp_socket name_connect;<br>allow squid_t port_t:tcp_socket name_connect;<br>allow squid_t soundd_port_t:tcp_socket name_connect;<br>allow squid_t transproxy_port_t:tcp_socket name_connect;<br> https://www.opennet.me/openforum/vsluhforumID12/6826.html#19 Tue, 10 Jul 2012 17:27:12 GMT &gt; Все, проблема решена, все дело в SELinux, необходимо было добавить 9443 порт <br>&gt; в http_port_t следующим образом semanage port -a -t http_port_t -p tcp <br>&gt; 9443, может кому и пригодится.<br><br>:-O Приятно видеть человека, решившего проблему не по накатанному "с самого начала отключаем SELinux"!<br> https://www.opennet.me/openforum/vsluhforumID12/6826.html#18 Mon, 09 Jul 2012 11:17:34 GMT Все, проблема решена, все дело в SELinux, необходимо было добавить 9443 порт в http_port_t следующим образом semanage port -a -t http_port_t -p tcp 9443, может кому и пригодится. <br> <br>Спасибо всем кто принимал участие, тему можно закрыть.<br><br> https://www.opennet.me/openforum/vsluhforumID12/6826.html#17 Fri, 29 Jun 2012 05:28:31 GMT &gt; 1340885974.049 0 192.168.50.1 TCP_MISS/503 0 CONNECT sbi.sberbank.ru:9443 <br>&gt; - DIRECT/- - <br><br>Гугль дал стальные http://www.opennet.ru/openforum/vsluhforumID12/5536.html#1 руки-крылья?<br> https://www.opennet.me/openforum/vsluhforumID12/6826.html#16 Fri, 29 Jun 2012 05:01:54 GMT &gt; какая схема аутентификации пользователей ? пользуете ли какой-нибудь редиректор ?<br><br>аутентификации пользователей нет, как и редиректора<br><br> https://www.opennet.me/openforum/vsluhforumID12/6826.html#15 Thu, 28 Jun 2012 17:35:58 GMT &gt; В общем получается так, sqid разрешает соединение <br>&gt; 2012/06/27 17:15:23&#124; The request CONNECT sbi.sberbank.ru:9443 is ALLOWED, because <br>&gt; it matched 'sbonline' <br>&gt; а затем при подключении выдает ошибку 503 <br>&gt; 1340885974.049 0 192.168.50.1 TCP_MISS/503 0 CONNECT sbi.sberbank.ru:9443 <br>&gt; - DIRECT/- - <br>&gt; в чем может быть проблема?<br><br>какая схема аутентификации пользователей ? пользуете ли какой-нибудь редиректор ?<br> https://www.opennet.me/openforum/vsluhforumID12/6826.html#14 Thu, 28 Jun 2012 12:32:33 GMT В общем получается так, sqid разрешает соединение<br> <br>2012/06/27 17:15:23&#124; The request CONNECT sbi.sberbank.ru:9443 is ALLOWED, because it matched 'sbonline' <br><br>а затем при подключении выдает ошибку 503<br><br>1340885974.049 0 192.168.50.1 TCP_MISS/503 0 CONNECT sbi.sberbank.ru:9443 - DIRECT/- -<br><br>в чем может быть проблема?<br> https://www.opennet.me/openforum/vsluhforumID12/6826.html#13 Thu, 28 Jun 2012 07:26:06 GMT Вообщем сейчас ситуация следующая:<br><br>В логах squid 1340865593.957 2 192.168.50.1 TCP_MISS/503 0 CONNECT sbi.sberbank.ru:9443 - DIRECT/- -<br><br>Значит проблемма заключается в фаерволе iptables, есть два интерфейса eth0 внутренний и eth1 внешний, как его настроить так чтоб можно было выйти на этот сайт, помогите!<br> <br> https://www.opennet.me/openforum/vsluhforumID12/6826.html#12 Wed, 27 Jun 2012 13:33:09 GMT &gt; Попробовать включить debug_options 28 и посмотреть какое правило <br>&gt; блокирует запрос <br><br>спасибо!<br><br>2012/06/27 17:15:23&#124; The request CONNECT sbi.sberbank.ru:9443 is ALLOWED, because it matched 'sbonline'<br><br>вот небольшая выдержка из лога, получается squid разрешает соединение и здесь дело в другом, значит iptables, сможет кто помочь, я с iptables на "вы". <br>