[ShyLion]

Приветствую. Пытаюсь настроить элементарный прозрачный конфиг, без подделки сертификатов, но получается так, что либо нормально фильтруется https и полностью пропускается http, либо нормально фильтруется http и полностью не пропускается https.

Конфиг элементарный:

 

http_port 10.96.243.1:3128 intercept options=NO_SSLv3:NO_SSLv2
http_port 10.96.243.1:3130 options=NO_SSLv3:NO_SSLv2
https_port 10.96.243.1:3129 intercept ssl-bump options=ALL:NO_SSLv3:NO_SSLv2 connection-auth=off cert=/etc/squid/squidCA.pem
acl localnet src 10.0.0.0/8     # RFC1918 possible internal network

acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 443         # https
acl CONNECT method CONNECT

acl http_allow dstdomain "/etc/squid/http_allow_domains.txt"
acl https_allow ssl::server_name  "/etc/squid/https_allow_domains.txt"

sslproxy_cert_error allow all
sslproxy_flags DONT_VERIFY_PEER

acl step1 at_step SslBump1
ssl_bump peek step1
ssl_bump splice https_allow
ssl_bump terminate all

cache deny all

http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager

http_access allow all http_allow
http_access allow all https_allow
http_access deny all

always_direct allow all

coredump_dir /var/spool/squid

refresh_pattern .               0       0%      0

logformat ssl %ts.%03tu %6tr %>a %la:%lp %Ss/%03>Hs %<st %rm %ssl::>sni %ru %[un %Sh/%<a %mt
access_log daemon:/var/log/squid/access.log logformat=ssl

 

# cat http_allow_domains.txt
.google.com
# cat https_allow_domains.txt
.google.com

 

В таком виде фильтруется http, а https не работает - выдает самоподписаную страницу с отказом доступа.

 

если правила доступа поменять на:

 

 

http_access allow all

 

То начинает нормально фильтроваться https, а http пропускается весь, что логично.

Что я делаю не так????

[ShyLion]

Сам спросил, сам ответил:

 

acl http_proto proto http

http_access allow all http_allow

http_access deny http

http_access allow all

[npokypop]

зачем сквид нынче в век https ?

[vlad11]

зачем сквид нынче в век https ?

 

Гибче скорость режется, есть кеширование и запреты проще ставятся.

[s.lobanov]

зачем сквид нынче в век https ?

 

В офисе squid+ssl_bump - нормальное решение. Потому что через доменные политики можно свой CA воткнуть

[npokypop]

Ну если только на уровне офиса или предприятия.

[vitos.barboz]

В 02.02.2017 в 21:29, npokypop сказал:

Ну если только на уровне офиса или предприятия.

А какая альтернатива есть squid, не коммерческое ПО?

[YuryD]

4 минуты назад, vitos.barboz сказал:

А какая альтернатива есть squid, не коммерческое ПО?

 Вообще-то, немного не коммерческое железо вполне умеет и политики пользователям нарезать. Сквид - неуместен, эффективность его по кэшу я ни разу не подтверждал у себя. АСЛ сквида - для http только, https - ну не годится никуда.

[vitos.barboz]

Доброго времени суток. Вопросики по матчасти без конфигов=)

Пытаюсь ограничить аудио, видео потоки.

Схема следующая:

-ни кто не может выйти без указания прокси-сервера за пределы локальной сети

-на шлюзе редирект на страничку с информацией обращения к администратору для настройки прокси-сервера

-при настроенном прокси-сервере могу фильтровать обращение к сайтам.

Не получается ограничить в правилах аудио, видео потоки (например youtube.com не закрывал, но закрыл googlevideo.com и теперь видео не воспроизводится на ютубе и на любом другом сайте, где вставлена ссылка на видео находящееся на ютуб)

Но я так понимаю в https влезть нельзя и из-за этого нельзя ограничить потоковое аудио и видео?

Фильтровать получиться, если установить сертификаты на клиентах?

[vitos.barboz]

15 часов назад, YuryD сказал:

 Вообще-то, немного не коммерческое железо вполне умеет и политики пользователям нарезать. Сквид - неуместен, эффективность его по кэшу я ни разу не подтверждал у себя. АСЛ сквида - для http только, https - ну не годится никуда.

Здравствуйте. 

Какое именно железо?

Так если мы говорим о прокси прозрачном, то да. Но когда жестко у клиента прописан прокси, то тут уже acl хоть для http или https работают, так как обращение к внешним ресурсам идет от имени прокси-сервера. То есть прописывая прокси-сервер на клиенте, он заведомо доверяет от своего имени обращаться к внешним ресурсам. Соответственно фильтрацию можно произвести с помощью acl. Разве не так?Поправьте, если я ошибаюсь.

[oleg_n]

В 1/31/2017 в 21:35, s.lobanov сказал:

 

В офисе squid+ssl_bump - нормальное решение. Потому что через доменные политики можно свой CA воткнуть

А как у сквида сейчас с HPKP/certificate_pinning?

[vop]

Насколько я знаю, для https трафика прокси использует метод CONNECT. Или я уже отстал от жизни?

[vitos.barboz]

В 05.09.2017 в 16:07, vop сказал:

Насколько я знаю, для https трафика прокси использует метод CONNECT. Или я уже отстал от жизни?

Именно

[terrible]

В 04.09.2017 в 17:57, vitos.barboz сказал:

А какая альтернатива есть squid, не коммерческое ПО?

3proxy например, правда конфигов и подсказок в интернете маловато по нему, придётся потрахаццо малец, но работает норм. В режиме intercept тоже работает.