Jump to content
Калькуляторы

прошу помощи со сквидом

Reply to this topic

ShyLion   

ShyLion
Posted

Приветствую. Пытаюсь настроить элементарный прозрачный конфиг, без подделки сертификатов, но получается так, что либо нормально фильтруется https и полностью пропускается http, либо нормально фильтруется http и полностью не пропускается https.

Конфиг элементарный:

 

http_port 10.96.243.1:3128 intercept options=NO_SSLv3:NO_SSLv2
http_port 10.96.243.1:3130 options=NO_SSLv3:NO_SSLv2
https_port 10.96.243.1:3129 intercept ssl-bump options=ALL:NO_SSLv3:NO_SSLv2 connection-auth=off cert=/etc/squid/squidCA.pem
acl localnet src 10.0.0.0/8     # RFC1918 possible internal network

acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 443         # https
acl CONNECT method CONNECT

acl http_allow dstdomain "/etc/squid/http_allow_domains.txt"
acl https_allow ssl::server_name  "/etc/squid/https_allow_domains.txt"

sslproxy_cert_error allow all
sslproxy_flags DONT_VERIFY_PEER

acl step1 at_step SslBump1
ssl_bump peek step1
ssl_bump splice https_allow
ssl_bump terminate all

cache deny all

http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager

http_access allow all http_allow
http_access allow all https_allow
http_access deny all

always_direct allow all

coredump_dir /var/spool/squid

refresh_pattern .               0       0%      0

logformat ssl %ts.%03tu %6tr %>a %la:%lp %Ss/%03>Hs %<st %rm %ssl::>sni %ru %[un %Sh/%<a %mt
access_log daemon:/var/log/squid/access.log logformat=ssl

 

# cat http_allow_domains.txt
.google.com
# cat https_allow_domains.txt
.google.com

 

В таком виде фильтруется http, а https не работает - выдает самоподписаную страницу с отказом доступа.

 

если правила доступа поменять на:

 

 

http_access allow all

 

То начинает нормально фильтроваться https, а http пропускается весь, что логично.

Что я делаю не так????

Share this post

Link to post
Share on other sites

s.lobanov   

s.lobanov
Posted

зачем сквид нынче в век https ?

 

В офисе squid+ssl_bump - нормальное решение. Потому что через доменные политики можно свой CA воткнуть

Share this post

Link to post
Share on other sites

vitos.barboz   

vitos.barboz
Posted
В 02.02.2017 в 21:29, npokypop сказал:

Ну если только на уровне офиса или предприятия.

А какая альтернатива есть squid, не коммерческое ПО?

Share this post

Link to post
Share on other sites

YuryD   

YuryD
Posted
4 минуты назад, vitos.barboz сказал:

А какая альтернатива есть squid, не коммерческое ПО?

 Вообще-то, немного не коммерческое железо вполне умеет и политики пользователям нарезать. Сквид - неуместен, эффективность его по кэшу я ни разу не подтверждал у себя. АСЛ сквида - для http только, https - ну не годится никуда.

Share this post

Link to post
Share on other sites

vitos.barboz   

vitos.barboz
Posted

Доброго времени суток. Вопросики по матчасти без конфигов=)

Пытаюсь ограничить аудио, видео потоки.

Схема следующая:

-ни кто не может выйти без указания прокси-сервера за пределы локальной сети

-на шлюзе редирект на страничку с информацией обращения к администратору для настройки прокси-сервера

-при настроенном прокси-сервере могу фильтровать обращение к сайтам.

Не получается ограничить в правилах аудио, видео потоки (например youtube.com не закрывал, но закрыл googlevideo.com и теперь видео не воспроизводится на ютубе и на любом другом сайте, где вставлена ссылка на видео находящееся на ютуб)

Но я так понимаю в https влезть нельзя и из-за этого нельзя ограничить потоковое аудио и видео?

Фильтровать получиться, если установить сертификаты на клиентах?

Share this post

Link to post
Share on other sites

vitos.barboz   

vitos.barboz
Posted
15 часов назад, YuryD сказал:

 Вообще-то, немного не коммерческое железо вполне умеет и политики пользователям нарезать. Сквид - неуместен, эффективность его по кэшу я ни разу не подтверждал у себя. АСЛ сквида - для http только, https - ну не годится никуда.

Здравствуйте. 

Какое именно железо?

Так если мы говорим о прокси прозрачном, то да. Но когда жестко у клиента прописан прокси, то тут уже acl хоть для http или https работают, так как обращение к внешним ресурсам идет от имени прокси-сервера. То есть прописывая прокси-сервер на клиенте, он заведомо доверяет от своего имени обращаться к внешним ресурсам. Соответственно фильтрацию можно произвести с помощью acl. Разве не так?Поправьте, если я ошибаюсь.

Share this post

Link to post
Share on other sites

oleg_n   

oleg_n
Posted
В 1/31/2017 в 21:35, s.lobanov сказал:

 

В офисе squid+ssl_bump - нормальное решение. Потому что через доменные политики можно свой CA воткнуть

А как у сквида сейчас с HPKP/certificate_pinning?

Share this post

Link to post
Share on other sites

vitos.barboz   

vitos.barboz
Posted
В 05.09.2017 в 16:07, vop сказал:

Насколько я знаю, для https трафика прокси использует метод CONNECT. Или я уже отстал от жизни?

Именно

Share this post

Link to post
Share on other sites

terrible   

terrible
Posted
В 04.09.2017 в 17:57, vitos.barboz сказал:

А какая альтернатива есть squid, не коммерческое ПО?

3proxy например, правда конфигов и подсказок в интернете маловато по нему, придётся потрахаццо малец, но работает норм. В режиме intercept тоже работает.

Share this post

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
Followers 0
Go to topic listing Программное обеспечение, биллинг и *unix системы