The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

форумы  помощь  поиск  регистрация  вход/выход  слежка  RSS
"squid, tansparent, ssl peek"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Настройка Squid и других прокси серверов (Прозрачный proxy)
Изначальное сообщение [ Отслеживать ]

"squid, tansparent, ssl peek"  +/
Сообщение от ShyLion (ok) on 27-Янв-17, 08:02 
Приветствую. Пытаюсь настроить элементарный прозрачный конфиг, без подделки сертификатов, но получается так, что либо нормально фильтруется https и полностью пропускается http, либо нормально фильтруется http и полностью не пропускается https.

Конфиг элементарный:


http_port 10.96.243.1:3128 intercept options=NO_SSLv3:NO_SSLv2
http_port 10.96.243.1:3130 options=NO_SSLv3:NO_SSLv2
https_port 10.96.243.1:3129 intercept ssl-bump options=ALL:NO_SSLv3:NO_SSLv2 connection-auth=off cert=/etc/squid/squidCA.pem

acl localnet src 10.0.0.0/8     # RFC1918 possible internal network

acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 443         # https
acl CONNECT method CONNECT

acl http_allow dstdomain "/etc/squid/http_allow_domains.txt"
acl https_allow ssl::server_name  "/etc/squid/https_allow_domains.txt"

sslproxy_cert_error allow all
sslproxy_flags DONT_VERIFY_PEER

acl step1 at_step SslBump1
ssl_bump peek step1
ssl_bump splice https_allow
ssl_bump terminate all

cache deny all

http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager

http_access allow all http_allow
http_access allow all https_allow
http_access deny all

always_direct allow all

coredump_dir /var/spool/squid

refresh_pattern .               0       0%      0

logformat ssl %ts.%03tu %6tr %>a %la:%lp %Ss/%03>Hs %<st %rm %ssl::>sni %ru %[un %Sh/%<a %mt
access_log daemon:/var/log/squid/access.log logformat=ssl


# cat http_allow_domains.txt
.google.com
# cat https_allow_domains.txt
.google.com

В таком виде фильтруется http, а https не работает - выдает самоподписаную страницу с отказом доступа.

если правила доступа поменять на:


http_access allow all

То начинает нормально фильтроваться https, а http пропускается весь, что логично.

Что я делаю не так????

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по ответам | RSS]

1. "squid, tansparent, ssl peek"  +/
Сообщение от ShyLion (ok) on 27-Янв-17, 15:24 
> http_access allow all http_allow
> http_access allow all https_allow
> http_access deny all

Сам спросил, сам ответил:

acl http_proto proto http
http_access allow all http_allow
http_access deny http
http_access allow all

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема


  Закладки на сайте
  Проследить за страницей
Created 1996-2017 by Maxim Chirkov  
ДобавитьРекламаВебмастеруГИД  
Hosting by Ihor