Приветствую. Пытаюсь настроить элементарный прозрачный конфиг, без подделки сертификатов, но получается так, что либо нормально фильтруется https и полностью пропускается http, либо нормально фильтруется http и полностью не пропускается https.Конфиг элементарный:
http_port 10.96.243.1:3128 intercept options=NO_SSLv3:NO_SSLv2
http_port 10.96.243.1:3130 options=NO_SSLv3:NO_SSLv2
https_port 10.96.243.1:3129 intercept ssl-bump options=ALL:NO_SSLv3:NO_SSLv2 connection-auth=off cert=/etc/squid/squidCA.pemacl localnet src 10.0.0.0/8 # RFC1918 possible internal network
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 443 # https
acl CONNECT method CONNECTacl http_allow dstdomain "/etc/squid/http_allow_domains.txt"
acl https_allow ssl::server_name "/etc/squid/https_allow_domains.txt"sslproxy_cert_error allow all
sslproxy_flags DONT_VERIFY_PEERacl step1 at_step SslBump1
ssl_bump peek step1
ssl_bump splice https_allow
ssl_bump terminate allcache deny all
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny managerhttp_access allow all http_allow
http_access allow all https_allow
http_access deny allalways_direct allow all
coredump_dir /var/spool/squid
refresh_pattern . 0 0% 0
logformat ssl %ts.%03tu %6tr %>a %la:%lp %Ss/%03>Hs %<st %rm %ssl::>sni %ru %[un %Sh/%<a %mt
access_log daemon:/var/log/squid/access.log logformat=ssl
# cat http_allow_domains.txt
.google.com
# cat https_allow_domains.txt
.google.comВ таком виде фильтруется http, а https не работает - выдает самоподписаную страницу с отказом доступа.
если правила доступа поменять на:
http_access allow all
То начинает нормально фильтроваться https, а http пропускается весь, что логично.Что я делаю не так????
> http_access allow all http_allow
> http_access allow all https_allow
> http_access deny allСам спросил, сам ответил:
acl http_proto proto http
http_access allow all http_allow
http_access deny http
http_access allow all