На текущий момент:
установлена система в качестве шлюза,
поднято соединение с интернет,
на внутреннюю сеть DHCP isc-dhcpd + DNS named (bind).
интернет раздается стабильно.
Возникла необходимость в настройке контроля проходящего трафика http\https (урезать однокласников и в контакте и вообще любой сайт, который укажут, для всех, кроме избранных, есть ещё принтера и другие устройства, которые тоже надо зарезать).
Итого получим три правила для трех типов пользователей (три файла для списков ip boss_user, allow_user, deny_user в правилах squid имя acl с окончанием s):
- можно все, адресация х.х.88.200-88.250
- можно но не все, х.х.88.1-88.100
- полный блок. х.х.88.101-88.199
пользователи прибиты по маку на dhcp к адресам.
текущий статус новых работ:
установлен squid 4.5 при старте пишет
Код: Выделить всё
WARNING: /usr/local/libexec/squid/ssl_crtd -c -s /var/log/squid/ssl_db -M 4MB #Hlpr1 exited
2019/02/14 10:18:31 kid1| Too few /usr/local/libexec/squid/ssl_crtd -c -s /var/log/squid/ssl_db -M 4MB processes are running (need 1/32)
2019/02/14 10:18:31 kid1| Closing HTTP(S) port 127.0.0.1:3128
2019/02/14 10:18:31 kid1| Closing HTTP(S) port 127.0.0.1:3130
2019/02/14 10:18:31 kid1| Closing HTTP(S) port 127.0.0.1:3129
2019/02/14 10:18:31 kid1| storeDirWriteCleanLogs: Starting...
2019/02/14 10:18:31 kid1| Finished. Wrote 0 entries.
2019/02/14 10:18:31 kid1| Took 0.00 seconds ( 0.00 entries/sec).
2019/02/14 10:18:31 kid1| FATAL: The /usr/local/libexec/squid/ssl_crtd -c -s /var/log/squid/ssl_db -M 4MB helpers are crashing too rapidly, need help!
Пришел к выводу, что нужно ставить либо openssl либо вообще libressl, но так на версию openssl 1.0.0 -1.0.2 старые и из-за их проблем (но используется в системе, как бы новая версия библиотеки не покрашила часть ПО) народ дружно переехали на libressl, чтобы фильтровать шифрованный трафик.
Насколько оправдан переход на libressl, после выхода обновления в сентябре 2018 года openssl 1.1.1 ? Если обновлять openssl то полностью или ставить параллельно?
Конфиг squid 4.5
Код: Выделить всё
acl localnet src 192.168.88.0/24
acl allow_users src "/usr/local/etc/squid/allow_user"
acl deny_users src "/usr/local/etc/squid/deny_user"
acl boss_users src "/usr/local/etc/squid/boss_user"
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
visible_hostname bsdproxy.loc
dns_nameservers х.х.х.х
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
# Only allow cachemgr access from localhost
http_access allow localhost manager
http_access deny manager
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
http_access allow localnet
http_access allow localhost
http_access allow boss_users
http_access deny boss_users
# Squid port 3128
http_port 127.0.0.1:3128 intercept
http_port 127.0.0.1:3130
https_port 127.0.0.1:3129 intercept ssl-bump connection-auth=off cert=/usr/local/etc/squid/squidCA.pem
always_direct allow all
sslproxy_cert_error allow all
tls_outgoing_options flags=DONT_VERIFY_PEER
acl blocked ssl::server_name "/usr/local/etc/squid/blocked_https.txt"
acl step1 at_step SslBump1
ssl_bump peek step1
ssl_bump terminate blocked
ssl_bump splice all
sslcrtd_program /usr/local/libexec/squid/ssl_crtd -c -s /var/log/squid/ssl_db -M 4MB
cache_dir ufs /var/squid/cache 100 16 256
# Uncomment and adjust the following to add a disk cache directory.
cache_dir ufs /var/squid/cache 100 16 256
# Leave coredumps in the first cache dir
coredump_dir /var/squid/cache
#
# Add any of your own refresh_pattern entries above these.
#
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320
Прокси-сервер отказывается принимать соединения