Free8.3+ipfw+squid+https

Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок

Модераторы: vadim64, terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
S_V
рядовой
Сообщения: 13
Зарегистрирован: 2013-01-17 14:10:59

Re: Free8.3+ipfw+squid+https

Непрочитанное сообщение S_V » 2013-02-21 17:55:53

Мучаю команду ssl_crtd -c -s /usr/local/squid/var/lib/ssl_db
пишет, что Cannot create /usr/local/squid/var/lib/ssl_db
Запускаю от себя, т.е. от root. Разрешения по всему путю - root:wheel 755. Менял на 775 и 777, эффекта нет.
Почему не может создать не втыкаю.
Это что за напасть?

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
gumeniuc
ст. сержант
Сообщения: 343
Зарегистрирован: 2009-11-08 15:46:05
Откуда: md
Контактная информация:

Re: Free8.3+ipfw+squid+https

Непрочитанное сообщение gumeniuc » 2013-02-21 20:37:10

Код: Выделить всё

cd /usr/local/squid/var/lib 
работает ?
Да шо ему сделается...

Аватара пользователя
sadchok
сержант
Сообщения: 271
Зарегистрирован: 2011-10-13 10:40:54
Откуда: Алтайский край

Re: Free8.3+ipfw+squid+https

Непрочитанное сообщение sadchok » 2013-02-21 20:51:04

Дайте вывод

Код: Выделить всё

squid -v
ll /usr/local/squid/
ll /usr/local/squid/var/
The brain can not be found. Runs the software emulation

S_V
рядовой
Сообщения: 13
Зарегистрирован: 2013-01-17 14:10:59

Re: Free8.3+ipfw+squid+https

Непрочитанное сообщение S_V » 2013-02-22 11:49:33

Система FreeeBSD 8.3.
Когда мучал Squid 3.3.1 - ssl_crtd не мог создать эту папку (базу или хз чо там ему не хватает) потому что даунгрейд прав работает криво, с этим бьются многие.
Щас поставил Squid 3.1.23 --prefix=/usr/local/squid --enable-ssl -- enable-ssl-crtd -- ena-ipfw-transparent --with-default-luser=squid --dissable-linux-tproxy --ena-delay-pools --ena-arp-acl --with-larga-files --with-squid=/usr/ports/www/squid/squid-3.1.23 --ena-ltdl-convience
(Как можно вывод команд копипастить, а не переписывать?)
В lib конечно я могу зайти, руками создавал всё дерево, до ssl_db.
ls показывает конечно же 4 папки, в том числе и Lib 777 squid:wheel
Я так понимаю, что от версий меняется только вид ошибки, а причина может быть той же самой...

Аватара пользователя
sadchok
сержант
Сообщения: 271
Зарегистрирован: 2011-10-13 10:40:54
Откуда: Алтайский край

Re: Free8.3+ipfw+squid+https

Непрочитанное сообщение sadchok » 2013-02-22 14:29:46

sadchok писал(а): Создал кеш.

Код: Выделить всё

mkdir /var/squid/lib/
/usr/local/libexec/squid/ssl_crtd -с -s /var/squid/lib/ssl_db
The brain can not be found. Runs the software emulation

Аватара пользователя
sadchok
сержант
Сообщения: 271
Зарегистрирован: 2011-10-13 10:40:54
Откуда: Алтайский край

Re: Free8.3+ipfw+squid+https

Непрочитанное сообщение sadchok » 2013-02-22 14:34:47

S_V писал(а): (Как можно вывод команд копипастить, а не переписывать?)
Зависит от ОС на которой вы сидите и от проги удаленного администрирования.
Я на FreeBSD+gnоme+remmina просто выделяю текст и вставляю по средней кнопке (колесико нажать)
The brain can not be found. Runs the software emulation

Аватара пользователя
skorin
ефрейтор
Сообщения: 51
Зарегистрирован: 2010-03-30 9:47:26
Откуда: Санкт-Петербург

Re: Free8.3+ipfw+squid+https

Непрочитанное сообщение skorin » 2013-03-15 10:21:36

Помогите!!!
FreeBSD 8.2-RELEASE i386
squid-3.1.23
Не могу сделать нормально работающие сертификаты! :(
Вот этот способ не работает вообще.

Код: Выделить всё

#squid.conf
http_port 127.0.0.1:3128 transparent
https_port 127.0.0.1:3129 transparent ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB key=/usr/local/etc/squid/ssl/squid.key cert=/usr/local/etc/squid/ssl/squid.pem

Код: Выделить всё

openssl genrsa -out /etc/squid/ssl/squid.key
openssl req -new -key /etc/squid/ssl/squid.key -out /etc/squid/ssl/squid.csr
openssl x509 -req -days 3650 -in /etc/squid/ssl/squid.csr -signkey /etc/squid/ssl/squid.key -out /etc/squid/ssl/squid.pem
Этот способ работает, но почему-то ругается на сертификат, хотя и открывает сайты. И на хроме отказывается открывать гугл...

Код: Выделить всё

#squid.conf
http_port 127.0.0.1:3128 transparent
https_port 3129 transparent ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/usr/local/etc/squid/ssl/squidCA.pem

Код: Выделить всё

openssl req -new -newkey rsa:1024 -days 365 -nodes -x509 -keyout squid.pem -out squid.pem
и сертификат для добавления в браузере
openssl x509 -in squid.pem -outform DER -out squid.der
Что не так делаю? ХЕЛП!!!

Аватара пользователя
ADRE
майор
Сообщения: 2641
Зарегистрирован: 2007-07-26 8:53:49
Контактная информация:

Re: Free8.3+ipfw+squid+https

Непрочитанное сообщение ADRE » 2013-03-15 13:03:21

не используй https на транспарент
//del

Аватара пользователя
skorin
ефрейтор
Сообщения: 51
Зарегистрирован: 2010-03-30 9:47:26
Откуда: Санкт-Петербург

Re: Free8.3+ipfw+squid+https

Непрочитанное сообщение skorin » 2013-03-21 12:39:00

Думал рубить squid'ом https://vk.com - а то хитрые юзеры прошарили что можно юзать контакт через https, но что то как то сложно оказалось разбираться с сертификатами, в экеплорере вроде работает, на мозиле отказывается. В общем плюнул на эту идею, оставил как есть прозрачно.
https://vk.com - рублю в ipfw по айпи.

Аватара пользователя
kharkov_max
капитан
Сообщения: 1808
Зарегистрирован: 2008-10-03 14:56:40

Re: Free8.3+ipfw+squid+https

Непрочитанное сообщение kharkov_max » 2013-03-21 21:13:42

skorin писал(а):Думал рубить squid'ом https://vk.com - а то хитрые юзеры прошарили что можно юзать контакт через https, но что то как то сложно оказалось разбираться с сертификатами, в экеплорере вроде работает, на мозиле отказывается. В общем плюнул на эту идею, оставил как есть прозрачно.
https://vk.com - рублю в ipfw по айпи.
Может не в тему ...
А что мешает рубить контакт или любой сайт на squid через url_regex ?
Или я чего то не до понял ?

Вроде должно быть плавно что там http или https ....

Аватара пользователя
skorin
ефрейтор
Сообщения: 51
Зарегистрирован: 2010-03-30 9:47:26
Откуда: Санкт-Петербург

Re: Free8.3+ipfw+squid+https

Непрочитанное сообщение skorin » 2013-03-22 14:55:38

ipfw 443 port (https) не заворачивает на squid и соответственно squid ни чего не знает об этом.
А если 443 заворачивать на squid то тут возникают проблемы с сертификатами и их подменами на клиентских машинах!
В общем как то коряво все работать начинает, при фильтровке https