Free8.3+ipfw+squid+https

S_V · Непрочитанное сообщение **S_V** » 2013-02-21 17:55:53

Мучаю команду ssl_crtd -c -s /usr/local/squid/var/lib/ssl_db
пишет, что Cannot create /usr/local/squid/var/lib/ssl_db
Запускаю от себя, т.е. от root. Разрешения по всему путю - root:wheel 755. Менял на 775 и 777, эффекта нет.
Почему не может создать не втыкаю.
Это что за напасть?

Хостинг HostFood.ru · **Хостинг HostFood.ru**

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

gumeniuc

Код: Выделить всё

cd /usr/local/squid/var/lib

работает ?

sadchok · Непрочитанное сообщение **sadchok** » 2013-02-21 20:51:04

Дайте вывод

Код: Выделить всё

squid -v
ll /usr/local/squid/
ll /usr/local/squid/var/

S_V · Непрочитанное сообщение **S_V** » 2013-02-22 11:49:33

Система FreeeBSD 8.3.
Когда мучал Squid 3.3.1 - ssl_crtd не мог создать эту папку (базу или хз чо там ему не хватает) потому что даунгрейд прав работает криво, с этим бьются многие.
Щас поставил Squid 3.1.23 --prefix=/usr/local/squid --enable-ssl -- enable-ssl-crtd -- ena-ipfw-transparent --with-default-luser=squid --dissable-linux-tproxy --ena-delay-pools --ena-arp-acl --with-larga-files --with-squid=/usr/ports/www/squid/squid-3.1.23 --ena-ltdl-convience
(Как можно вывод команд копипастить, а не переписывать?)
В lib конечно я могу зайти, руками создавал всё дерево, до ssl_db.
ls показывает конечно же 4 папки, в том числе и Lib 777 squid:wheel
Я так понимаю, что от версий меняется только вид ошибки, а причина может быть той же самой...

sadchok · Непрочитанное сообщение **sadchok** » 2013-02-22 14:29:46

sadchok писал(а): Создал кеш.
Код: Выделить всё
mkdir /var/squid/lib/
/usr/local/libexec/squid/ssl_crtd -с -s /var/squid/lib/ssl_db

sadchok · Непрочитанное сообщение **sadchok** » 2013-02-22 14:34:47

S_V писал(а): (Как можно вывод команд копипастить, а не переписывать?)

Зависит от ОС на которой вы сидите и от проги удаленного администрирования.
Я на FreeBSD+gnоme+remmina просто выделяю текст и вставляю по средней кнопке (колесико нажать)

skorin · Непрочитанное сообщение **skorin** » 2013-03-15 10:21:36

Помогите!!!
FreeBSD 8.2-RELEASE i386
squid-3.1.23
Не могу сделать нормально работающие сертификаты!

Вот этот способ не работает вообще.

Код: Выделить всё

#squid.conf
http_port 127.0.0.1:3128 transparent
https_port 127.0.0.1:3129 transparent ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB key=/usr/local/etc/squid/ssl/squid.key cert=/usr/local/etc/squid/ssl/squid.pem

Код: Выделить всё

openssl genrsa -out /etc/squid/ssl/squid.key
openssl req -new -key /etc/squid/ssl/squid.key -out /etc/squid/ssl/squid.csr
openssl x509 -req -days 3650 -in /etc/squid/ssl/squid.csr -signkey /etc/squid/ssl/squid.key -out /etc/squid/ssl/squid.pem

Этот способ работает, но почему-то ругается на сертификат, хотя и открывает сайты. И на хроме отказывается открывать гугл...

Код: Выделить всё

#squid.conf
http_port 127.0.0.1:3128 transparent
https_port 3129 transparent ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/usr/local/etc/squid/ssl/squidCA.pem

Код: Выделить всё

openssl req -new -newkey rsa:1024 -days 365 -nodes -x509 -keyout squid.pem -out squid.pem
и сертификат для добавления в браузере
openssl x509 -in squid.pem -outform DER -out squid.der

Что не так делаю? ХЕЛП!!!

Непрочитанное сообщение **ADRE** » 2013-03-15 13:03:21

не используй https на транспарент

skorin · Непрочитанное сообщение **skorin** » 2013-03-21 12:39:00

Думал рубить squid'ом https://vk.com - а то хитрые юзеры прошарили что можно юзать контакт через https, но что то как то сложно оказалось разбираться с сертификатами, в экеплорере вроде работает, на мозиле отказывается. В общем плюнул на эту идею, оставил как есть прозрачно.
https://vk.com - рублю в ipfw по айпи.

kharkov_max

skorin писал(а):Думал рубить squid'ом https://vk.com - а то хитрые юзеры прошарили что можно юзать контакт через https, но что то как то сложно оказалось разбираться с сертификатами, в экеплорере вроде работает, на мозиле отказывается. В общем плюнул на эту идею, оставил как есть прозрачно.
https://vk.com - рублю в ipfw по айпи.

Может не в тему ...
А что мешает рубить контакт или любой сайт на squid через url_regex ?
Или я чего то не до понял ?

Вроде должно быть плавно что там http или https ....

skorin · Непрочитанное сообщение **skorin** » 2013-03-22 14:55:38

ipfw 443 port (https) не заворачивает на squid и соответственно squid ни чего не знает об этом.
А если 443 заворачивать на squid то тут возникают проблемы с сертификатами и их подменами на клиентских машинах!
В общем как то коряво все работать начинает, при фильтровке https

forum.lissyara.su

Free8.3+ipfw+squid+https

Re: Free8.3+ipfw+squid+https

Услуги хостинговой компании Host-Food.ru

Re: Free8.3+ipfw+squid+https

Re: Free8.3+ipfw+squid+https

Re: Free8.3+ipfw+squid+https

Re: Free8.3+ipfw+squid+https

Re: Free8.3+ipfw+squid+https

Re: Free8.3+ipfw+squid+https

Re: Free8.3+ipfw+squid+https

Re: Free8.3+ipfw+squid+https

Re: Free8.3+ipfw+squid+https

Re: Free8.3+ipfw+squid+https