Free8.3+ipfw+squid+https
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
- рядовой
- Сообщения: 13
- Зарегистрирован: 2013-01-17 14:10:59
Free8.3+ipfw+squid+https
Доброго. Я во фре нуб, так что извиняйте сразу.
Установил Фрее 8.3+ipfw+(squid-2.7.9_1)+(squidGuard-1.4_4)
Суть вопроса в том, что я не могу разобраться как squid заставить работать c https протоколом.
Если в squid.conf прописать https-port 3129 key=... cert=..., то сразу начинается ругань unrecognized: 'https_port'.
Ставил это хозяйство через "pkg_add -r" c ftp, по сему вопрос - можно ли, посмотреть и изменить конфиг установщика, который ставится через pkg_Add из существующего tbz, так чтобы появилась функция --enable-ssl.
С "./configure" и make получается очень плохо, он переписывает конфиги, но не хочет создавать запускные файлы. Т.е. после make install набираю "service squid start" и получаю в ответ не найдено ни одного запускного файла.
Установил Фрее 8.3+ipfw+(squid-2.7.9_1)+(squidGuard-1.4_4)
Суть вопроса в том, что я не могу разобраться как squid заставить работать c https протоколом.
Если в squid.conf прописать https-port 3129 key=... cert=..., то сразу начинается ругань unrecognized: 'https_port'.
Ставил это хозяйство через "pkg_add -r" c ftp, по сему вопрос - можно ли, посмотреть и изменить конфиг установщика, который ставится через pkg_Add из существующего tbz, так чтобы появилась функция --enable-ssl.
С "./configure" и make получается очень плохо, он переписывает конфиги, но не хочет создавать запускные файлы. Т.е. после make install набираю "service squid start" и получаю в ответ не найдено ни одного запускного файла.
Последний раз редактировалось f_andrey 2013-01-18 10:03:14, всего редактировалось 1 раз.
Причина: Автору, выбирайте пожалуйста раздел соответствуюший тематике вашего сообщения.
Причина: Автору, выбирайте пожалуйста раздел соответствуюший тематике вашего сообщения.
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
-
- рядовой
- Сообщения: 13
- Зарегистрирован: 2013-01-17 14:10:59
Re: Free8.3+ipfw+squid+https
Дорогой f_andrey, если показалось, что эта тема для начинающих, то вы заблуждаетесь, так как за всё прошедшее время никто не отписался!
Squid из сорса я поставил, даже научился запускать. Https_port включаю (сертификат создан с помощью OpenSSl), но в браузере получаю ssl_error_rx_record_too_long, ответа на эту ошибку нет.
Кеш отключён cache deny all - http://wiki.squid-cache.org/SquidFaq/Co ... nything.3F, ищем соответственно версии squida. acl SSL method CONNECT в конфиг добавлен.
P.S.
Может я не правильно генерю сертификат, кто найдёт правильную инструкцию, публикуйте, все порадуются
Squid из сорса я поставил, даже научился запускать. Https_port включаю (сертификат создан с помощью OpenSSl), но в браузере получаю ssl_error_rx_record_too_long, ответа на эту ошибку нет.
Кеш отключён cache deny all - http://wiki.squid-cache.org/SquidFaq/Co ... nything.3F, ищем соответственно версии squida. acl SSL method CONNECT в конфиг добавлен.
P.S.
Может я не правильно генерю сертификат, кто найдёт правильную инструкцию, публикуйте, все порадуются
- Neus
- майор
- Сообщения: 2007
- Зарегистрирован: 2008-09-08 21:59:56
Re: Free8.3+ipfw+squid+https
Пакеты собираются с параметрами по-умолчанию
Умолчания можно глянуть там www.freshports.org
---
Сквид давно юзал... вам нужно чтобы он проксировал запросы типа https://google.ru/ ?
не помню чтобы я генерировал какой-то сертификат...
Умолчания можно глянуть там www.freshports.org
А в какой ещё раздел надо было двинуть тему?Я во фре нуб
---
Сквид давно юзал... вам нужно чтобы он проксировал запросы типа https://google.ru/ ?
не помню чтобы я генерировал какой-то сертификат...
- gumeniuc
- ст. сержант
- Сообщения: 343
- Зарегистрирован: 2009-11-08 15:46:05
- Откуда: md
- Контактная информация:
Re: Free8.3+ipfw+squid+https
Попытка прозрачно пропустить SSL трафик или что ?
Да шо ему сделается...
-
- рядовой
- Сообщения: 13
- Зарегистрирован: 2013-01-17 14:10:59
Re: Free8.3+ipfw+squid+https
Неет, в точку. Прочитал интересную статью про то, что это можно как-то сделать напрямую через сквид без расшифровки трафика самим сквидом, но не осело, может кто объяснит?gumeniuc писал(а):Попытка прозрачно пропустить SSL трафик или что ?
- Neus
- майор
- Сообщения: 2007
- Зарегистрирован: 2008-09-08 21:59:56
Re: Free8.3+ipfw+squid+https
Прокси расшифровывает трафик???
Вы чего курили?
Вы чего курили?
- sadchok
- сержант
- Сообщения: 271
- Зарегистрирован: 2011-10-13 10:40:54
- Откуда: Алтайский край
Re: Free8.3+ipfw+squid+https
Сам пока не пробовал, но чел пишет что работает.retro писал(а): 1. Чтобы при проверке версии squid в строке конфигурации обязательно была опция '--enable-ssl' иначе кина небудет, и не мечтайте.
2. Если версия >= libssl0.9.6 При создании сертификатов и ключей оперироваться командами для создания ключей:
openssl genrsa -out /etc/squid/ssl/squid.key
openssl req -new -key /etc/squid/ssl/squid.key -out /etc/squid/ssl/squid.csr
openssl x509 -req -days 3650 -in /etc/squid/ssl/squid.csr -signkey /etc/squid/ssl/squid.key -out /etc/squid/ssl/squid.pem
3. Конфигурация squid согласно портов должна иметь такой вид:
http_port 192.168.0.254:3128 transparent
https_port 192.168.0.254:3129 transparent key=/etc/squid/ssl/squid.key cert=/etc/squid/ssl/squid.pem
The brain can not be found. Runs the software emulation
- sadchok
- сержант
- Сообщения: 271
- Зарегистрирован: 2011-10-13 10:40:54
- Откуда: Алтайский край
Re: Free8.3+ipfw+squid+https
Насколько я понял именно расшифровывает.Neus писал(а):Прокси расшифровывает трафик???
Вы чего курили?
А потом шифрует но уже своим сертификатом.
Костыль конечно, теряется весь смысл ssl.
И в определенных конторах за это могут и по башке надавать.
The brain can not be found. Runs the software emulation
-
- рядовой
- Сообщения: 13
- Зарегистрирован: 2013-01-17 14:10:59
Re: Free8.3+ipfw+squid+https
Я чувствую тут вообще не многие мануалы изучают, по этому админ сильно ошибся ))
to NEUS читай про MITM атаку, потом мануал про Squid и наконец на сайте wiki squid'a черным по английски написано как это работает.
Но есть другой метод, так называемого прямого прохода и вот тут по ходу не надо создавать ssl туннель, потому что должен поддерживаться только существующий туннель между сайтом и браузером...
Как это организовать я не всосал )
to NEUS читай про MITM атаку, потом мануал про Squid и наконец на сайте wiki squid'a черным по английски написано как это работает.
Но есть другой метод, так называемого прямого прохода и вот тут по ходу не надо создавать ssl туннель, потому что должен поддерживаться только существующий туннель между сайтом и браузером...
Как это организовать я не всосал )
- gumeniuc
- ст. сержант
- Сообщения: 343
- Зарегистрирован: 2009-11-08 15:46:05
- Откуда: md
- Контактная информация:
Re: Free8.3+ipfw+squid+https
Тоже читал статьи где слёзно клялись, что на Линухе какой-то работало. Пытался сделать на БСД... Не вышло.
Там кажись эти опции аля 'https_port' с какой-версии версии появились, возможно с 3.х.
Попробуй сквид 3 ветки собрать из портов.
Там кажись эти опции аля 'https_port' с какой-версии версии появились, возможно с 3.х.
Попробуй сквид 3 ветки собрать из портов.
Да шо ему сделается...
- sadchok
- сержант
- Сообщения: 271
- Зарегистрирован: 2011-10-13 10:40:54
- Откуда: Алтайский край
Re: Free8.3+ipfw+squid+https
Соберите squid из портов.S_V писал(а): Ставил это хозяйство через "pkg_add -r" c ftp, по сему вопрос - можно ли, посмотреть и изменить конфиг установщика, который ставится через pkg_Add из существующего tbz, так чтобы появилась функция --enable-ssl.
С "./configure" и make получается очень плохо, он переписывает конфиги, но не хочет создавать запускные файлы. Т.е. после make install набираю "service squid start" и получаю в ответ не найдено ни одного запускного файла.
Установив галку на
[X] SQUID_SSL Enable SSL support for reverse proxies
The brain can not be found. Runs the software emulation
- Neus
- майор
- Сообщения: 2007
- Зарегистрирован: 2008-09-08 21:59:56
Re: Free8.3+ipfw+squid+https
Что такое MITM я знаю.S_V писал(а):Я чувствую тут вообще не многие мануалы изучают, по этому админ сильно ошибся ))
to NEUS читай про MITM атаку, потом мануал про Squid и наконец на сайте wiki squid'a черным по английски написано как это работает.
Но есть другой метод, так называемого прямого прохода и вот тут по ходу не надо создавать ssl туннель, потому что должен поддерживаться только существующий туннель между сайтом и браузером...
Как это организовать я не всосал )
Про сквид почитаю, интересно зачем там такие методы.
- sadchok
- сержант
- Сообщения: 271
- Зарегистрирован: 2011-10-13 10:40:54
- Откуда: Алтайский край
Re: Free8.3+ipfw+squid+https
https://ctunnel.com/ не о чем не говорит?Neus писал(а): Что такое MITM я знаю.
Про сквид почитаю, интересно зачем там такие методы.
The brain can not be found. Runs the software emulation
-
- рядовой
- Сообщения: 13
- Зарегистрирован: 2013-01-17 14:10:59
Re: Free8.3+ipfw+squid+https
http://wiki.squid-cache.org/Features/SslBump - MITM по squidNeus писал(а): Что такое MITM я знаю.
Про сквид почитаю, интересно зачем там такие методы.
http://www.isaserver.org/tutorials/Conf ... -2010.html тоже самое у мелких
- sadchok
- сержант
- Сообщения: 271
- Зарегистрирован: 2011-10-13 10:40:54
- Откуда: Алтайский край
Re: Free8.3+ipfw+squid+https
Ну в принципе оно работает и на Freebsd
Собрал Squid c --enable-ssl --enable-ssl-crtd.
Сгенерил сертификаты.
Создал кеш.
В конфиг добавил.
Только в браузере ругань, на самоподписанный сертификат.
Собрал Squid c --enable-ssl --enable-ssl-crtd.
Сгенерил сертификаты.
Создал кеш.
Код: Выделить всё
mkdir /var/squid/lib/
/usr/local/libexec/squid/ssl_crtd -с -s /var/squid/lib/ssl_db
Код: Выделить всё
https_port 127.0.0.1:3129 transparent ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB key=/usr/local/etc/squid/ssl/private.pem cert=/usr/local/etc/squid/ssl/public.pem
always_direct allow all
ssl_bump allow all
sslproxy_cert_error allow all
sslproxy_flags DONT_VERIFY_PEER
The brain can not be found. Runs the software emulation
- ADRE
- майор
- Сообщения: 2645
- Зарегистрирован: 2007-07-26 8:53:49
- Контактная информация:
Re: Free8.3+ipfw+squid+https
он жестоко вас [классический секс]. squid либо всё пропускает либо прозрачно посылает [рекомендовано присесть на мужской половой орган] https в топкуsadchok писал(а):Сам пока не пробовал, но чел пишет что работает.retro писал(а): 1. Чтобы при проверке версии squid в строке конфигурации обязательно была опция '--enable-ssl' иначе кина небудет, и не мечтайте.
2. Если версия >= libssl0.9.6 При создании сертификатов и ключей оперироваться командами для создания ключей:
openssl genrsa -out /etc/squid/ssl/squid.key
openssl req -new -key /etc/squid/ssl/squid.key -out /etc/squid/ssl/squid.csr
openssl x509 -req -days 3650 -in /etc/squid/ssl/squid.csr -signkey /etc/squid/ssl/squid.key -out /etc/squid/ssl/squid.pem
3. Конфигурация squid согласно портов должна иметь такой вид:
http_port 192.168.0.254:3128 transparent
https_port 192.168.0.254:3129 transparent key=/etc/squid/ssl/squid.key cert=/etc/squid/ssl/squid.pem
//del
- sadchok
- сержант
- Сообщения: 271
- Зарегистрирован: 2011-10-13 10:40:54
- Откуда: Алтайский край
Re: Free8.3+ipfw+squid+https
Как только я убрал google из списка разрешенных сайтов.
Получил .
Получил .
The following error was encountered while trying to retrieve the URL: https://www.google.com/
Access Denied.
The brain can not be found. Runs the software emulation
-
- рядовой
- Сообщения: 13
- Зарегистрирован: 2013-01-17 14:10:59
Re: Free8.3+ipfw+squid+https
Обращаюсь на гуглопочту
У меня ругань на сам сертификат, я так думаю, получаю следующее:
Не удалось установить безопасное соединение с 74,125,143,18
(92) Protocol error (TLS code: x509_V_ERR_UNABLE_TO_GET_ISSUER_CERT_LOCALLY)
SSL Certificate error: certificate issuer (CA) not known: /C=US/O=Equifax Secure Certificate Authority
access.log говорит
TCP_MISS/503 4952 GET https://mail.google.com/mail/? - HIER_DIRECT/74.125.143.18 text/html
Акто-нибудь может дать ссылка на расшифровку того, что пишется в access.log'e?
У меня ругань на сам сертификат, я так думаю, получаю следующее:
Не удалось установить безопасное соединение с 74,125,143,18
(92) Protocol error (TLS code: x509_V_ERR_UNABLE_TO_GET_ISSUER_CERT_LOCALLY)
SSL Certificate error: certificate issuer (CA) not known: /C=US/O=Equifax Secure Certificate Authority
access.log говорит
TCP_MISS/503 4952 GET https://mail.google.com/mail/? - HIER_DIRECT/74.125.143.18 text/html
Акто-нибудь может дать ссылка на расшифровку того, что пишется в access.log'e?
- ADRE
- майор
- Сообщения: 2645
- Зарегистрирован: 2007-07-26 8:53:49
- Контактная информация:
Re: Free8.3+ipfw+squid+https
да писать можно всё что угодно прозрачно https пока, по крайней мере у мени и из коробки ибёт мозг.
//del
-
- рядовой
- Сообщения: 13
- Зарегистрирован: 2013-01-17 14:10:59
Re: Free8.3+ipfw+squid+https
Синтаксис у меня другой немного Ж)sadchok писал(а): ssl_bump allow all
Описание тут: http://wiki.squid-cache.org/Features/SslBump и тут
http://www1.it.squid-cache.org/Versions ... _bump.html
Всё собрал с гуглопочты, Failed to establish a secure connection to 173.194.71.19
The system returned:
(92) Protocol error (TLS code: X509_V_ERR_UNABLE_TO_GET_ISSUER_CERT_LOCALLY)
SSL Certficate error: certificate issuer (CA) not known: /C=US/O=Equifax/OU=Equifax Secure Certificate Authority
This proxy and the remote host failed to negotiate a mutually acceptable security settings for handling your request. It is possible that the remote host does not support secure connections, or the proxy is not satisfied with the host security credentials.
ГГуглопочта не сдаётся, су...волоч!
-
- рядовой
- Сообщения: 13
- Зарегистрирован: 2013-01-17 14:10:59
Re: Free8.3+ipfw+squid+https
Давайте определим порты, необходимые для работы HTTPS протокола, у меня 53(DNS), 80(http), 443(https).
Больше ничего вроде не надо.
Больше ничего вроде не надо.
- sadchok
- сержант
- Сообщения: 271
- Зарегистрирован: 2011-10-13 10:40:54
- Откуда: Алтайский край
Re: Free8.3+ipfw+squid+https
Блин, ну я ХЗ у меня работает https прозрачно (при условии что добавили сертификат сквида в доверенные на браузерах).
И гуглопочту только что открывал.
Вот вывод
Вот конфиг
И гуглопочту только что открывал.
Вот вывод
Код: Выделить всё
root@Gateway:/root # squid -v
Squid Cache: Version 3.1.23
configure options: '--with-default-user=squid' '--bindir=/usr/local/sbin' '--sbindir=/usr/local/sbin' '--datadir=/usr/local/etc/squid' '--libexecdir=/usr/local/libexec/squid' '--localstatedir=/var/squid' '--sysconfdir=/usr/local/etc/squid' '--with-logdir=/var/log/squid' '--with-pidfile=/var/run/squid/squid.pid' '--enable-removal-policies=lru heap' '--disable-linux-netfilter' '--disable-linux-tproxy' '--disable-epoll' '--disable-translation' '--disable-ecap' '--disable-loadable-modules' '--enable-auth=basic digest negotiate ntlm' '--enable-basic-auth-helpers=DB NCSA PAM MSNT SMB squid_radius_auth LDAP YP' '--enable-digest-auth-helpers=password ldap' '--enable-external-acl-helpers=ip_user session unix_group wbinfo_group ldap_group' '--enable-ntlm-auth-helpers=smb_lm' '--enable-negotiate-auth-helpers=squid_kerb_auth' '--enable-storeio=ufs diskd aufs' '--enable-disk-io=AIO Blocking DiskDaemon DiskThreads' '--enable-delay-pools' '--enable-ssl' '--with-openssl=/usr' '--enable-ssl-crtd' '--disable-internal-dns' '--enable-arp-acl' '--enable-ipfw-transparent' '--enable-kqueue' '--with-large-files' '--prefix=/usr/local' '--mandir=/usr/local/man' '--infodir=/usr/local/info/' '--build=amd64-portbld-freebsd9.1' 'build_alias=amd64-portbld-freebsd9.1' 'CC=cc' 'CFLAGS=-O2 -pipe -I/usr/local/include -I/usr/include -DLDAP_DEPRECATED -fno-strict-aliasing' 'LDFLAGS= -L/usr/local/lib -Wl,-rpath=/usr/lib:/usr/local/lib -L/usr/lib' 'CPPFLAGS=' 'CXX=c++' 'CXXFLAGS=-O2 -pipe -I/usr/local/include -I/usr/include -DLDAP_DEPRECATED -fno-strict-aliasing' 'CPP=cpp' --with-squid=/usr/ports/www/squid31/work/squid-3.1.23 --enable-ltdl-convenience
Код: Выделить всё
root@Gateway:/root # cat /usr/local/etc/squid/squid.conf
#
# Recommended minimum configuration:
#
acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
acl kray src 192.168.0.0/16
# acl gud_users srcdom_regex -i "/usr/local/etc/squid/gud_users"
# Example rule allowing access from your local networks.
# Adapt to list your (internal) IP networks from where browsing
# should be allowed
# acl localnet src 10.0.0.0/8 # RFC1918 possible internal network
acl localnet src 172.16.24.10-172.16.24.254 # RFC1918 possible internal network
acl server src 172.16.24.1-172.16.24.20 # RFC1918 possible internal network
# acl server srcdomain admin-desktop.ХХХХХХ.ru.
acl work_time1 time MTWHF 08:30-12:30
acl work_time2 time MTWHF 14:00-18:00
acl not_work_time1 time MTWHF 20:00-23:59
acl not_work_time2 time MTWHF 00:00-8:00
acl not_work_time3 time AS 00:00-23:59
acl bad_sites url_regex -i "/usr/local/etc/squid/bad_sites"
acl gud_sites url_regex -i "/usr/local/etc/squid/gud_sites"
# acl localnet src fc00::/7 # RFC 4193 local private network range
# acl localnet src fe80::/10 # RFC 4291 link-local (directly plugged) machines
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
#
# Recommended minimum Access Permission configuration:
#
# Only allow cachemgr access from localhost
http_access allow manager localhost
http_access deny manager
# Deny requests to certain unsafe ports
http_access deny !Safe_ports
# Deny CONNECT to other than secure SSL ports
http_access deny CONNECT !SSL_ports
# We strongly recommend the following be uncommented to protect innocent
# web applications running on the proxy server who think the only
# one who can access services on "localhost" is a local user
#http_access deny to_localhost
#
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
#
# Example rule allowing access from your local networks.
# Adapt localnet in the ACL section to list your (internal) IP networks
# from where browsing should be allowed
http_access allow server
# http_access allow localnet gud_users
http_access allow localnet kray
http_access deny localnet bad_sites work_time1
http_access deny localnet bad_sites work_time2
http_access allow localnet gud_sites not_work_time1
http_access allow localnet gud_sites not_work_time2
http_access allow localnet gud_sites not_work_time3
http_access deny localnet not_work_time1
http_access deny localnet not_work_time2
http_access deny localnet not_work_time3
http_access allow localnet
http_access allow localhost
# And finally deny all other access to this proxy
http_access deny all
# Squid normally listens to port 3128
http_port 172.16.24.1:3128
http_port 127.0.0.1:3128 transparent
https_port 127.0.0.1:3129 transparent ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB key=/usr/local/etc/squid/ssl/private.pem cert=/usr/local/etc/squid/ssl/public.pem
always_direct allow all
ssl_bump allow all
sslproxy_cert_error allow all
sslproxy_flags DONT_VERIFY_PEER
# Uncomment and adjust the following to add a disk cache directory.
#cache_dir ufs /var/squid/cache 100 16 256
# Leave coredumps in the first cache dir
coredump_dir /var/squid/cache
# Add any of your own refresh_pattern entries above these.
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320
cache_mgr root@ХХХХХХ.ru
visible_hostname proxy.ХХХХХХХ.ru
Код: Выделить всё
root@Gateway:/root # cat /var/log/squid/access.log
1361348399.415 70 172.16.24.51 TCP_MISS/000 0 GET http://rs.mail.ru/sb615208.gif? - DIRECT/94.100.181.203 -
1361348399.600 176 172.16.24.51 TCP_MISS/302 802 GET http://e.mail.ru/cgi-bin/sentmsg? - DIRECT/94.100.184.15 text/html
1361348400.059 665 172.16.24.58 TCP_MISS/200 31024 GET https://mail.google.com/mail/u/0/? - DIRECT/173.194.71.19 text/html
1361348401.091 25223 172.16.24.53 TCP_MISS/200 330 POST http://q84.queuev4.vk.com/im078 - DIRECT/87.240.131.233 text/javascript
1361348405.674 1287 172.16.24.58 TCP_MISS/200 3729 POST https://mail.google.com/mail/u/0/? - DIRECT/173.194.71.17 text/javascript
1361348405.677 1285 172.16.24.58 TCP_MISS/304 249 GET https://mail.google.com/mail/u/0/pimages/2/search_white.png - DIRECT/173.194.71.18 -
1361348405.677 1270 172.16.24.58 TCP_MISS/304 249 GET https://mail.google.com/mail/u/0/images/cleardot.gif - DIRECT/173.194.71.83 -
1361348405.681 1289 172.16.24.58 TCP_MISS/200 8445 GET https://mail.google.com/mail/u/0/? - DIRECT/173.194.71.19 image/png
1361348406.332 92 172.16.24.58 TCP_MISS/304 248 GET https://mail.google.com/mail/u/0/images/2/5/orcasisland/wednesday_02.jpg - DIRECT/173.194.71.19 -
1361348406.450 210 172.16.24.58 TCP_MISS/204 311 GET https://www.google.com/setgmail? - DIRECT/188.43.64.227 text/html
1361348406.459 928 172.16.24.58 TCP_MISS/200 1598 GET https://mail.google.com/mail/u/0/? - DIRECT/173.194.71.83 text/javascript
1361348407.290 133 172.16.24.58 TCP_MISS/200 1047 GET https://mail.google.com/mail/c/u/0/data/contactstore? - DIRECT/173.194.71.19 application/x-javascript
1361348407.738 578 172.16.24.58 TCP_MISS/200 450 GET https://mail.google.com/mail/u/0/channel/test? - DIRECT/173.194.71.83 text/plain
1361348407.738 578 172.16.24.58 TCP_MISS/304 192 GET https://mail.google.com/mail/u/0/photos/img/photos/private/AIbEiAIAAABDCJmN4qmoxKbmMCILdmNhcmRfcGhvdG8qKGIwODlmOGVmMWM0M2EzNjI1ZTY1MzI1ZjUyNDY5NGM5OGRhZTg3NjEwAa389JqPNmBBDCgAkQWfl-ZMjZob? - DIRECT/173.194.71.18 -
1361348408.039 890 172.16.24.58 TCP_MISS/200 1624 POST https://mail.google.com/mail/u/0/? - DIRECT/173.194.71.18 text/javascript
1361348408.609 215 172.16.24.58 TCP_MISS/200 493 GET https://mail.google.com/mail/u/0/images/c.gif? - DIRECT/173.194.71.18 image/gif
1361348408.614 428 172.16.24.58 TCP_MISS/200 1777 POST https://mail.google.com/mail/u/0/? - DIRECT/173.194.71.19 text/javascript
1361348409.023 989 172.16.24.46 TCP_CLIENT_REFRESH_MISS/200 427 GET http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt - DIRECT/23.60.69.97 text/plain
1361348409.322 426 172.16.24.58 TCP_MISS/200 1510 POST https://mail.google.com/mail/u/0/? - DIRECT/173.194.71.83 text/javascript
1361348409.365 288 172.16.24.46 TCP_MISS/200 49509 GET http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab - DIRECT/23.60.69.97 application/octet-stream
1361348410.063 415 172.16.24.58 TCP_MISS/200 1122 POST https://mail.google.com/mail/u/0/? - DIRECT/173.194.71.18 text/javascript
1361348410.236 593 172.16.24.58 TCP_MISS/200 6006 POST https://mail.google.com/mail/u/0/? - DIRECT/173.194.71.17 text/javascript
1361348410.603 508 172.16.24.58 TCP_MISS/200 1026 POST https://mail.google.com/mail/u/0/? - DIRECT/173.194.71.19 text/javascript
1361348411.091 458 172.16.24.58 TCP_MISS/200 1587 POST https://mail.google.com/mail/u/0/? - DIRECT/173.194.71.83 text/javascript
Код: Выделить всё
root@Gateway:/root # cat /etc/rc.ipfw1
--//--//--//--//--//--//
# fwd squid
${fwcmd} add fwd 127.0.0.1,3128 tcp from 172.16.24.0/24 to not me dst-port 80 in recv ${if_lan}
${fwcmd} add fwd 127.0.0.1,3129 tcp from 172.16.24.0/24 to not me dst-port 443 in recv ${if_lan}
The brain can not be found. Runs the software emulation
-
- рядовой
- Сообщения: 13
- Зарегистрирован: 2013-01-17 14:10:59
Re: Free8.3+ipfw+squid+https
to sadchok Это какая версия Squid? Здесь наборы команд отличаются от моих! Я пытаю 3.3.1.
- sadchok
- сержант
- Сообщения: 271
- Зарегистрирован: 2011-10-13 10:40:54
- Откуда: Алтайский край
Re: Free8.3+ipfw+squid+https
У меня нет в портах версии 3.3sadchok писал(а): Вот вывод
root@Gateway:/root # squid -v
Squid Cache: Version 3.1.23
The brain can not be found. Runs the software emulation
-
- рядовой
- Сообщения: 13
- Зарегистрирован: 2013-01-17 14:10:59
Re: Free8.3+ipfw+squid+https
я качал с http://www.squid-cache.org/Versions/ именно 3.3.1