squid 2.6 + https

Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок

Модераторы: vadim64, terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
reiton
рядовой
Сообщения: 14
Зарегистрирован: 2013-08-27 12:48:22

squid 2.6 + https

Непрочитанное сообщение reiton » 2013-09-08 11:23:29

Имеется шлюз на FreeBSD 7.0 на нем работает стандартный файрвол Ipfw и прокся squid
имеется задача пустить https соединения через сквид. Сейчас через него фильтруется только обычные соединения.
Я переустановил сквид из портов с новым конфигом, т.к. до этого его собирали без поддержки ssl:

Код: Выделить всё

gate# squid -v
Squid Cache: Version 2.6.STABLE16
configure options:  '--bindir=/usr/local/sbin' '--sbindir=/usr/local/sbin' '--datadir=/usr/local/etc/squid' '--libexecdir=/usr/local/libexec/squid' '--localstatedir=/usr/local/squid' '--sysconfdir=/usr/local/etc/squid' '--enable-removal-policies=lru heap' '--disable-linux-netfilter' '--disable-linux-tproxy' '--disable-epoll' '--enable-auth=basic ntlm digest' '--enable-basic-auth-helpers=DB NCSA PAM MSNT SMB YP' '--enable-digest-auth-helpers=password' '--enable-external-acl-helpers=ip_user session unix_group wbinfo_group' '--enable-ntlm-auth-helpers=SMB' '--enable-negotiate-auth-helpers=squid_kerb_auth' '--enable-storeio=ufs diskd null' '--enable-delay-pools' '--enable-snmp' '--enable-ssl' '--with-openssl=/usr' '--enable-pf-transparent' '--enable-err-languages=Armenian Azerbaijani Bulgarian Catalan Czech Danish  Dutch English Estonian Finnish French German Greek  Hebrew Hungarian Italian Japanese Korean Lithuanian  Polish Portuguese Romanian Russian-1251 Russian-koi8-r  Serbian Simplify_Chinese Slovak Spanish Swedish  Traditional_Chinese Turkish' '--enable-default-err-language=English' '--prefix=/usr/local' '--mandir=/usr/local/man' '--infodir=/usr/local/info/' 'i386-portbld-freebsd7.0' 'build_alias=i386-portbld-freebsd7.0' 'host_alias=i386-portbld-freebsd7.0' 'target_alias=i386-portbld-freebsd7.0' 'CC=cc' 'CFLAGS=-O2 -fno-strict-aliasing -pipe  -I/usr/include' 'LDFLAGS= -rpath=/usr/lib:/usr/local/lib -L/usr/lib' 'CPPFLAGS='
Сгенерил ключи:

Код: Выделить всё

openssl genrsa -out /usr/local/squid/ssl/squid.key
openssl req -new -key /usr/local/squid/ssl/squid.key -out /usr/local/squid/ssl/squid.csr
openssl x509 -req -days 3650 -in /usr/local/squid/ssl/squid.csr -signkey /usr/local/squid/ssl/squid.key -out /usr/local/squid/ssl/squid.pem
В squid.conf:

Код: Выделить всё

https_port 10.1.0.1:3128 transparent key=/usr/local/squid/ssl/squid.key cert=/usr/local/squid/ssl/squid.pem
В rc.firewall:

Код: Выделить всё

${fwcmd} add fwd ${squid_ip},${squid_port} tcp from ${net} to any 80
${fwcmd} add fwd ${squid_ip},${squid_port} tcp from ${net} to any 443
Однако по прежнему сквид не отрабатывает на https соединениях. Например при попытке зайти на http:vk.com сквид отрабаывает. А вот на https:vk.com в браузере гугл хром выдается ошибка

Код: Выделить всё

Ошибка подключения SSL Не удается создать безопасное соединение с сервером. На сервере могла возникнуть проблема, или необходим сертификат клиентской аутентификации, который у вас отсутствует.
Код ошибки: ERR_SSL_PROTOCOL_ERROR
Подскажите в какую сторону копать дальше?

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35179
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

squid 2.6 + https

Непрочитанное сообщение Alex Keda » 2015-01-30 8:23:19

https прозрачно не проксируется.
Ибо получается тот самый мэн-ин-зэ-миддле

Только явное указание прокси
Убей их всех! Бог потом рассортирует...


Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35179
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

squid 2.6 + https

Непрочитанное сообщение Alex Keda » 2015-01-30 17:15:39

Незнал...
Убей их всех! Бог потом рассортирует...