Не работает проход http трафика через squid
Добавлено: 2018-10-30 15:22:50
здравствуйте, вот в чем проблема
freebsd 11.2
я хочу настроить проброс ( для снятия статистики) https трафика через сквид
Настроил. Сначала настроил проброс http трафика, все работало нормально
Но когда я настроил проброс https - то https стал работать нормально а http трафик перестал ходить и в сообщении об ошибках все время выходит
"Доступ запрещён. Система контроля доступа не позволяет выполнить ваш запрос сейчас."
Вот ошибка в логах сквида
Вот
/usr/local/etc/squid/squid.conf
вот конфигурация pf
И я не понимаю в чем дело, ведь acl у меня простые, ничего не запрещают. Когда через сквид прохдил только http трафик все работало.
Я добавил строки для https и перестало работать
freebsd 11.2
я хочу настроить проброс ( для снятия статистики) https трафика через сквид
Настроил. Сначала настроил проброс http трафика, все работало нормально
Но когда я настроил проброс https - то https стал работать нормально а http трафик перестал ходить и в сообщении об ошибках все время выходит
"Доступ запрещён. Система контроля доступа не позволяет выполнить ваш запрос сейчас."
Вот ошибка в логах сквида
1540898312.895 4 172.16.20.38 TCP_MISS/403 4440 GET http://start.palemoon.org/ - ORIGINAL_DST/82.199.155.60 text/html.
1540898312.952 3 172.16.20.38 TCP_MISS/403 4567 GET http://start.palemoon.org/squid-interna ... ons/SN.png - ORIGINAL_DST/82.199.155.60 text/html
Вот
/usr/local/etc/squid/squid.conf
acl localnet src 192.168.5.0/24
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
visible_hostname = squid-test.local
dns_nameservers 192.168.93.61 192.168.93.3
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager
http_access allow localnet
http_access allow localhost
http_access deny all
http_port 3128 intercept
http_port 3130
https_port 3129 intercept ssl-bump options=ALL connection-auth=off cert=/usr/local/etc/squid/squidCA.pem
always_direct allow all
sslproxy_cert_error allow all
sslproxy_flags DONT_VERIFY_PEER
ssl_bump peek all
ssl_bump splice all
##logs
acl https_port port 443
logformat https %ts.%03tu %6tr %>a %Ss/%03>Hs %<st %rm %ssl::>sni %[un %Sh/%<a %mt
cache_access_log /var/log/squid/access.log https https_port
acl http_port port 80
logformat http %ts.%03tu %6tr %>a %Ss/%03>Hs %<st %rm %ru %[un %Sh/%<a %mt.
cache_access_log /var/log/squid/access.log http http_port
coredump_dir /var/squid/cache
cache_effective_user squid
cache_effective_group squid
logfile_rotate 10
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320
global_internal_static off
вот конфигурация pf
wan="wanSquid"
lan="lanSquid"
squid="127.0.0.1"
local_lan="{ 192.168.5.0/24 }"
rdr pass inet proto tcp from $local_lan to any port www -> $squid port 3128
rdr pass inet proto tcp from $local_lan to any port 443 -> $squid port 3129
pass in quick on lo0
pass in quick on $lan
pass in quick on $wan
pass out keep state
И я не понимаю в чем дело, ведь acl у меня простые, ничего не запрещают. Когда через сквид прохдил только http трафик все работало.
Я добавил строки для https и перестало работать