Страница 2 из 2
Re: Free8.3+ipfw+squid+https
Добавлено: 2013-02-21 17:55:53
S_V
Мучаю команду ssl_crtd -c -s /usr/local/squid/var/lib/ssl_db
пишет, что Cannot create /usr/local/squid/var/lib/ssl_db
Запускаю от себя, т.е. от root. Разрешения по всему путю - root:wheel 755. Менял на 775 и 777, эффекта нет.
Почему не может создать не втыкаю.
Это что за напасть?
Re: Free8.3+ipfw+squid+https
Добавлено: 2013-02-21 20:37:10
gumeniuc
Re: Free8.3+ipfw+squid+https
Добавлено: 2013-02-21 20:51:04
sadchok
Дайте вывод
Код: Выделить всё
squid -v
ll /usr/local/squid/
ll /usr/local/squid/var/
Re: Free8.3+ipfw+squid+https
Добавлено: 2013-02-22 11:49:33
S_V
Система FreeeBSD 8.3.
Когда мучал Squid 3.3.1 - ssl_crtd не мог создать эту папку (базу или хз чо там ему не хватает) потому что даунгрейд прав работает криво, с этим бьются многие.
Щас поставил Squid 3.1.23 --prefix=/usr/local/squid --enable-ssl -- enable-ssl-crtd -- ena-ipfw-transparent --with-default-luser=squid --dissable-linux-tproxy --ena-delay-pools --ena-arp-acl --with-larga-files --with-squid=/usr/ports/www/squid/squid-3.1.23 --ena-ltdl-convience
(Как можно вывод команд копипастить, а не переписывать?)
В lib конечно я могу зайти, руками создавал всё дерево, до ssl_db.
ls показывает конечно же 4 папки, в том числе и Lib 777 squid:wheel
Я так понимаю, что от версий меняется только вид ошибки, а причина может быть той же самой...
Re: Free8.3+ipfw+squid+https
Добавлено: 2013-02-22 14:29:46
sadchok
sadchok писал(а):
Создал кеш.
Код: Выделить всё
mkdir /var/squid/lib/
/usr/local/libexec/squid/ssl_crtd -с -s /var/squid/lib/ssl_db
Re: Free8.3+ipfw+squid+https
Добавлено: 2013-02-22 14:34:47
sadchok
S_V писал(а):
(Как можно вывод команд копипастить, а не переписывать?)
Зависит от ОС на которой вы сидите и от проги удаленного администрирования.
Я на FreeBSD+gnоme+remmina просто выделяю текст и вставляю по средней кнопке (колесико нажать)
Re: Free8.3+ipfw+squid+https
Добавлено: 2013-03-15 10:21:36
skorin
Помогите!!!
FreeBSD 8.2-RELEASE i386
squid-3.1.23
Не могу сделать нормально работающие сертификаты!
Вот этот способ не работает вообще.
Код: Выделить всё
#squid.conf
http_port 127.0.0.1:3128 transparent
https_port 127.0.0.1:3129 transparent ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB key=/usr/local/etc/squid/ssl/squid.key cert=/usr/local/etc/squid/ssl/squid.pem
Код: Выделить всё
openssl genrsa -out /etc/squid/ssl/squid.key
openssl req -new -key /etc/squid/ssl/squid.key -out /etc/squid/ssl/squid.csr
openssl x509 -req -days 3650 -in /etc/squid/ssl/squid.csr -signkey /etc/squid/ssl/squid.key -out /etc/squid/ssl/squid.pem
Этот способ работает, но почему-то ругается на сертификат, хотя и открывает сайты. И на хроме отказывается открывать гугл...
Код: Выделить всё
#squid.conf
http_port 127.0.0.1:3128 transparent
https_port 3129 transparent ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/usr/local/etc/squid/ssl/squidCA.pem
Код: Выделить всё
openssl req -new -newkey rsa:1024 -days 365 -nodes -x509 -keyout squid.pem -out squid.pem
и сертификат для добавления в браузере
openssl x509 -in squid.pem -outform DER -out squid.der
Что не так делаю? ХЕЛП!!!
Re: Free8.3+ipfw+squid+https
Добавлено: 2013-03-15 13:03:21
ADRE
не используй https на транспарент
Re: Free8.3+ipfw+squid+https
Добавлено: 2013-03-21 12:39:00
skorin
Думал рубить squid'ом
https://vk.com - а то хитрые юзеры прошарили что можно юзать контакт через https, но что то как то сложно оказалось разбираться с сертификатами, в экеплорере вроде работает, на мозиле отказывается. В общем плюнул на эту идею, оставил как есть прозрачно.
https://vk.com - рублю в ipfw по айпи.
Re: Free8.3+ipfw+squid+https
Добавлено: 2013-03-21 21:13:42
kharkov_max
skorin писал(а):Думал рубить squid'ом
https://vk.com - а то хитрые юзеры прошарили что можно юзать контакт через https, но что то как то сложно оказалось разбираться с сертификатами, в экеплорере вроде работает, на мозиле отказывается. В общем плюнул на эту идею, оставил как есть прозрачно.
https://vk.com - рублю в ipfw по айпи.
Может не в тему ...
А что мешает рубить контакт или любой сайт на squid через url_regex ?
Или я чего то не до понял ?
Вроде должно быть плавно что там http или https ....
Re: Free8.3+ipfw+squid+https
Добавлено: 2013-03-22 14:55:38
skorin
ipfw 443 port (https) не заворачивает на squid и соответственно squid ни чего не знает об этом.
А если 443 заворачивать на squid то тут возникают проблемы с сертификатами и их подменами на клиентских машинах!
В общем как то коряво все работать начинает, при фильтровке https