forum.lissyara.su

Добавлено: **2013-01-18 9:35:34**

Доброго. Я во фре нуб, так что извиняйте сразу.
Установил Фрее 8.3+ipfw+(squid-2.7.9_1)+(squidGuard-1.4_4)
Суть вопроса в том, что я не могу разобраться как squid заставить работать c https протоколом.
Если в squid.conf прописать https-port 3129 key=... cert=..., то сразу начинается ругань unrecognized: 'https_port'.

Ставил это хозяйство через "pkg_add -r" c ftp, по сему вопрос - можно ли, посмотреть и изменить конфиг установщика, который ставится через pkg_Add из существующего tbz, так чтобы появилась функция --enable-ssl.
С "./configure" и make получается очень плохо, он переписывает конфиги, но не хочет создавать запускные файлы. Т.е. после make install набираю "service squid start" и получаю в ответ не найдено ни одного запускного файла.

Добавлено: **2013-02-11 15:57:58**

Дорогой f_andrey, если показалось, что эта тема для начинающих, то вы заблуждаетесь, так как за всё прошедшее время никто не отписался!

Squid из сорса я поставил, даже научился запускать. Https_port включаю (сертификат создан с помощью OpenSSl), но в браузере получаю ssl_error_rx_record_too_long, ответа на эту ошибку нет.

Кеш отключён cache deny all - http://wiki.squid-cache.org/SquidFaq/Co ... nything.3F, ищем соответственно версии squida. acl SSL method CONNECT в конфиг добавлен.

P.S.
Может я не правильно генерю сертификат, кто найдёт правильную инструкцию, публикуйте, все порадуются

Добавлено: **2013-02-11 19:29:48**

Пакеты собираются с параметрами по-умолчанию
Умолчания можно глянуть там www.freshports.org

Я во фре нуб

А в какой ещё раздел надо было двинуть тему?
---
Сквид давно юзал... вам нужно чтобы он проксировал запросы типа https://google.ru/ ?
не помню чтобы я генерировал какой-то сертификат...

Добавлено: **2013-02-12 15:56:46**

Попытка прозрачно пропустить SSL трафик или что ?

Добавлено: **2013-02-12 17:49:58**

gumeniuc писал(а):Попытка прозрачно пропустить SSL трафик или что ?

Неет, в точку. Прочитал интересную статью про то, что это можно как-то сделать напрямую через сквид без расшифровки трафика самим сквидом, но не осело, может кто объяснит?

Добавлено: **2013-02-12 20:19:13**

Прокси расшифровывает трафик???
Вы чего курили?

Добавлено: **2013-02-12 20:52:24**

retro писал(а): 1. Чтобы при проверке версии squid в строке конфигурации обязательно была опция '--enable-ssl' иначе кина небудет, и не мечтайте.

2. Если версия >= libssl0.9.6 При создании сертификатов и ключей оперироваться командами для создания ключей:
openssl genrsa -out /etc/squid/ssl/squid.key
openssl req -new -key /etc/squid/ssl/squid.key -out /etc/squid/ssl/squid.csr
openssl x509 -req -days 3650 -in /etc/squid/ssl/squid.csr -signkey /etc/squid/ssl/squid.key -out /etc/squid/ssl/squid.pem

3. Конфигурация squid согласно портов должна иметь такой вид:
http_port 192.168.0.254:3128 transparent
https_port 192.168.0.254:3129 transparent key=/etc/squid/ssl/squid.key cert=/etc/squid/ssl/squid.pem

Сам пока не пробовал, но чел пишет что работает.

Добавлено: **2013-02-12 21:06:15**

Neus писал(а):Прокси расшифровывает трафик???
Вы чего курили?

Насколько я понял именно расшифровывает.
А потом шифрует но уже своим сертификатом.
Костыль конечно, теряется весь смысл ssl.
И в определенных конторах за это могут и по башке надавать.

Добавлено: **2013-02-12 21:30:02**

Я чувствую тут вообще не многие мануалы изучают, по этому админ сильно ошибся ))
to NEUS читай про MITM атаку, потом мануал про Squid и наконец на сайте wiki squid'a черным по английски написано как это работает.
Но есть другой метод, так называемого прямого прохода и вот тут по ходу не надо создавать ssl туннель, потому что должен поддерживаться только существующий туннель между сайтом и браузером...
Как это организовать я не всосал )

Добавлено: **2013-02-12 21:34:58**

Тоже читал статьи где слёзно клялись, что на Линухе какой-то работало. Пытался сделать на БСД... Не вышло.
Там кажись эти опции аля 'https_port' с какой-версии версии появились, возможно с 3.х.
Попробуй сквид 3 ветки собрать из портов.

Добавлено: **2013-02-12 21:44:11**

S_V писал(а): Ставил это хозяйство через "pkg_add -r" c ftp, по сему вопрос - можно ли, посмотреть и изменить конфиг установщика, который ставится через pkg_Add из существующего tbz, так чтобы появилась функция --enable-ssl.
С "./configure" и make получается очень плохо, он переписывает конфиги, но не хочет создавать запускные файлы. Т.е. после make install набираю "service squid start" и получаю в ответ не найдено ни одного запускного файла.

Соберите squid из портов.
Установив галку на
[X] SQUID_SSL Enable SSL support for reverse proxies

Добавлено: **2013-02-12 22:48:20**

S_V писал(а):Я чувствую тут вообще не многие мануалы изучают, по этому админ сильно ошибся ))
to NEUS читай про MITM атаку, потом мануал про Squid и наконец на сайте wiki squid'a черным по английски написано как это работает.
Но есть другой метод, так называемого прямого прохода и вот тут по ходу не надо создавать ssl туннель, потому что должен поддерживаться только существующий туннель между сайтом и браузером...
Как это организовать я не всосал )

Что такое MITM я знаю.
Про сквид почитаю, интересно зачем там такие методы.

Добавлено: **2013-02-13 8:06:56**

Neus писал(а): Что такое MITM я знаю.
Про сквид почитаю, интересно зачем там такие методы.

https://ctunnel.com/ не о чем не говорит?

Добавлено: **2013-02-13 17:36:43**

Neus писал(а): Что такое MITM я знаю.
Про сквид почитаю, интересно зачем там такие методы.

http://wiki.squid-cache.org/Features/SslBump - MITM по squid
http://www.isaserver.org/tutorials/Conf ... -2010.html тоже самое у мелких

Добавлено: **2013-02-13 18:19:20**

Ну в принципе оно работает и на Freebsd
Собрал Squid c --enable-ssl --enable-ssl-crtd.
Сгенерил сертификаты.
Создал кеш.

Код: Выделить всё

mkdir /var/squid/lib/
/usr/local/libexec/squid/ssl_crtd -с -s /var/squid/lib/ssl_db

В конфиг добавил.

Код: Выделить всё

 https_port 127.0.0.1:3129 transparent ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB key=/usr/local/etc/squid/ssl/private.pem cert=/usr/local/etc/squid/ssl/public.pem


always_direct allow all
ssl_bump allow all
sslproxy_cert_error allow all
sslproxy_flags DONT_VERIFY_PEER

Только в браузере ругань, на самоподписанный сертификат.

Добавлено: **2013-02-14 16:49:55**

sadchok писал(а):
retro писал(а): 1. Чтобы при проверке версии squid в строке конфигурации обязательно была опция '--enable-ssl' иначе кина небудет, и не мечтайте.

2. Если версия >= libssl0.9.6 При создании сертификатов и ключей оперироваться командами для создания ключей:
openssl genrsa -out /etc/squid/ssl/squid.key
openssl req -new -key /etc/squid/ssl/squid.key -out /etc/squid/ssl/squid.csr
openssl x509 -req -days 3650 -in /etc/squid/ssl/squid.csr -signkey /etc/squid/ssl/squid.key -out /etc/squid/ssl/squid.pem

3. Конфигурация squid согласно портов должна иметь такой вид:
http_port 192.168.0.254:3128 transparent
https_port 192.168.0.254:3129 transparent key=/etc/squid/ssl/squid.key cert=/etc/squid/ssl/squid.pem
Сам пока не пробовал, но чел пишет что работает.

он жестоко вас [классический секс]. squid либо всё пропускает либо прозрачно посылает [рекомендовано присесть на мужской половой орган] https в топку

Добавлено: **2013-02-14 17:19:14**

Как только я убрал google из списка разрешенных сайтов.
Получил .

The following error was encountered while trying to retrieve the URL: https://www.google.com/

Access Denied.

Добавлено: **2013-02-15 16:38:36**

Обращаюсь на гуглопочту
У меня ругань на сам сертификат, я так думаю, получаю следующее:

Не удалось установить безопасное соединение с 74,125,143,18
(92) Protocol error (TLS code: x509_V_ERR_UNABLE_TO_GET_ISSUER_CERT_LOCALLY)
SSL Certificate error: certificate issuer (CA) not known: /C=US/O=Equifax Secure Certificate Authority

access.log говорит
TCP_MISS/503 4952 GET https://mail.google.com/mail/? - HIER_DIRECT/74.125.143.18 text/html

Акто-нибудь может дать ссылка на расшифровку того, что пишется в access.log'e?

Добавлено: **2013-02-16 8:24:19**

да писать можно всё что угодно прозрачно https пока, по крайней мере у мени и из коробки ибёт мозг.

Добавлено: **2013-02-18 15:16:27**

sadchok писал(а): ssl_bump allow all

Синтаксис у меня другой немного Ж)
Описание тут: http://wiki.squid-cache.org/Features/SslBump и тут
http://www1.it.squid-cache.org/Versions ... _bump.html

Всё собрал с гуглопочты, Failed to establish a secure connection to 173.194.71.19
The system returned:
(92) Protocol error (TLS code: X509_V_ERR_UNABLE_TO_GET_ISSUER_CERT_LOCALLY)
SSL Certficate error: certificate issuer (CA) not known: /C=US/O=Equifax/OU=Equifax Secure Certificate Authority
This proxy and the remote host failed to negotiate a mutually acceptable security settings for handling your request. It is possible that the remote host does not support secure connections, or the proxy is not satisfied with the host security credentials.

ГГуглопочта не сдаётся, су...волоч!

Добавлено: **2013-02-18 15:58:47**

Давайте определим порты, необходимые для работы HTTPS протокола, у меня 53(DNS), 80(http), 443(https).
Больше ничего вроде не надо.

Добавлено: **2013-02-20 11:24:05**

Блин, ну я ХЗ у меня работает https прозрачно (при условии что добавили сертификат сквида в доверенные на браузерах).
И гуглопочту только что открывал.
Вот вывод

Код: Выделить всё

root@Gateway:/root # squid -v
Squid Cache: Version 3.1.23
configure options:  '--with-default-user=squid' '--bindir=/usr/local/sbin' '--sbindir=/usr/local/sbin' '--datadir=/usr/local/etc/squid' '--libexecdir=/usr/local/libexec/squid' '--localstatedir=/var/squid' '--sysconfdir=/usr/local/etc/squid' '--with-logdir=/var/log/squid' '--with-pidfile=/var/run/squid/squid.pid' '--enable-removal-policies=lru heap' '--disable-linux-netfilter' '--disable-linux-tproxy' '--disable-epoll' '--disable-translation' '--disable-ecap' '--disable-loadable-modules' '--enable-auth=basic digest negotiate ntlm' '--enable-basic-auth-helpers=DB NCSA PAM MSNT SMB squid_radius_auth LDAP YP' '--enable-digest-auth-helpers=password ldap' '--enable-external-acl-helpers=ip_user session unix_group wbinfo_group ldap_group' '--enable-ntlm-auth-helpers=smb_lm' '--enable-negotiate-auth-helpers=squid_kerb_auth' '--enable-storeio=ufs diskd aufs' '--enable-disk-io=AIO Blocking DiskDaemon DiskThreads' '--enable-delay-pools' '--enable-ssl' '--with-openssl=/usr' '--enable-ssl-crtd' '--disable-internal-dns' '--enable-arp-acl' '--enable-ipfw-transparent' '--enable-kqueue' '--with-large-files' '--prefix=/usr/local' '--mandir=/usr/local/man' '--infodir=/usr/local/info/' '--build=amd64-portbld-freebsd9.1' 'build_alias=amd64-portbld-freebsd9.1' 'CC=cc' 'CFLAGS=-O2 -pipe -I/usr/local/include -I/usr/include -DLDAP_DEPRECATED -fno-strict-aliasing' 'LDFLAGS= -L/usr/local/lib -Wl,-rpath=/usr/lib:/usr/local/lib -L/usr/lib' 'CPPFLAGS=' 'CXX=c++' 'CXXFLAGS=-O2 -pipe -I/usr/local/include -I/usr/include -DLDAP_DEPRECATED -fno-strict-aliasing' 'CPP=cpp' --with-squid=/usr/ports/www/squid31/work/squid-3.1.23 --enable-ltdl-convenience

Вот конфиг

Код: Выделить всё

root@Gateway:/root # cat /usr/local/etc/squid/squid.conf
#
# Recommended minimum configuration:
#
acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
acl kray  src 192.168.0.0/16
# acl gud_users srcdom_regex -i "/usr/local/etc/squid/gud_users"

# Example rule allowing access from your local networks.
# Adapt to list your (internal) IP networks from where browsing
# should be allowed
# acl localnet src 10.0.0.0/8	                              # RFC1918 possible internal network
acl localnet src 172.16.24.10-172.16.24.254	              # RFC1918 possible internal network
acl server src 172.16.24.1-172.16.24.20          	      # RFC1918 possible internal network
# acl server srcdomain admin-desktop.ХХХХХХ.ru.
acl work_time1 time MTWHF 08:30-12:30                        
acl work_time2 time MTWHF 14:00-18:00                           
acl not_work_time1 time MTWHF   20:00-23:59                  
acl not_work_time2 time MTWHF   00:00-8:00                   
acl not_work_time3 time AS 00:00-23:59                       
acl bad_sites url_regex -i "/usr/local/etc/squid/bad_sites"  
acl gud_sites url_regex -i "/usr/local/etc/squid/gud_sites"   

# acl localnet src fc00::/7       # RFC 4193 local private network range
# acl localnet src fe80::/10      # RFC 4291 link-local (directly plugged) machines

acl SSL_ports port 443
acl Safe_ports port 80		# http
acl Safe_ports port 21		# ftp
acl Safe_ports port 443		# https
acl Safe_ports port 70		# gopher
acl Safe_ports port 210		# wais
acl Safe_ports port 1025-65535	# unregistered ports
acl Safe_ports port 280		# http-mgmt
acl Safe_ports port 488		# gss-http
acl Safe_ports port 591		# filemaker
acl Safe_ports port 777		# multiling http
acl CONNECT method CONNECT

#
# Recommended minimum Access Permission configuration:
#
# Only allow cachemgr access from localhost
http_access allow manager localhost
http_access deny manager

# Deny requests to certain unsafe ports
http_access deny !Safe_ports

# Deny CONNECT to other than secure SSL ports
http_access deny CONNECT !SSL_ports

# We strongly recommend the following be uncommented to protect innocent
# web applications running on the proxy server who think the only
# one who can access services on "localhost" is a local user
#http_access deny to_localhost

#
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
#

# Example rule allowing access from your local networks.
# Adapt localnet in the ACL section to list your (internal) IP networks
# from where browsing should be allowed
http_access allow server
# http_access allow localnet gud_users
http_access allow localnet kray
http_access deny localnet bad_sites work_time1
http_access deny localnet bad_sites work_time2
http_access allow localnet gud_sites not_work_time1
http_access allow localnet gud_sites not_work_time2
http_access allow localnet gud_sites not_work_time3
http_access deny localnet not_work_time1
http_access deny localnet not_work_time2
http_access deny localnet not_work_time3
http_access allow localnet
http_access allow localhost

# And finally deny all other access to this proxy
http_access deny all

# Squid normally listens to port 3128

http_port 172.16.24.1:3128 
http_port 127.0.0.1:3128 transparent
 https_port 127.0.0.1:3129 transparent ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB key=/usr/local/etc/squid/ssl/private.pem cert=/usr/local/etc/squid/ssl/public.pem
always_direct allow all
ssl_bump allow all
sslproxy_cert_error allow all
sslproxy_flags DONT_VERIFY_PEER

# Uncomment and adjust the following to add a disk cache directory.
#cache_dir ufs /var/squid/cache 100 16 256

# Leave coredumps in the first cache dir
coredump_dir /var/squid/cache

# Add any of your own refresh_pattern entries above these.
refresh_pattern ^ftp:		1440	20%	10080
refresh_pattern ^gopher:	1440	0%	1440
refresh_pattern -i (/cgi-bin/|\?) 0	0%	0
refresh_pattern .		0	20%	4320

cache_mgr root@ХХХХХХ.ru
visible_hostname proxy.ХХХХХХХ.ru

Код: Выделить всё

root@Gateway:/root # cat /var/log/squid/access.log

1361348399.415     70 172.16.24.51 TCP_MISS/000 0 GET http://rs.mail.ru/sb615208.gif? - DIRECT/94.100.181.203 -
1361348399.600    176 172.16.24.51 TCP_MISS/302 802 GET http://e.mail.ru/cgi-bin/sentmsg? - DIRECT/94.100.184.15 text/html
1361348400.059    665 172.16.24.58 TCP_MISS/200 31024 GET https://mail.google.com/mail/u/0/? - DIRECT/173.194.71.19 text/html
1361348401.091  25223 172.16.24.53 TCP_MISS/200 330 POST http://q84.queuev4.vk.com/im078 - DIRECT/87.240.131.233 text/javascript
1361348405.674   1287 172.16.24.58 TCP_MISS/200 3729 POST https://mail.google.com/mail/u/0/? - DIRECT/173.194.71.17 text/javascript
1361348405.677   1285 172.16.24.58 TCP_MISS/304 249 GET https://mail.google.com/mail/u/0/pimages/2/search_white.png - DIRECT/173.194.71.18 -
1361348405.677   1270 172.16.24.58 TCP_MISS/304 249 GET https://mail.google.com/mail/u/0/images/cleardot.gif - DIRECT/173.194.71.83 -
1361348405.681   1289 172.16.24.58 TCP_MISS/200 8445 GET https://mail.google.com/mail/u/0/? - DIRECT/173.194.71.19 image/png
1361348406.332     92 172.16.24.58 TCP_MISS/304 248 GET https://mail.google.com/mail/u/0/images/2/5/orcasisland/wednesday_02.jpg - DIRECT/173.194.71.19 -
1361348406.450    210 172.16.24.58 TCP_MISS/204 311 GET https://www.google.com/setgmail? - DIRECT/188.43.64.227 text/html
1361348406.459    928 172.16.24.58 TCP_MISS/200 1598 GET https://mail.google.com/mail/u/0/? - DIRECT/173.194.71.83 text/javascript
1361348407.290    133 172.16.24.58 TCP_MISS/200 1047 GET https://mail.google.com/mail/c/u/0/data/contactstore? - DIRECT/173.194.71.19 application/x-javascript
1361348407.738    578 172.16.24.58 TCP_MISS/200 450 GET https://mail.google.com/mail/u/0/channel/test? - DIRECT/173.194.71.83 text/plain
1361348407.738    578 172.16.24.58 TCP_MISS/304 192 GET https://mail.google.com/mail/u/0/photos/img/photos/private/AIbEiAIAAABDCJmN4qmoxKbmMCILdmNhcmRfcGhvdG8qKGIwODlmOGVmMWM0M2EzNjI1ZTY1MzI1ZjUyNDY5NGM5OGRhZTg3NjEwAa389JqPNmBBDCgAkQWfl-ZMjZob? - DIRECT/173.194.71.18 -
1361348408.039    890 172.16.24.58 TCP_MISS/200 1624 POST https://mail.google.com/mail/u/0/? - DIRECT/173.194.71.18 text/javascript
1361348408.609    215 172.16.24.58 TCP_MISS/200 493 GET https://mail.google.com/mail/u/0/images/c.gif? - DIRECT/173.194.71.18 image/gif
1361348408.614    428 172.16.24.58 TCP_MISS/200 1777 POST https://mail.google.com/mail/u/0/? - DIRECT/173.194.71.19 text/javascript
1361348409.023    989 172.16.24.46 TCP_CLIENT_REFRESH_MISS/200 427 GET http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt - DIRECT/23.60.69.97 text/plain
1361348409.322    426 172.16.24.58 TCP_MISS/200 1510 POST https://mail.google.com/mail/u/0/? - DIRECT/173.194.71.83 text/javascript
1361348409.365    288 172.16.24.46 TCP_MISS/200 49509 GET http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab - DIRECT/23.60.69.97 application/octet-stream
1361348410.063    415 172.16.24.58 TCP_MISS/200 1122 POST https://mail.google.com/mail/u/0/? - DIRECT/173.194.71.18 text/javascript
1361348410.236    593 172.16.24.58 TCP_MISS/200 6006 POST https://mail.google.com/mail/u/0/? - DIRECT/173.194.71.17 text/javascript
1361348410.603    508 172.16.24.58 TCP_MISS/200 1026 POST https://mail.google.com/mail/u/0/? - DIRECT/173.194.71.19 text/javascript
1361348411.091    458 172.16.24.58 TCP_MISS/200 1587 POST https://mail.google.com/mail/u/0/? - DIRECT/173.194.71.83 text/javascript

Код: Выделить всё

root@Gateway:/root # cat  /etc/rc.ipfw1

--//--//--//--//--//--//
# fwd squid

 ${fwcmd} add fwd 127.0.0.1,3128 tcp from 172.16.24.0/24 to not me dst-port 80 in recv ${if_lan}
 ${fwcmd} add fwd 127.0.0.1,3129 tcp from 172.16.24.0/24 to not me dst-port 443 in recv ${if_lan}

Добавлено: **2013-02-21 9:47:22**

to sadchok Это какая версия Squid? Здесь наборы команд отличаются от моих! Я пытаю 3.3.1.

Добавлено: **2013-02-21 11:40:42**

sadchok писал(а): Вот вывод
root@Gateway:/root # squid -v
Squid Cache: Version 3.1.23

У меня нет в портах версии 3.3

Добавлено: **2013-02-21 14:11:53**

я качал с http://www.squid-cache.org/Versions/ именно 3.3.1

forum.lissyara.su

Free8.3+ipfw+squid+https

Free8.3+ipfw+squid+https

Re: Free8.3+ipfw+squid+https

Re: Free8.3+ipfw+squid+https

Re: Free8.3+ipfw+squid+https

Re: Free8.3+ipfw+squid+https

Re: Free8.3+ipfw+squid+https

Re: Free8.3+ipfw+squid+https

Re: Free8.3+ipfw+squid+https

Re: Free8.3+ipfw+squid+https

Re: Free8.3+ipfw+squid+https

Re: Free8.3+ipfw+squid+https

Re: Free8.3+ipfw+squid+https

Re: Free8.3+ipfw+squid+https

Re: Free8.3+ipfw+squid+https

Re: Free8.3+ipfw+squid+https

Re: Free8.3+ipfw+squid+https

Re: Free8.3+ipfw+squid+https

Re: Free8.3+ipfw+squid+https

Re: Free8.3+ipfw+squid+https

Re: Free8.3+ipfw+squid+https

Re: Free8.3+ipfw+squid+https

Re: Free8.3+ipfw+squid+https

Re: Free8.3+ipfw+squid+https

Re: Free8.3+ipfw+squid+https

Re: Free8.3+ipfw+squid+https