Error invalid request squid

Часть 3. squid3, ssl — не работает

Собрал на дебиане (7.1) squid с поддержкой ssl (—enable-ssl и —enable-ssl-crtd). Делаем например вот так — не работает. Эксперименты с http_port и https_port, разными портами для http и https ни к чему не ведут. В браузере имеем ERR_SSL_PROTOCOL_ERROR (хром) либо другие подобные ошибки.

У меня уже сил нет его ковырять, и что этой заразе для работы нужно.

п.с. Сертификат свой браузеру не скармливал, вроде как можно без этого обойтись.

Логи подробнее смотри, плюс браузер что-то должен подробнее показывать. И ошибка точно в браузере? Или тебе ее сквид показывает?

Ошибко чисто в браузере, это не сквид.

Такое ощущение, что squid не знает про https

У тебя сквид случаем не в прозрачном режиме-то?

Для http прозрачный, для ssl-bump нет.

Ну чего ты тогда хочешь-то? 🙂

Сквид ожидает от клиента какой-то метод, аля CONNECT, а получает болт.

SSL-Bump не работает в прозрачном режиме, это ограничение самих протоколов.

Таак, т.е. нужно _не_использовать_ transparent? Метод connect использовать для всех соединений, или только для SSL?

Нужно не использовать переадресацию HTTPS соединений через iptables, только прописыванием прокси в браузере.

Прозрачное проксирование будет работать только для HTTP без шифрования.

Тут фишка заблочить некоторые ресурсы, потому прописывание прокси в браузере — не вариант. Меня устроит любое проксирование (в т.ч. непрозрачное), но лишь бы оно проксировало https.

Тебе хочется странного. Прозрачное — перенаправление траффика файрволлом в прокси. Непрозрачное — прописывание прокси в броузере.

Третьего не дано собсно.

Чтобы сгенерировать сертификат, сквиду нужен хостнейм, но при прозрачном проксировании он его получить не может. Максимум что можно сделать — на все HTTPS сайты выдавать какой-то один сертификат левый.

Добавь transparent к порту с ssl_bump, как-то заработать должно.

Что-то умело подобное 3proxy, но это очень, очень всё сыро и криво. Прозрачно проксировать https я понимаю весьма не тривиальная штуковина.

Добавил transparent. В логах та же хрень, что и выше, не заходит.

Может еще потребоваться в конфиге прописать сначала порт без transparent (выбрать неиспользуемый). Какую ошибку так обходят уже не вспомню.

Т.е. нужно качать свежак и собирать?

Да, читал про это, но не проверял.

Девелоперы там же описывают минусы такого подхода

Но у автора в любом случае 3.1, если он соберёт 3.3, то можно что-то забацать.

Да.
В 3.2 сделали прозрачное проксирование шифрованных, а в 3.3 — BumpSslServerFirst.

Да и то, стабильность работы с таким конфигом под вопросом.

В чем выражается «нестабильность» работы, если не секрет?

Условия воспроизведения я так и не понял.
Срабатывание

Там прозрачный прокси, icap задействован.

Соответственно, падает воркер и Главный процесс его перезапускает. В это время клиенты, естественно, не могут ходить в инет

Ясно. В общем походу гемор, ставить прозрачный прокси на 80-й порт, а остатки резать на 443-м.

Благодарю! Как в Вашем случае работает ssl? Пользователь получает скормленный кальмару сертификат при попытке соединится по https?

Да, именно так. Но у нас сертификат от Comodo Security, и браузері не слишком достают пользователей для подтверждения исключения безопасности.

Вообще, я привёл кусок этого конфига в качестве такового, как оно заработало у меня.

Но задача у меня иного рода — просто вести учёт на какие сайты ходили пользователи. Без фильтрации контента и URL. Самое первое что пришло в голову — это прозрачный прокси. Сейчас это работает в тестовом режиме. Не уверен в беспроблемности и полной работоспособности такой конфигурации.

Да, кстати, подобную конфигурацию я уже смотрел:

Хм. Возможно важен порядок следование acl ?

Не пробовали вынести ssl_bump allow all перед всеми остальными ssl_bump ?

Без разницы. Я уже вчера накатил обычный сквид без ssl, после прочтения сообщения накатил с —enable-ssl. Щас пересобираю еще и с —enable-ssl-crtd (на всякий пожарный)

В squid 3.2 доступно только ssl_bump allow/deny. То есть ssl_bump client-first/server-first — не нужны.

У меня 3.1. Судя по этому — http://www.squid-cache.org/Versions/v3/3.1/cfgman/ssl_bump.html — дока один в один с 3.2. Щас тестирую.

У меня тоже 3.1, но вот дистрибутивы у нас отличаются.

У меня openSUSE 12.2, у вас — Debian 7. Возможно набор патчей отличается.

На всякий случай приведу флаги сборки сквида в сюзи:

А теперь бы разобрать, что ему не хватает.

С данной конфигурацией браузер орет, что сертификат не является доверенным.

Скорее всего, потому, что ваш сертификат самоподписанный.

В моём случае у нас был в наличии купленный сертификат, и подписанный доверенной организацией, которая, по видимому, входит в Trusted CA браузера.

В вашем случае, нужно импортировать ваш сертификат в пользовательские браузеры. Например, как было сделано здесь: http://habrahabr.ru/post/168515/

Я читал, там все равно нужно подкладывать сертификат браузерам. Ради этого кстати компилил с —enable-ssl-crtd.

Щас более подробно изучаю вот это: http://ubuntuforums.org/showthread.php?t=2049290 — тут тоже 3.1 (3.1.19).

Скормил сертификат браузеру — нихрена. Щас попробую метод, который описан на швабре.

Так-с, а можно в студию список файлов squid? Есть подозрение, что собирать-то он собирает, а вот либу в пакет не кладет.

Собери уже последнюю версию 3.3 с офсайта и всё будет работать 🙂

3.3 версия слишком много хочет нового. Дома возможно на дебиане и соберу. Просто хочется иметь опакеченую как положено, стандартными средствами.

Итак, сообщения вида «NONE/400 4054 NONE error:invalid-request — NONE/- text/html» пропали, после пересборки squid с парметрами —enable-ssl и —enable-ssl-crtd и вот таким куском конфига:

Но в логах ни слова про ssl.

Да кстати, сертификат браузеру скормил, результаты смотрел с ним.

Кстати, нашел забавну статейку, из которой следует, что если в логах есть «Accepting SSL bumped HTTP Socket connections at local=[::]:3128 remote=[::] FD 21 flags=9» или что-то вроде такого — то ssl пашет. У меня даже банальный греп ssl ничего не выдает. Так что проблема скорее не в версии, а в том, что где-то что-то не включено.

Что она хочет из того, чего нет в стандартном дебиане? У меня она нормально собрана и запакетирована самыми что ни на есть стандартными средствами, как — я уже писал в какой-то из твоих тем вроде.

Запакетирована в дебиане?

У тебя еще наблюдается флаг «—with-openssl». Еще поколдую с ним:-)

Этот флаг просто указывает местоположение опенссля, у меня он до кучи указан.

В общем, ИМХО, ты какой-то херней страдаешь, пытаешь заставить заведомо неумеющую что-то делать версию вместо того, чтобы собрать заведомо рабочую и протестированную: у меня через него 300 человек ходит, сквид уже 5000 сертификатов навыдавал, ни разу не упало.

Да вот дело в том, что валяются в сети мануалы по настройке https на 3.1, потому и топчусь с ним. Сборка 3.3 — это самое последнее, что я буду делать. Тем более если опция включена, а в логах нихрена нет, то возникает вопрос — а нахрена опцию указывать, если нихрена не работает? К тому же, ssl-bump был еще в 2.x версиях, там он правда назывался sslBump. Потому я и не спешу обновляться)

На опеннете нашел про 3.3:

Поддержка режима SSL-Bump Server для перехвата содержимого шифрованных HTTPS-сеансов. При поступлении первого перехватываемого HTTPS-запроса, Squid осуществляет (http://wiki.squid-cache.org/Features/BumpSslServerFirst) SSL-соединение с сервером и получает его сертификат. После этого Squid использует имя хоста из реального полученного от сервера сертификата и создаёт фиктивный сертификат, при помощи которого имитирует запрошенный сервер при взаимодействии с клиентом, продолжая при этом использовать SSL-соединение, установленное с сервером. Кроме HTTPS-соединений, указанная схема может использоваться для перехвата большинства HTTP-запросов с методом CONNECT.

Придется компилить 3.3, печалька.

Ну собсно про это тебе и талдычат уже давно, если бы ты почитал ссылки на вики сквида которые я или кто-то еще давали выше (про Bump-Server-First, который токмо в 3.3) то сразу бы все понял, а так только баламутил континуум :)))

Что печального в сборке 3.3, когда тебе уже даже debian/rules показали, не понимаю. Две команды и готово.

Хе-хе. Я сделал грязный хак — подрубил репу тестинга, и собираю пакет с него — там свежак 3.3.8-1. Пришлось правда две либы стянуть с него, но к счастью они просто стали рядом ничего не требуя обновить, остальные компоненты взяты с визи. Немного подправил rules`ы, вырубил ненужное в аутентифкации, врубил ssl — компилим-с.

Собрал. В логах наконец появилось заветное https, пока че-то не заводится, ковыряю дельше) Строка, которую я выше кидал тоже есть, да)

Завел таки) Правда часть сайтов не пашет, щас ковыряюсь. ssl_bump allow all является устаревшей, используется либо client-first либо server-first, причем как я понял одна из.

Тут фишка заблочить некоторые ресурсы

А на фаерволле не, никак?

Ок. Пример порезаного таблесами вк. Обеими руками за. Ручками айпишники порезать или -m string vk.com не канают.

Читал, и как я понял — это не самый лучший вариант, прокся все же рулит.

Источник

Как настроить прозрачный прокси на Squid?

Первое и самое важное, это то что нужно настроить именно прозрачный прокси, без необходимости каких либо манипуляций с браузером у сотрудников, потому как контора большая (есть ПК и на Linux и на Wundows), второе это то что нет необходимости глубоко лезть в трафик, нужно про кто куда заходит, то есть на какие сайта заходят сотрудники. С HTTP всё ок, работает и в прозрачном и в не прозрачном режиме. А вот HTTPS работает только если указать прокси в настройках браузера.
Я перепробовал уже кучу вариантов, и с сертификатами и без. Последний вариант, когда в прозрачном режиме, браузер открывает только http, squid пишет логи, sarg все это отображает. А, https при завороте его на squid перестаёт работать.
Браузер выдаёт ошибку: ssl_error_rx_record_too_long
Про неё много пишут, если поискать, но подходящего решения так и не нашёл.
В логах squid вот такая ошибка: NONE_NONE/400 3642 — error:invalid-request — HIER_NONE/- text/html при попытке открыть что либо по https.
При этом http открывается и вот так отображается в логах squid (например): TCP_MISS_ABORTED/000 0 GET kakoysegodnyadennedeli.ru/favicon.ico — ORIGINAL_DST/81.176.226.68 —
В общем буду раз любым предложениям и рекомендациям.

Сейчас остановился вот на таком конфиге Squid

root@squid:/etc/squid# cat squid.conf | grep -v «^#» | grep -v «^$»
acl localnet src 10.168.0.0/24 # RFC 1918 local private network (LAN)
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager
http_access allow localnet
http_access allow localhost
http_access deny all

http_port 3129
http_port 3128 transparent
#intercept тоже пробовал

coredump_dir /var/cache/squid
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|?) 0 0% 0
refresh_pattern . 0 20% 4320

Источник

Первое и самое важное, это то что нужно настроить именно прозрачный прокси, без необходимости каких либо манипуляций с браузером у сотрудников, потому как контора большая (есть ПК и на Linux и на Wundows), второе это то что нет необходимости глубоко лезть в трафик, нужно про кто куда заходит, то есть на какие сайта заходят сотрудники. С HTTP всё ок, работает и в прозрачном и в не прозрачном режиме. А вот HTTPS работает только если указать прокси в настройках браузера.
Я перепробовал уже кучу вариантов, и с сертификатами и без. Последний вариант, когда в прозрачном режиме, браузер открывает только http, squid пишет логи, sarg все это отображает. А, https при завороте его на squid перестаёт работать.
Браузер выдаёт ошибку: ssl_error_rx_record_too_long
Про неё много пишут, если поискать, но подходящего решения так и не нашёл.
В логах squid вот такая ошибка: NONE_NONE/400 3642 — error:invalid-request — HIER_NONE/- text/html при попытке открыть что либо по https.
При этом http открывается и вот так отображается в логах squid (например): TCP_MISS_ABORTED/000 0 GET kakoysegodnyadennedeli.ru/favicon.ico — ORIGINAL_DST/81.176.226.68 —
В общем буду раз любым предложениям и рекомендациям.

Сейчас остановился вот на таком конфиге Squid

И вот такой iptables

I am trying to setup my Raspberry pi as WiFi access point with squid proxy.
All the users connected to AP (wlan0) will get internet from eth0

When I configured browser with Proxy 192.168.0.1:3128 all http and https sites are accessible

Now I setup a Squid in transparent mode. At this time only HTTP sits are accessible. HTTPS sites are not opening

Error : SSL connection error

please find the logs and config sample

Iptables

-A PREROUTING -i wlan0 -p tcp -m tcp --dport 21 -j REDIRECT --to-ports 3128
-A PREROUTING -i wlan0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A PREROUTING -i wlan0 -p tcp -m tcp --dport 443 -j REDIRECT --to-ports 3128

Squid

#Access List
acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl home_network src 192.168.0.0/24
acl guest_network src 192.168.1.0/24
acl guest_network src 192.168.169.0/24


#Ports allowed through Squid
acl Safe_ports port 80 #http
acl Safe_ports port 443 #https
acl SSL_ports port 443
acl SSL method CONNECT
acl CONNECT method CONNECT

#allow/deny
http_access allow localhost
http_access allow home_network
http_access allow guest_network
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny all

#proxy ports
visible_hostname proxy
#http_port 3128 transparent
http_port 3128 intercept
http_port 8080

#caching directory
cache_dir ufs /cache/squid 2048 16 128
cache_mem 1024 MB

#refresh patterns for caching static files
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i .(gif|png|jpg|jpeg|ico)$ 10080 90% 43200 override-expire ignore-no-cache ignore-no-store ignore-private
refresh_pattern -i .(iso|avi|wav|mp3|mp4|mpeg|swf|flv|x-flv)$ 43200 90% 432000 override-expire ignore-no-cache ignore-no-store ignore-private
refresh_pattern -i .(deb|rpm|exe|zip|tar|tgz|ram|rar|bin|ppt|doc|tiff)$ 10080 90% 43200 override-expire ignore-no-cache ignore-no-store ignore-private
refresh_pattern -i .index.(html|htm)$ 0 40% 10080
refresh_pattern -i .(html|htm|css|js)$ 1440 40% 40320
refresh_pattern -i (/cgi-bin/|?) 0     0%      0
refresh_pattern . 0 40% 40320

Squid Log

1438333207.745      1 192.168.0.10 NONE/400 4000 NONE error:invalid-request - NONE/- text/html
1438333207.749      1 192.168.0.10 NONE/400 4000 NONE error:invalid-request - NONE/- text/html
1438333207.753      1 192.168.0.10 NONE/400 4000 NONE error:invalid-request - NONE/- text/html
1438333207.789      1 192.168.0.10 NONE/400 4000 NONE error:invalid-request - NONE/- text/html
1438333207.803      1 192.168.0.10 NONE/400 4000 NONE error:invalid-request - NONE/- text/html
1438333210.190      1 192.168.0.10 NONE/400 4000 NONE error:invalid-request - NONE/- text/html

Модератор: SLEDopit

Эта опция указывает максимальный размер reply body (объекта в ответ запросу) в байтах. Это может использоваться чтобы запретить пользователей которые загружают очень большие файлы, такие как mp3 и фильмы. Когда заголовок ответа получен, строка reply_body_max_size обрабатывается, и первая строка с результатом "allow" (разрешить) используется as the maximum body size для этого ответа. Этот размер проверяется дважды. Первый раз когда мы получим ответные заголовки, мы проверим значение content-length. Если значение content length существует и больше чем разрешенный размер, запрос блокируется и пользователь получает сообщение об ошибке который говорит "the request or reply is too large." Если нет content-length, и ответ: файл превышает это лимит, соединение клиентов будет закрыто и они примут неполный ответ.

Внимание: downstream (наверное расположенные ниже вашего прокси сервера) кэши возможно не определяют неполные ответы если не существует content-length header, также они кэшируют неполные отклики и выдают их в out как совпадения. Вы не должны использовать эту опцию если вы имеете downstream кэши.
Если вы установите этот параметр к нулю (по-умолчанию), не будет накладываться ограничение.

TAG: request_body_max_size (KB)
Этот тэг указывает максимальный размер для HTTP запрашиваемого объекта. Другими словами, максимальный размер запроса PUT/POST. Пользователь который делает попытки к отправке запроса с объектом больше чем этот лимит получит сообщение об ошибке "Invalid Request". Если вы приведете этот параметр к нулю (по умолчанию), не будет накладываться ограничение.

Примеры:
reply_body_max_size 20000000 allow nolimit
запретить объекты больше 20000000 байт группе (правилу) nolimit
reply_body_max_size 5242880 allow all
запретить объекты до 5242880 байт (5 МБ) группе all

request_body_max_size 5 MB
запретить PUT/POST (методы передачи) для 5 Мб

1291124670.801    422 10.10.7.12 TCP_MISS/200 323 GET http://win.mail.ru/cgi-bin/checknew? - DIRECT/94.100.184.13 text/plain
1291122733.648  60247 10.10.7.12 TCP_MISS/502 4925 POST http://win.mail.ru/cgi-bin/sentmsg - DIRECT/94.100.184.10 text/html