- Печать
Страницы: [1] Вниз
Тема: squid не прозрачит. Error (Прочитано 1313 раз)
0 Пользователей и 1 Гость просматривают эту тему.

konstkam
Здравствуйте!
Если в браузере пользователя (другой комп) указать настройки прокси (ip сквида, порт), страницы сайтов отображаются. Если в браузере указать напрямую, сквид прозрачит с ошибкой, в браузере это:
ERROR
The requested URL could not be retrieved
squid.conf
eth0 192.168.100.80/24
eth1 192.168.10.2/24
в iptables направление в сквид:
-A PREROUTING -s 192.168.10.0/24 -i eth1 -p tcp -m tcp —dport 80 -j DNAT —to-destination 192.168.10.2:3128
iptables-save
Если в iptables убрать проброс (запросы на 80 порт на 3128 сквида), пользователи ходят через шлюз мимо сквида, браузеры все отображают.
Подскажите, где поправить, чтобы сквид прозрачил?
« Последнее редактирование: 21 Декабря 2011, 15:12:27 от konstkam »

drako
А где конфиг самого «больного зуба»?

konstkam
squid.conf добавил
когда оба интерфейса eth0 и eth1 были в одной сети 100.0/24, сквид прозрачил хорошо, ошибок от него в браузерах не было. Сам шлюз работает одинаково в обоих настройках, nat работает. Только от сквида ошибки, когда прозрачит.
« Последнее редактирование: 21 Декабря 2011, 15:19:16 от konstkam »

drako
# Squid normally listens to port 3128
http_port 3128 transparent

konstkam
Спасибо! заработало с «3128 transparent» по заходу на http серверы.
в iptables переброс 21 и 443 портов
Только не получилось зайти на ftp://ftp.yandex.ru/
страница осталась пустая.
И не зашел по https на https://gmail.com
При соединении с gmail.com произошла ошибка.
Что поправить?
И подскажите как прикрутить список ненужных сайтов. Простой прикрутил.
« Последнее редактирование: 21 Декабря 2011, 16:50:45 от konstkam »
- Печать
Страницы: [1] Вверх
How to have transparent Squid proxy and HTTPS ?
Hi,
I have a working Squid transparent proxy in my local network, allowing user to access internet. But HTTPS websites like Gmail or mail.yahoo.com are inacessible. Firefox gives me the ssl_error_rx_record_too_long error.
Here is my squid.conf:
Code:
http_port 3127 transparent cache_mem 8 MB cache_dir ufs /var/spool/squid 100 16 256 cache_log /var/log/squid/cache.log cache_store_log /var/log/squid/store.log pid_filename /var/run/squid.pid visible_hostname adngateway cache_effective_user proxy cache_effective_group proxy acl REDE_INTERNA src 192.168.1.0/255.255.255.0 acl WIRELESS src 192.168.2.0/255.255.255.0 acl all src 0.0.0.0/0.0.0.0 http_access allow REDE_INTERNA http_access allow WIRELESS http_access deny allHere is my iptables rule:
Code:
iptables -t nat -A PREROUTING -i eth1 -p tcp -j REDIRECT --to-port 3127From what I’ve seen on other posts, the best approach would be allowing to 443 TCP port access the internet directly, without passing thru the proxy. But I’m not an iptables expert, don’t know how to achieve that. Ny suggestions ? Other approaches ? Thanks in advance.
Re: How to have transparent Squid proxy and HTTPS ?
In your squid.conf file add in your acl section
#
# This line enables https connections — after much sweat and tears
# Only in FAQs on squid website
#
acl SSL method CONNECT
#
#
#The sweat and tears were mine it took me ages to find it!!
Re: How to have transparent Squid proxy and HTTPS ?
Originally Posted by alan34
![]()
In your squid.conf file add in your acl
acl SSL method CONNECTHi,
Thanks for your tip but it didn’t work. Firefox still complains ‘ssl_error_rx_record_too_long’. Here is my current squid.conf:
Code:
http_port 3127 transparent cache_mem 8 MB cache_dir ufs /var/spool/squid 100 16 256 cache_log /var/log/squid/cache.log cache_store_log /var/log/squid/store.log pid_filename /var/run/squid.pid visible_hostname adngateway cache_effective_user proxy cache_effective_group proxy acl SSL method CONNECT acl REDE_INTERNA src 192.168.1.0/255.255.255.0 acl WIRELESS src 192.168.2.0/255.255.255.0 acl all src 0.0.0.0/0.0.0.0 http_access allow REDE_INTERNA http_access allow WIRELESS http_access deny all
Re: How to have transparent Squid proxy and HTTPS ?
Sorry that did not work for you
Here is most of the complete file
#Recommended minimum configuration:
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563
acl Safe_ports port 80 88 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
#
# This line enables https connections — after much sweat and tears
# Only in FAQs on squid website
#
acl SSL method CONNECT
#
#
## TAG: http_access
# Allowing or Denying access based on defined access lists
#
# Access to the HTTP port:
# http_access allow|deny [!]aclname …
#
# NOTE on default values:
#
# If there are no «access» lines present, the default is to deny
# the request.
#
# If none of the «access» lines cause a match, the default is the
# opposite of the last line in the list. If the last line was
# deny, the default is allow. Conversely, if the last line
# is allow, the default will be deny. For these reasons, it is a
# good idea to have an «deny all» or «allow all» entry at the end
# of your access lists to avoid potential confusion.
#
#Default:
# http_access deny all
#
#Recommended minimum configuration:
#
# Only allow cachemgr access from localhost
http_access allow manager localhost
http_access deny manager
# Deny requests to unknown ports
http_access deny !Safe_ports
# Deny CONNECT to other than SSL ports
http_access deny CONNECT !SSL_ports
#
# We strongly recommend the following be uncommented to protect innocent
# web applications running on the proxy server who think the only
# one who can access services on «localhost» is a local user
#
#
http_access deny to_localhost
#
#
# Example rule allowing access from your local networks. Adapt
# to list your (internal) IP networks from where browsing should
# be allowed
#acl our_networks src 192.168.1.0/24 192.168.2.0/24
#http_access allow our_networks
#
#
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
#
# (old server)
#
acl allowed_hosts1 src 10.0.0.1/255.255.255.255
http_access allow allowed_hosts1
icp_access allow allowed_hosts1
## plus any computers you want or deny access to the proxy
#
#
#
# And finally deny all other access to this proxy
http_access deny all# TAG: http_reply_access
# Allow replies to client requests. This is complementary to http_access.
#
# http_reply_access allow|deny [!] aclname …
#
# NOTE: if there are no access lines present, the default is to allow
# all replies
#
# If none of the access lines cause a match the opposite of the
# last line will apply. Thus it is good practice to end the rules
# with an «allow all» or «deny all» entry.
#
#Default:
# http_reply_access allow all
#
#Recommended minimum configuration:
#
# Insert your own rules here.
#
#
# and finally allow by default
http_reply_access allow all# TAG: icp_access
# Allowing or Denying access to the ICP port based on defined
# access lists
#
# icp_access allow|deny [!]aclname …
#
# See http_access for details
#
#Default:
# icp_access deny all
#
#Allow ICP queries from everyone
icp_access allow all
#icp_access allow allowed_hostsThis is what I use on my server at work. Note I listen on port 88 I think it should be port 80 by default but I used port 88.
If you want to pm me with your email I will send you the complete file.
Re: How to have transparent Squid proxy and HTTPS ?
Originally Posted by kurtkraut
![]()
Hi,
Thanks for your tip but it didn’t work. Firefox still complains ‘ssl_error_rx_record_too_long’.
After running into the exact same problem as you, and fighting with it for hours, I understood why you couldn’t get it working: because it is impossible in transparent/intercept configuration.
alan34’s posts are missing the http_port command but after much research, it became obvious that alan34 is using a regular proxy (where it is configured in the web browser) while you are trying a transparent proxy configuration which just doesn’t work with SSL.
I decided to register just so I can post this here — being one of the top search engine results on the subject.
Re: How to have transparent Squid proxy and HTTPS ?
It looks like you can use the SSLBump add-on for Squid to make it proxy HTTPS requests. Obviously these will look like a «man-in-the-middle» attack to the users’ browsers, but I think you can eliminate this problem if you can set up a Certificate Authority and install the appropriate certificates in the browsers.
I haven’t done this myself, so YMMV.
Модераторы: vadim64, terminus
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
S_V
- рядовой
- Сообщения: 13
- Зарегистрирован: 2013-01-17 14:10:59
Free8.3+ipfw+squid+https
Доброго. Я во фре нуб, так что извиняйте сразу.
Установил Фрее 8.3+ipfw+(squid-2.7.9_1)+(squidGuard-1.4_4)
Суть вопроса в том, что я не могу разобраться как squid заставить работать c https протоколом.
Если в squid.conf прописать https-port 3129 key=… cert=…, то сразу начинается ругань unrecognized: ‘https_port’.
Ставил это хозяйство через «pkg_add -r» c ftp, по сему вопрос — можно ли, посмотреть и изменить конфиг установщика, который ставится через pkg_Add из существующего tbz, так чтобы появилась функция —enable-ssl.
С «./configure» и make получается очень плохо, он переписывает конфиги, но не хочет создавать запускные файлы. Т.е. после make install набираю «service squid start» и получаю в ответ не найдено ни одного запускного файла.
Последний раз редактировалось f_andrey 2013-01-18 10:03:14, всего редактировалось 1 раз.
Причина: Автору, выбирайте пожалуйста раздел соответствуюший тематике вашего сообщения.
-
Хостинг HostFood.ru
Услуги хостинговой компании Host-Food.ru
Хостинг HostFood.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
-
S_V
- рядовой
- Сообщения: 13
- Зарегистрирован: 2013-01-17 14:10:59
Re: Free8.3+ipfw+squid+https
Непрочитанное сообщение
S_V » 2013-02-11 15:57:58
Дорогой f_andrey, если показалось, что эта тема для начинающих, то вы заблуждаетесь, так как за всё прошедшее время никто не отписался!
Squid из сорса я поставил, даже научился запускать. Https_port включаю (сертификат создан с помощью OpenSSl), но в браузере получаю ssl_error_rx_record_too_long, ответа на эту ошибку нет.
Кеш отключён cache deny all — http://wiki.squid-cache.org/SquidFaq/Co … nything.3F, ищем соответственно версии squida. acl SSL method CONNECT в конфиг добавлен.
P.S.
Может я не правильно генерю сертификат, кто найдёт правильную инструкцию, публикуйте, все порадуются
-
Neus
- капитан
- Сообщения: 1935
- Зарегистрирован: 2008-09-08 21:59:56
Re: Free8.3+ipfw+squid+https
Непрочитанное сообщение
Neus » 2013-02-11 19:29:48
Пакеты собираются с параметрами по-умолчанию
Умолчания можно глянуть там www.freshports.org
Я во фре нуб
А в какой ещё раздел надо было двинуть тему?
—
Сквид давно юзал… вам нужно чтобы он проксировал запросы типа https://google.ru/ ?
не помню чтобы я генерировал какой-то сертификат…
-
gumeniuc
- ст. сержант
- Сообщения: 343
- Зарегистрирован: 2009-11-08 15:46:05
- Откуда: md
- Контактная информация:
Re: Free8.3+ipfw+squid+https
Непрочитанное сообщение
gumeniuc » 2013-02-12 15:56:46
Попытка прозрачно пропустить SSL трафик или что ?
Да шо ему сделается…
-
S_V
- рядовой
- Сообщения: 13
- Зарегистрирован: 2013-01-17 14:10:59
Re: Free8.3+ipfw+squid+https
Непрочитанное сообщение
S_V » 2013-02-12 17:49:58
gumeniuc писал(а):Попытка прозрачно пропустить SSL трафик или что ?
Неет, в точку. Прочитал интересную статью про то, что это можно как-то сделать напрямую через сквид без расшифровки трафика самим сквидом, но не осело, может кто объяснит?
-
sadchok
- сержант
- Сообщения: 271
- Зарегистрирован: 2011-10-13 10:40:54
- Откуда: Алтайский край
Re: Free8.3+ipfw+squid+https
Непрочитанное сообщение
sadchok » 2013-02-12 20:52:24
retro писал(а): 1. Чтобы при проверке версии squid в строке конфигурации обязательно была опция ‘—enable-ssl’ иначе кина небудет, и не мечтайте.
2. Если версия >= libssl0.9.6 При создании сертификатов и ключей оперироваться командами для создания ключей:
openssl genrsa -out /etc/squid/ssl/squid.key
openssl req -new -key /etc/squid/ssl/squid.key -out /etc/squid/ssl/squid.csr
openssl x509 -req -days 3650 -in /etc/squid/ssl/squid.csr -signkey /etc/squid/ssl/squid.key -out /etc/squid/ssl/squid.pem3. Конфигурация squid согласно портов должна иметь такой вид:
http_port 192.168.0.254:3128 transparent
https_port 192.168.0.254:3129 transparent key=/etc/squid/ssl/squid.key cert=/etc/squid/ssl/squid.pem
Сам пока не пробовал, но чел пишет что работает.
The brain can not be found. Runs the software emulation
-
sadchok
- сержант
- Сообщения: 271
- Зарегистрирован: 2011-10-13 10:40:54
- Откуда: Алтайский край
Re: Free8.3+ipfw+squid+https
Непрочитанное сообщение
sadchok » 2013-02-12 21:06:15
Neus писал(а):Прокси расшифровывает трафик???
Вы чего курили?
Насколько я понял именно расшифровывает.
А потом шифрует но уже своим сертификатом.
Костыль конечно, теряется весь смысл ssl.
И в определенных конторах за это могут и по башке надавать.
The brain can not be found. Runs the software emulation
-
S_V
- рядовой
- Сообщения: 13
- Зарегистрирован: 2013-01-17 14:10:59
Re: Free8.3+ipfw+squid+https
Непрочитанное сообщение
S_V » 2013-02-12 21:30:02
Я чувствую тут вообще не многие мануалы изучают, по этому админ сильно ошибся ))
to NEUS читай про MITM атаку, потом мануал про Squid и наконец на сайте wiki squid’a черным по английски написано как это работает.
Но есть другой метод, так называемого прямого прохода и вот тут по ходу не надо создавать ssl туннель, потому что должен поддерживаться только существующий туннель между сайтом и браузером…
Как это организовать я не всосал )
-
gumeniuc
- ст. сержант
- Сообщения: 343
- Зарегистрирован: 2009-11-08 15:46:05
- Откуда: md
- Контактная информация:
Re: Free8.3+ipfw+squid+https
Непрочитанное сообщение
gumeniuc » 2013-02-12 21:34:58
Тоже читал статьи где слёзно клялись, что на Линухе какой-то работало. Пытался сделать на БСД… Не вышло.
Там кажись эти опции аля ‘https_port’ с какой-версии версии появились, возможно с 3.х.
Попробуй сквид 3 ветки собрать из портов.
Да шо ему сделается…
-
sadchok
- сержант
- Сообщения: 271
- Зарегистрирован: 2011-10-13 10:40:54
- Откуда: Алтайский край
Re: Free8.3+ipfw+squid+https
Непрочитанное сообщение
sadchok » 2013-02-12 21:44:11
S_V писал(а):
Ставил это хозяйство через «pkg_add -r» c ftp, по сему вопрос — можно ли, посмотреть и изменить конфиг установщика, который ставится через pkg_Add из существующего tbz, так чтобы появилась функция —enable-ssl.
С «./configure» и make получается очень плохо, он переписывает конфиги, но не хочет создавать запускные файлы. Т.е. после make install набираю «service squid start» и получаю в ответ не найдено ни одного запускного файла.
Соберите squid из портов.
Установив галку на
[X] SQUID_SSL Enable SSL support for reverse proxies
The brain can not be found. Runs the software emulation
-
Neus
- капитан
- Сообщения: 1935
- Зарегистрирован: 2008-09-08 21:59:56
Re: Free8.3+ipfw+squid+https
Непрочитанное сообщение
Neus » 2013-02-12 22:48:20
S_V писал(а):Я чувствую тут вообще не многие мануалы изучают, по этому админ сильно ошибся ))
to NEUS читай про MITM атаку, потом мануал про Squid и наконец на сайте wiki squid’a черным по английски написано как это работает.
Но есть другой метод, так называемого прямого прохода и вот тут по ходу не надо создавать ssl туннель, потому что должен поддерживаться только существующий туннель между сайтом и браузером…
Как это организовать я не всосал )
Что такое MITM я знаю.
Про сквид почитаю, интересно зачем там такие методы.
-
sadchok
- сержант
- Сообщения: 271
- Зарегистрирован: 2011-10-13 10:40:54
- Откуда: Алтайский край
Re: Free8.3+ipfw+squid+https
Непрочитанное сообщение
sadchok » 2013-02-13 8:06:56
Neus писал(а):
Что такое MITM я знаю.
Про сквид почитаю, интересно зачем там такие методы.
https://ctunnel.com/ не о чем не говорит?
The brain can not be found. Runs the software emulation
-
sadchok
- сержант
- Сообщения: 271
- Зарегистрирован: 2011-10-13 10:40:54
- Откуда: Алтайский край
Re: Free8.3+ipfw+squid+https
Непрочитанное сообщение
sadchok » 2013-02-13 18:19:20
Ну в принципе оно работает и на Freebsd
Собрал Squid c —enable-ssl —enable-ssl-crtd.
Сгенерил сертификаты.
Создал кеш.
Код: Выделить всё
mkdir /var/squid/lib/
/usr/local/libexec/squid/ssl_crtd -с -s /var/squid/lib/ssl_db
В конфиг добавил.
Код: Выделить всё
https_port 127.0.0.1:3129 transparent ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB key=/usr/local/etc/squid/ssl/private.pem cert=/usr/local/etc/squid/ssl/public.pem
always_direct allow all
ssl_bump allow all
sslproxy_cert_error allow all
sslproxy_flags DONT_VERIFY_PEER
Только в браузере ругань, на самоподписанный сертификат.
The brain can not be found. Runs the software emulation
-
ADRE
- майор
- Сообщения: 2641
- Зарегистрирован: 2007-07-26 8:53:49
- Контактная информация:
Re: Free8.3+ipfw+squid+https
Непрочитанное сообщение
ADRE » 2013-02-14 16:49:55
sadchok писал(а):
retro писал(а): 1. Чтобы при проверке версии squid в строке конфигурации обязательно была опция ‘—enable-ssl’ иначе кина небудет, и не мечтайте.
2. Если версия >= libssl0.9.6 При создании сертификатов и ключей оперироваться командами для создания ключей:
openssl genrsa -out /etc/squid/ssl/squid.key
openssl req -new -key /etc/squid/ssl/squid.key -out /etc/squid/ssl/squid.csr
openssl x509 -req -days 3650 -in /etc/squid/ssl/squid.csr -signkey /etc/squid/ssl/squid.key -out /etc/squid/ssl/squid.pem3. Конфигурация squid согласно портов должна иметь такой вид:
http_port 192.168.0.254:3128 transparent
https_port 192.168.0.254:3129 transparent key=/etc/squid/ssl/squid.key cert=/etc/squid/ssl/squid.pemСам пока не пробовал, но чел пишет что работает.
он жестоко вас [классический секс]. squid либо всё пропускает либо прозрачно посылает [рекомендовано присесть на мужской половой орган] https в топку
//del
-
sadchok
- сержант
- Сообщения: 271
- Зарегистрирован: 2011-10-13 10:40:54
- Откуда: Алтайский край
Re: Free8.3+ipfw+squid+https
Непрочитанное сообщение
sadchok » 2013-02-14 17:19:14
Как только я убрал google из списка разрешенных сайтов.
Получил .
The brain can not be found. Runs the software emulation
-
S_V
- рядовой
- Сообщения: 13
- Зарегистрирован: 2013-01-17 14:10:59
Re: Free8.3+ipfw+squid+https
Непрочитанное сообщение
S_V » 2013-02-15 16:38:36
Обращаюсь на гуглопочту
У меня ругань на сам сертификат, я так думаю, получаю следующее:
Не удалось установить безопасное соединение с 74,125,143,18
(92) Protocol error (TLS code: x509_V_ERR_UNABLE_TO_GET_ISSUER_CERT_LOCALLY)
SSL Certificate error: certificate issuer (CA) not known: /C=US/O=Equifax Secure Certificate Authority
access.log говорит
TCP_MISS/503 4952 GET https://mail.google.com/mail/? — HIER_DIRECT/74.125.143.18 text/html
Акто-нибудь может дать ссылка на расшифровку того, что пишется в access.log’e?
-
ADRE
- майор
- Сообщения: 2641
- Зарегистрирован: 2007-07-26 8:53:49
- Контактная информация:
Re: Free8.3+ipfw+squid+https
Непрочитанное сообщение
ADRE » 2013-02-16 8:24:19
да писать можно всё что угодно прозрачно https пока, по крайней мере у мени и из коробки ибёт мозг.
//del
-
S_V
- рядовой
- Сообщения: 13
- Зарегистрирован: 2013-01-17 14:10:59
Re: Free8.3+ipfw+squid+https
Непрочитанное сообщение
S_V » 2013-02-18 15:16:27
sadchok писал(а):
ssl_bump allow all
Синтаксис у меня другой немного Ж)
Описание тут: http://wiki.squid-cache.org/Features/SslBump и тут
http://www1.it.squid-cache.org/Versions … _bump.html
Всё собрал с гуглопочты, Failed to establish a secure connection to 173.194.71.19
The system returned:
(92) Protocol error (TLS code: X509_V_ERR_UNABLE_TO_GET_ISSUER_CERT_LOCALLY)
SSL Certficate error: certificate issuer (CA) not known: /C=US/O=Equifax/OU=Equifax Secure Certificate Authority
This proxy and the remote host failed to negotiate a mutually acceptable security settings for handling your request. It is possible that the remote host does not support secure connections, or the proxy is not satisfied with the host security credentials.
ГГуглопочта не сдаётся, су…волоч!
-
S_V
- рядовой
- Сообщения: 13
- Зарегистрирован: 2013-01-17 14:10:59
Re: Free8.3+ipfw+squid+https
Непрочитанное сообщение
S_V » 2013-02-18 15:58:47
Давайте определим порты, необходимые для работы HTTPS протокола, у меня 53(DNS), 80(http), 443(https).
Больше ничего вроде не надо.
-
sadchok
- сержант
- Сообщения: 271
- Зарегистрирован: 2011-10-13 10:40:54
- Откуда: Алтайский край
Re: Free8.3+ipfw+squid+https
Непрочитанное сообщение
sadchok » 2013-02-20 11:24:05
Блин, ну я ХЗ у меня работает https прозрачно (при условии что добавили сертификат сквида в доверенные на браузерах).
И гуглопочту только что открывал.
Вот вывод
Код: Выделить всё
root@Gateway:/root # squid -v
Squid Cache: Version 3.1.23
configure options: '--with-default-user=squid' '--bindir=/usr/local/sbin' '--sbindir=/usr/local/sbin' '--datadir=/usr/local/etc/squid' '--libexecdir=/usr/local/libexec/squid' '--localstatedir=/var/squid' '--sysconfdir=/usr/local/etc/squid' '--with-logdir=/var/log/squid' '--with-pidfile=/var/run/squid/squid.pid' '--enable-removal-policies=lru heap' '--disable-linux-netfilter' '--disable-linux-tproxy' '--disable-epoll' '--disable-translation' '--disable-ecap' '--disable-loadable-modules' '--enable-auth=basic digest negotiate ntlm' '--enable-basic-auth-helpers=DB NCSA PAM MSNT SMB squid_radius_auth LDAP YP' '--enable-digest-auth-helpers=password ldap' '--enable-external-acl-helpers=ip_user session unix_group wbinfo_group ldap_group' '--enable-ntlm-auth-helpers=smb_lm' '--enable-negotiate-auth-helpers=squid_kerb_auth' '--enable-storeio=ufs diskd aufs' '--enable-disk-io=AIO Blocking DiskDaemon DiskThreads' '--enable-delay-pools' '--enable-ssl' '--with-openssl=/usr' '--enable-ssl-crtd' '--disable-internal-dns' '--enable-arp-acl' '--enable-ipfw-transparent' '--enable-kqueue' '--with-large-files' '--prefix=/usr/local' '--mandir=/usr/local/man' '--infodir=/usr/local/info/' '--build=amd64-portbld-freebsd9.1' 'build_alias=amd64-portbld-freebsd9.1' 'CC=cc' 'CFLAGS=-O2 -pipe -I/usr/local/include -I/usr/include -DLDAP_DEPRECATED -fno-strict-aliasing' 'LDFLAGS= -L/usr/local/lib -Wl,-rpath=/usr/lib:/usr/local/lib -L/usr/lib' 'CPPFLAGS=' 'CXX=c++' 'CXXFLAGS=-O2 -pipe -I/usr/local/include -I/usr/include -DLDAP_DEPRECATED -fno-strict-aliasing' 'CPP=cpp' --with-squid=/usr/ports/www/squid31/work/squid-3.1.23 --enable-ltdl-convenience
Вот конфиг
Код: Выделить всё
root@Gateway:/root # cat /usr/local/etc/squid/squid.conf
#
# Recommended minimum configuration:
#
acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
acl kray src 192.168.0.0/16
# acl gud_users srcdom_regex -i "/usr/local/etc/squid/gud_users"
# Example rule allowing access from your local networks.
# Adapt to list your (internal) IP networks from where browsing
# should be allowed
# acl localnet src 10.0.0.0/8 # RFC1918 possible internal network
acl localnet src 172.16.24.10-172.16.24.254 # RFC1918 possible internal network
acl server src 172.16.24.1-172.16.24.20 # RFC1918 possible internal network
# acl server srcdomain admin-desktop.ХХХХХХ.ru.
acl work_time1 time MTWHF 08:30-12:30
acl work_time2 time MTWHF 14:00-18:00
acl not_work_time1 time MTWHF 20:00-23:59
acl not_work_time2 time MTWHF 00:00-8:00
acl not_work_time3 time AS 00:00-23:59
acl bad_sites url_regex -i "/usr/local/etc/squid/bad_sites"
acl gud_sites url_regex -i "/usr/local/etc/squid/gud_sites"
# acl localnet src fc00::/7 # RFC 4193 local private network range
# acl localnet src fe80::/10 # RFC 4291 link-local (directly plugged) machines
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
#
# Recommended minimum Access Permission configuration:
#
# Only allow cachemgr access from localhost
http_access allow manager localhost
http_access deny manager
# Deny requests to certain unsafe ports
http_access deny !Safe_ports
# Deny CONNECT to other than secure SSL ports
http_access deny CONNECT !SSL_ports
# We strongly recommend the following be uncommented to protect innocent
# web applications running on the proxy server who think the only
# one who can access services on "localhost" is a local user
#http_access deny to_localhost
#
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
#
# Example rule allowing access from your local networks.
# Adapt localnet in the ACL section to list your (internal) IP networks
# from where browsing should be allowed
http_access allow server
# http_access allow localnet gud_users
http_access allow localnet kray
http_access deny localnet bad_sites work_time1
http_access deny localnet bad_sites work_time2
http_access allow localnet gud_sites not_work_time1
http_access allow localnet gud_sites not_work_time2
http_access allow localnet gud_sites not_work_time3
http_access deny localnet not_work_time1
http_access deny localnet not_work_time2
http_access deny localnet not_work_time3
http_access allow localnet
http_access allow localhost
# And finally deny all other access to this proxy
http_access deny all
# Squid normally listens to port 3128
http_port 172.16.24.1:3128
http_port 127.0.0.1:3128 transparent
https_port 127.0.0.1:3129 transparent ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB key=/usr/local/etc/squid/ssl/private.pem cert=/usr/local/etc/squid/ssl/public.pem
always_direct allow all
ssl_bump allow all
sslproxy_cert_error allow all
sslproxy_flags DONT_VERIFY_PEER
# Uncomment and adjust the following to add a disk cache directory.
#cache_dir ufs /var/squid/cache 100 16 256
# Leave coredumps in the first cache dir
coredump_dir /var/squid/cache
# Add any of your own refresh_pattern entries above these.
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|?) 0 0% 0
refresh_pattern . 0 20% 4320
cache_mgr root@ХХХХХХ.ru
visible_hostname proxy.ХХХХХХХ.ru
Код: Выделить всё
root@Gateway:/root # cat /var/log/squid/access.log
1361348399.415 70 172.16.24.51 TCP_MISS/000 0 GET http://rs.mail.ru/sb615208.gif? - DIRECT/94.100.181.203 -
1361348399.600 176 172.16.24.51 TCP_MISS/302 802 GET http://e.mail.ru/cgi-bin/sentmsg? - DIRECT/94.100.184.15 text/html
1361348400.059 665 172.16.24.58 TCP_MISS/200 31024 GET https://mail.google.com/mail/u/0/? - DIRECT/173.194.71.19 text/html
1361348401.091 25223 172.16.24.53 TCP_MISS/200 330 POST http://q84.queuev4.vk.com/im078 - DIRECT/87.240.131.233 text/javascript
1361348405.674 1287 172.16.24.58 TCP_MISS/200 3729 POST https://mail.google.com/mail/u/0/? - DIRECT/173.194.71.17 text/javascript
1361348405.677 1285 172.16.24.58 TCP_MISS/304 249 GET https://mail.google.com/mail/u/0/pimages/2/search_white.png - DIRECT/173.194.71.18 -
1361348405.677 1270 172.16.24.58 TCP_MISS/304 249 GET https://mail.google.com/mail/u/0/images/cleardot.gif - DIRECT/173.194.71.83 -
1361348405.681 1289 172.16.24.58 TCP_MISS/200 8445 GET https://mail.google.com/mail/u/0/? - DIRECT/173.194.71.19 image/png
1361348406.332 92 172.16.24.58 TCP_MISS/304 248 GET https://mail.google.com/mail/u/0/images/2/5/orcasisland/wednesday_02.jpg - DIRECT/173.194.71.19 -
1361348406.450 210 172.16.24.58 TCP_MISS/204 311 GET https://www.google.com/setgmail? - DIRECT/188.43.64.227 text/html
1361348406.459 928 172.16.24.58 TCP_MISS/200 1598 GET https://mail.google.com/mail/u/0/? - DIRECT/173.194.71.83 text/javascript
1361348407.290 133 172.16.24.58 TCP_MISS/200 1047 GET https://mail.google.com/mail/c/u/0/data/contactstore? - DIRECT/173.194.71.19 application/x-javascript
1361348407.738 578 172.16.24.58 TCP_MISS/200 450 GET https://mail.google.com/mail/u/0/channel/test? - DIRECT/173.194.71.83 text/plain
1361348407.738 578 172.16.24.58 TCP_MISS/304 192 GET https://mail.google.com/mail/u/0/photos/img/photos/private/AIbEiAIAAABDCJmN4qmoxKbmMCILdmNhcmRfcGhvdG8qKGIwODlmOGVmMWM0M2EzNjI1ZTY1MzI1ZjUyNDY5NGM5OGRhZTg3NjEwAa389JqPNmBBDCgAkQWfl-ZMjZob? - DIRECT/173.194.71.18 -
1361348408.039 890 172.16.24.58 TCP_MISS/200 1624 POST https://mail.google.com/mail/u/0/? - DIRECT/173.194.71.18 text/javascript
1361348408.609 215 172.16.24.58 TCP_MISS/200 493 GET https://mail.google.com/mail/u/0/images/c.gif? - DIRECT/173.194.71.18 image/gif
1361348408.614 428 172.16.24.58 TCP_MISS/200 1777 POST https://mail.google.com/mail/u/0/? - DIRECT/173.194.71.19 text/javascript
1361348409.023 989 172.16.24.46 TCP_CLIENT_REFRESH_MISS/200 427 GET http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt - DIRECT/23.60.69.97 text/plain
1361348409.322 426 172.16.24.58 TCP_MISS/200 1510 POST https://mail.google.com/mail/u/0/? - DIRECT/173.194.71.83 text/javascript
1361348409.365 288 172.16.24.46 TCP_MISS/200 49509 GET http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab - DIRECT/23.60.69.97 application/octet-stream
1361348410.063 415 172.16.24.58 TCP_MISS/200 1122 POST https://mail.google.com/mail/u/0/? - DIRECT/173.194.71.18 text/javascript
1361348410.236 593 172.16.24.58 TCP_MISS/200 6006 POST https://mail.google.com/mail/u/0/? - DIRECT/173.194.71.17 text/javascript
1361348410.603 508 172.16.24.58 TCP_MISS/200 1026 POST https://mail.google.com/mail/u/0/? - DIRECT/173.194.71.19 text/javascript
1361348411.091 458 172.16.24.58 TCP_MISS/200 1587 POST https://mail.google.com/mail/u/0/? - DIRECT/173.194.71.83 text/javascript
Код: Выделить всё
root@Gateway:/root # cat /etc/rc.ipfw1
--//--//--//--//--//--//
# fwd squid
${fwcmd} add fwd 127.0.0.1,3128 tcp from 172.16.24.0/24 to not me dst-port 80 in recv ${if_lan}
${fwcmd} add fwd 127.0.0.1,3129 tcp from 172.16.24.0/24 to not me dst-port 443 in recv ${if_lan}
The brain can not be found. Runs the software emulation
-
S_V
- рядовой
- Сообщения: 13
- Зарегистрирован: 2013-01-17 14:10:59
Re: Free8.3+ipfw+squid+https
Непрочитанное сообщение
S_V » 2013-02-21 9:47:22
to sadchok Это какая версия Squid? Здесь наборы команд отличаются от моих! Я пытаю 3.3.1.
-
sadchok
- сержант
- Сообщения: 271
- Зарегистрирован: 2011-10-13 10:40:54
- Откуда: Алтайский край
Re: Free8.3+ipfw+squid+https
Непрочитанное сообщение
sadchok » 2013-02-21 11:40:42
sadchok писал(а):
Вот вывод
root@Gateway:/root # squid -v
Squid Cache: Version 3.1.23
У меня нет в портах версии 3.3
The brain can not be found. Runs the software emulation