Skype+squid+sslbump

0

3

Здравствуйте, не обессудьте за глупые вопросы. Играюсь со сквидом, научил его работать с SSL. Перед компиляцией добавил в него

--with-default-user=proxy \
--enable-ssl

После компиляции и установки в конфиг сквида внес только

http_port 3127
http_port 3128 intercept
https_port 3129 intercept ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/usr/share/ssl-cert/myCA.pem
always_direct allow all
ssl_bump server-first all
sslproxy_cert_error allow all
sslproxy_flags DONT_VERIFY_PEER

И iptables

iptables -t nat -A POSTROUTING -j MASQUERADE
iptables -t nat -A PREROUTING -s 192.168.10.1 -p tcp --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 127.0.0.1:3128
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 443 -j REDIRECT --to-port 3129
iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 443 -j DNAT --to-destination 127.0.0.1:3129

Появился интересный баг, скайп не работает, просто не авторизуется, но если явно прописать в его настройках прокси сервер, причем для HTTPS указать порт HTTP, то всё нормально работает. Казалось бы можно направить порт скайпа на порт HTTP, но в каждом клиенте скайпа указан рандомный порт. Пользователей много и прописывать всем вручную не хочется, писать инструкцию тоже т.к. палить адрес прокси не есть гутЪ.

Ссылка

←	аналог amyy admin или чегото подобного под linux

FreeBSD настройка pf

→

Галка в настройках скайпа «использовать порт 80» не оно? Ну и форвардить все, что выходит с 80 порта так же на проксю ).

anonymous
(16.06.14 11:30:06 MSK)

И, да. А зачем явно указывать айпишнег прокси скайпу, когда ты его натишь айпитейблсом при обращении к шлюзу?

anonymous
(16.06.14 11:31:44 MSK)

Ответ на: комментарий от anonymous 16.06.14 11:30:06 MSK

Не оно, пробовал с ней и без неё.

Bain
(16.06.14 11:33:17 MSK) автор топика

Ответ на: комментарий от anonymous 16.06.14 11:31:44 MSK

Потому, что скайп работает по HTTPS, https стандартно направляется на 3129 ( для https ), а у меня скайп успешно работает при прохождении https трафика на 80 порт грубо говоря. Вобщем ЯННП

Bain
(16.06.14 11:35:35 MSK) автор топика

Ответ на: комментарий от Bain 16.06.14 11:35:35 MSK

Всмысле, если не понятно, то в скайпе я указываю протокол https, ип сквида и порт 3128, через который проходит трафик с 80 порта.

Bain
(16.06.14 11:37:09 MSK) автор топика

Ссылка

Ответ на: комментарий от Bain 16.06.14 11:33:17 MSK

Странно. Вообще в локалке достаточно иметь одного скайпа подключенного к инету, на остальных машинах без инета скайп тоже поднимается. За это я его со своей локалки и вычистил... Ибо ретрансляция. Неужто её вырезали, странно. Попробуйте просто убрать заворот 443 порта на проксю пока. Ну, а вообще, скайп под натом работает через upnp, скайп же рассчитан на socks. дело в том, что хотя скайп и работает по конкретным портам, это не значит, что он работает по протоколам HTTP/HTTPS.

anonymous
(16.06.14 11:45:45 MSK)

Ответ на: комментарий от anonymous 16.06.14 11:45:45 MSK

Убирать заворот 443 порта не вариант т.к. на этом завязана блокировка фейсбуков и прочих гадостей, будем думать дальше, спасибо за мысль о ретрансляции.

Bain
(16.06.14 11:48:14 MSK) автор топика

Ответ на: комментарий от Bain 16.06.14 11:48:14 MSK

Поднять upnp на шлюзе. Других вариантов я не знаю.

anonymous
(16.06.14 12:04:52 MSK)

Ссылка

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 443 -j REDIRECT --to-port 3129

squid научился с https работать ?

dada ★★★★★
(17.06.14 08:17:52 MSK)

Ответ на: комментарий от dada 17.06.14 08:17:52 MSK

Так у него sslbump...

Только не очень мне ясно как таким чудным образом он считает трафик, и потом его анализирует? Ведь прозрачный squid не позволит авторизацию. :(

DALDON ★★★★★
(17.06.14 08:56:37 MSK)

Ответ на: комментарий от DALDON 17.06.14 08:56:37 MSK

Честно, не вдавался в подробности работы, но трафик обрабатывает sams и выводит статистику по юзерам. В общем работает на колдовстве. И по теме, я захотел включить в сквид ещё пару опций, но при компиляции получаю

mv /usr/src/squid3-3.3.8/debian/tmp/usr/lib/squid3/cachemgr.cgi /usr/src/squid3-3.3.8/debian/tmp/usr/lib/cgi-bin/cachemgr.cgi
mv /usr/src/squid3-3.3.8/debian/tmp/usr/sbin/squid /usr/src/squid3-3.3.8/debian/tmp/usr/sbin/squid3
mv /usr/src/squid3-3.3.8/debian/tmp/usr/share/man/man8/squid.8 /usr/src/squid3-3.3.8/debian/tmp/usr/share/man/man8/squid3.8
install -m 755 -g root -d /usr/src/squid3-3.3.8/debian/tmp/etc/init.d
install -m 755 -g root -d /usr/src/squid3-3.3.8/debian/tmp/etc/logrotate.d
install -m 755 -g root -d /usr/src/squid3-3.3.8/debian/tmp/etc/resolvconf
install -m 755 -g root -d /usr/src/squid3-3.3.8/debian/tmp/etc/resolvconf/update-libc.d
install -m 755 -g root -d /usr/src/squid3-3.3.8/debian/tmp/etc/ufw/applications.d
install -m 755 -g root debian/squid3.rc /usr/src/squid3-3.3.8/debian/tmp/etc/init.d/squid3
install -m 755 -g root debian/squid3.resolvconf /usr/src/squid3-3.3.8/debian/tmp/etc/resolvconf/update-libc.d/squid3
install -m 644 -g root debian/squid3.logrotate /usr/src/squid3-3.3.8/debian/tmp/etc/logrotate.d/squid3
install -m 644 -g root debian/squid3.ufw.profile /usr/src/squid3-3.3.8/debian/tmp/etc/ufw/applications.d/squid3
install -m 755 -g root -d debian/squid3/var/log
install -m 755 -g root -d debian/squid3/var/spool
install -m 755 -g root -d debian/squid3/var/run
install -m 750 -o proxy -g proxy -d debian/squid3/var/log/squid3
install -m 750 -o proxy -g proxy -d debian/squid3/var/spool/squid3
install -m 755 -g root -d /usr/src/squid3-3.3.8/debian/tmp/usr/share/man/man1
mv /usr/src/squid3-3.3.8/debian/tmp/usr/bin/purge /usr/src/squid3-3.3.8/debian/tmp/usr/bin/squid-purge
chmod 4755 /usr/src/squid3-3.3.8/debian/tmp/usr/lib/squid3/pinger
chmod: невозможно получить доступ к «/usr/src/squid3-3.3.8/debian/tmp/usr/lib/squid3/pinger»: Нет такого файла или каталога
make: *** [install/squid3] Ошибка 1
dpkg-buildpackage: ошибка: fakeroot debian/rules binary возвратил код ошибки 2
root@proxy001:/usr/src/squid3-3.3.8# mc

Это из- за стандартного параметра

--enable-icmp

Пробовал просто содать там пустой файл с этим именем, не помогло, как быть?

Bain
(18.06.14 09:06:20 MSK) автор топика

Ответ на: комментарий от Bain 18.06.14 09:06:20 MSK

Поправка, убрал --enable-icmp, ошибка сохранилась

Bain
(18.06.14 09:20:06 MSK) автор топика

Ссылка

Походу скайп не принимает сертификат, тобой сгенеренный. Попробуй с браузера полазить по фейсбукам и гуглам (там по дефолту https редирект), можно проверить в информации о сертификате, твой он или сайта.

Сам тоже недавно хотел так же контролировать https, не вышло, застрял на том же месте, что и у тебя. Так что не знаю, выйдет ли. На сторонних ресурсах пишут, что для ssl-bump'а нужно добавлять у пользователей твой сертификат в доверенные.

leader32 ★
(19.06.14 10:06:23 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	аналог amyy admin или чегото подобного под linux

Admin

FreeBSD настройка pf

→

Похожие темы