LINUX.ORG.RU
решено ФорумAdmin

squid и https

 ,


0

1

Доброго времени суток! Уважаемые спецы.Не могу разобраться с прозрачным https на squid. Все настроил , вроде все фурычит.Работает связка dans+squid+privoxy+tor.Трафик https в логах видать. Собственно задача:Требуется в squid-е написать acl которая читала бы файл url_regex с адресами и направляла https мимо tor-а по этим направлениям,напрямую.По http у меня acl-ы настроенны все работает.А вот с https трабла,уже второй день мудо**юсь. Дефолтное направление должно быть через тор.Может кто что подскажет? OS debian 9 Что еще написать ? Конфиги надо?


Требуется в squid-е написать acl которая читала бы файл url_regex

Если https реализован без MITM, то URL-ы видны не будут, только домены

Pinkbyte ★★★★★
()
Ответ на: комментарий от Pinkbyte

В основном ip адреса .Изредка пролетают URL-ы. В точку =) .Спасибо добрый человек !! видимо проблема и вправду в этом.Я ему url-ы пихаю а squid даже и не реагирует, не подумал что url-ы то он и не видит :))) Вообщем буду копать в этом направлении .

lamer1
() автор топика
Ответ на: комментарий от Pinkbyte

Я не совсем соображаю в этих всех сертификатах .Но думаю что вы меня поняли, о чем я.Трафик идет и сайты по 443 порту открываются у меня ,в iptables правила заворота на порт 3130 squid-a , но выход уже идет с самого тор-а.Грубо правила применяются «never_direct allow deny» например.Ошибок по сертификатам на страницах нет. Извиняюсь что не могу грамотно разьяснить проблему , но суть я думаю ясна.

lamer1
() автор топика
Ответ на: комментарий от lamer1

Но думаю что вы меня поняли, о чем я

Нет, не понял, так как сделать прозрачное проксирование https в squid можно двумя способами.

1) Делая MITM - тогда на прокси видны URL и расшифровывается ВЕСЬ трафик, но на клиентах должен быть зарегистрирован соответствующий корневой сертификат, иначе клиенты будут орать о подмене;
2) используя SSL BUMP, но тогда будут видны только имена доменов, а трафик будет прозрачно без расшифровки пропускаться. Отдельные домены(не URL!) при этом могут блокироваться

Ошибок по сертификатам на страницах нет

Значит скорее всего вариант 2

Извиняюсь что не могу грамотно разьяснить проблему , но суть я думаю ясна.

Конфиг покажи, смогу подсказать точнее. Но если всё настроено по варианту 2, тогда url_regex ты применить НЕ СМОЖЕШЬ. Так как конкретный URL будет передаваться в зашифрованном пакете, который squid в варианте 2 не расшифровывает, а пропускает «как есть»

Pinkbyte ★★★★★
()
Последнее исправление: Pinkbyte (всего исправлений: 1)
Ответ на: комментарий от Pinkbyte 

ssl_bumb
http_port 127.0.0.1:3128
https_port 3130 intercept ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/opt/squid/etc/squidCA.pem
ssl_bump none
never_direct allow all
sslproxy_cert_error deny all
sslproxy_flags DONT_VERIFY_PEER
sslcrtd_program /opt/squid/libexec/ssl_crtd -s /opt/squid/var/lib/ssl_db -M 4MB
sslcrtd_children 5

кусок конфига парент прокси.Здесь различная фильтрация
acl Scan_HTTP proto HTTP
never_direct allow Scan_HTTP
forwarded_for on
# Tor acl направляйки по расширениям и прочей лабуде
acl tor_url url_regex "/etc/squid/url.tor"
acl class_ip src "/etc/squid/class_ip"
acl onion dstdomain "/etc/squid/onion"
acl type url_regex "/etc/squid/type"
cache_peer 127.0.0.1 parent 8080 0 no-query no-digest no-netdb-exchange default
cache_peer_access 127.0.0.1 deny type
always_direct allow type
##cache_peer_access 127.0.0.1 allow tor_url_tor
##always_direct deny tor_url_tor
cache_peer_access 127.0.0.1 allow onion
always_direct deny onion
cache_peer_access 127.0.0.1 deny class_ip
always_direct allow class_ip
cache_peer_access 127.0.0.1 deny tor_url
always_direct allow tor_url
#always_direct allow NoCache



логи по 443 порту 
1498602756.783  23912 10.111.11.10 TCP_TUNNEL/200 234 CONNECT 173.194.44.88:443 - FIRSTUP_PARENT/127.0.0.1 -
1498602756.783  26319 10.111.11.10 TCP_TUNNEL/200 234 CONNECT 173.194.44.88:443 - FIRSTUP_PARENT/127.0.0.1 -
1498602756.783  24092 10.111.11.10 TCP_TUNNEL/200 234 CONNECT 173.194.44.88:443 - FIRSTUP_PARENT/127.0.0.1 -
1498602756.783  25083 10.111.11.10 TCP_TUNNEL/200 234 CONNECT 173.194.44.88:443 - FIRSTUP_PARENT/127.0.0.1 -
1498602756.783  26537 10.111.11.10 TCP_TUNNEL/200 234 CONNECT 173.194.44.95:443 - FIRSTUP_PARENT/127.0.0.1 -
1498602756.783  22833 10.111.11.10 TCP_TUNNEL/200 6719 CONNECT 87.250.250.242:443 - FIRSTUP_PARENT/127.0.0.1 -
1498602756.783  22832 10.111.11.10 TCP_TUNNEL/200 6719 CONNECT 87.250.250.242:443 - FIRSTUP_PARENT/127.0.0.1 -
1498602756.783  22834 10.111.11.10 TCP_TUNNEL/200 6719 CONNECT 87.250.250.242:443 - FIRSTUP_PARENT/127.0.0.1 -
1498602756.856  22908 10.111.11.10 TCP_TUNNEL/200 10130 CONNECT 87.250.250.242:443 - FIRSTUP_PARENT/127.0.0.1 -
1498602758.140  24085 10.111.11.10 TCP_TUNNEL/200 2873 CONNECT 194.226.130.226:443 - FIRSTUP_PARENT/127.0.0.1 -
1498602762.265 301448 10.111.11.10 TCP_TUNNEL/200 402 CONNECT 108.177.14.188:443 - FIRSTUP_PARENT/127.0.0.1 -
1498602763.498  29435 10.111.11.10 TCP_TUNNEL/200 37338 CONNECT 178.154.131.216:443 - FIRSTUP_PARENT/127.0.0.1 -
1498602763.596  29531 10.111.11.10 TCP_TUNNEL/200 7904 CONNECT 178.154.131.216:443 - FIRSTUP_PARENT/127.0.0.1 -
1498602763.694  29628 10.111.11.10 TCP_TUNNEL/200 98412 CONNECT 178.154.131.216:443 - FIRSTUP_PARENT/127.0.0.1 -
1498602764.018  29957 10.111.11.10 TCP_TUNNEL/200 9843 CONNECT 178.154.131.216:443 - FIRSTUP_PARENT/127.0.0.1 -
1498602764.464  14904 10.111.11.10 TCP_TUNNEL/200 156 CONNECT 77.88.55.70:443 - FIRSTUP_PARENT/127.0.0.1 -
1498602764.465  16660 10.111.11.10 TCP_TUNNEL/200 156 CONNECT 178.154.131.216:443 - FIRSTUP_PARENT/127.0.0.1 -
1498602774.637  40246 10.111.11.10 TCP_TUNNEL/200 151 CONNECT 173.194.18.13:443 - FIRSTUP_PARENT/127.0.0.1 -
1498602774.637  40570 10.111.11.10 TCP_TUNNEL/200 6301 CONNECT 178.154.131.216:443 - FIRSTUP_PARENT/127.0.0.1 -
1498602793.874  59821 10.111.11.10 TCP_TUNNEL/200 3896 CONNECT 194.226.130.226:443 - FIRSTUP_PARENT/127.0.0.1 -
1498602821.634  73774 10.111.11.10 TCP_TUNNEL/200 6970 CONNECT 87.250.250.91:443 - FIRSTUP_PARENT/127.0.0.1 -
1498602829.909  95898 10.111.11.10 TCP_TUNNEL/200 1894 CONNECT 213.180.193.119:443 - FIRSTUP_PARENT/127.0.0.1 -
1498602881.303 249567 10.111.11.10 TCP_TUNNEL/200 1976 CONNECT 173.194.220.102:443 - FIRSTUP_PARENT/127.0.0.1 -
1498602883.200 263277 10.111.11.10 TCP_TUNNEL/200 6126 CONNECT 173.194.222.93:443 - FIRSTUP_PARENT/127.0.0.1 -
1498602908.975  20739 10.111.11.10 TCP_TUNNEL/200 151 CONNECT 173.194.18.13:443 - FIRSTUP_PARENT/127.0.0.1 -
1498602914.010 247906 10.111.11.8 TCP_TUNNEL/200 646 CONNECT 173.194.44.82:443 - FIRSTUP_PARENT/127.0.0.1 -

iptables на 53 порту tor слушает
#-A PREROUTING -p udp --dport 53 -j REDIRECT --to-ports 9053
-A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 8081
-A PREROUTING -p tcp --dport 443 -j REDIRECT --to-ports 3130
lamer1
() автор топика
Ответ на: комментарий от lamer1

Из лога видно что трафик бегает через парент (privoxy).Для этого я воткнул директиву never_direct allow all .Иначе он стремится на прямую соедениться.А мне надо что бы ушол в тор .Но с помощью url_regex можно было кое что пустить напрямую

lamer1
() автор топика
Ответ на: комментарий от Pinkbyte

Нашел ответ на свой вопрос , здесь на лоре.Просто понятия не имел что за MITM.Вы дали наводку .Порылся по этой теме .Теперь буду знать :) это особенность ssl_bump. Спасибо большое !

Squid лог https запросов

lamer1
() автор топика
Ответ на: комментарий от lamer1

Но все же интересно .Человек в той теме пишет что правило у него работает.Значит можно написать acl , но только для маршрута?

lamer1
() автор топика
Ответ на: комментарий от lamer1

Значит можно написать acl , но только для маршрута?

Для домена или IP в данной конфигурации - можно. Для URL - нет.

Pinkbyte ★★★★★
()
Ответ на: комментарий от Pinkbyte

Все работает !

Да спасибо за пояснение. Все настроил ,все работает . Как раз то что мне надо было .Оказалось все просто.2 строчки правильно разместил в конфиге и все заработало .Фильтрации по https по домену мне более чем достаточно :)

lamer1
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin