Потребовалось уйти от прокси с подменой сертификатов на прозрачный прокси без подмены.
Было сделано:
CentOS 7+squid4.8+dhcp+dns(named)
Цель: работа по белому списку. Пока не отлажу - деление на группы не ввожу, да и тестировать удобней...
Результат: некоторые сайты работают нормально - e1.ru, yandex.ru
некоторые сайты сквид запрещает, не смотря на то, что они в белом списке
yaklass.ru
dnevnik.ru
Опытным путём выяснилось, что yaklass.ru запрещён из-за компонентов с других сайтов - https://ykl-upl.azureedge.net/upload/CustomLandingPageFiles/id-32610/ver-8/im... и прочих
В чем я дурак?
Белый список:
.e1.ru
.yandex.ru
.azureedge.net
.cdnjs.cloudflare.com
.www.yaklass.ru
.cdn.mathjax.org
.stats.g.doubleclick.net
.adriver.ru
.googleadservices.com
.amazonaws.com
.visualstudio.com
.googleapis.com
.bootstrapcdn.com
.googletagmanager.com
.dnevnik.ru
Конфиг squid:
acl localnet src 192.168.16.0/24 # локалка vm
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 443 # https
acl CONNECT method CONNECT
#Белый список сайтов, по которому будет работать фильтр
acl _white dstdomain «/etc/squid/acl/white.acl»
#DNS для Squid. на клиентах прилетает по DHCP 192.168.16.1 (ip CentOS)
dns_nameservers 127.0.0.1
#Порты http
http_port 192.168.16.1:3128
http_port 192.168.16.1:3129 intercept
https_port 192.168.16.1:3130 intercept ssl-bump options=ALL:NO_SSLv3 connection-auth=off cert=/etc/squid/squidCA.pem
#принимаем даже ошибочные ssl сертификаты
sslproxy_cert_error allow all
#peek and splice
acl step1 at_step SslBump1
ssl_bump peek step1
ssl_bump splice all
sslcrtd_program /usr/local/squid/libexec/security_file_certgen -s /usr/local/squid/var/cache/squid/ssl_db -M 4MB
#ВРУЧНУЮ ВЫПОЛНИТЬ ПРОГРАММУ /usr/local/squid/libexec/security_file_certgen -c -s /usr/local/squid/var/cache/squid/ssl_db -M 4MB
#НЕ ЗАБЫТЬ НАСТРОИТЬ ПРАВА НА ПАПКУ СКВИДА, ГДЕ КЕШ на [23] squid /usr/local/squid/var/cache/squid
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow _white
#http_access allow all
http_access deny all
#время завершения работы сквида
shutdown_lifetime 5 seconds
coredump_dir /usr/local/squid/var/cache/squid
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320
#logfile_rotate 4
pid_filename /var/run/squid.pid