LINUX.ORG.RU

3
Всего сообщений: 44

squid + ssl bump

Доброго дня. Ситуация такая - есть vps за бугром, есть домашняя сеть с ubuntu в качестве шлюза. Домашний шлюз и vps соединены openvpn туннелем. Хочется часть сайтов пускать через vps, так как есть ограничения и обходить их установкой на каждую машину vpn не подходит. А те ресурсы, которые не подпадают под «ограничения», чтобы работали напрямую.

squid подошел идеально, но, видимо, я его настроить нормально не могу и работает «кривенько». шлюз с ubuntu(далее просто ubuntu) имеет named, который форвардит запросы на 1.1.1.1 через туннель vps, чтобы в днс траф никто не лазил.

squid version:

squid --version
Squid Cache: Version 4.13
Service Name: squid
Ubuntu linux

This binary uses OpenSSL 1.1.1f  31 Mar 2020. For legal restrictions on distribution see https://www.openssl.org/source/license.html

configure options:  '--build=x86_64-linux-gnu' '--prefix=/usr' '--includedir=${prefix}/include' '--mandir=${prefix}/share/man' '--infodir=${prefix}/share/info' '--sysconfdir=/etc' '--localstatedir=/var' '--disable-silent-rules' '--libdir=${prefix}/lib/x86_64-linux-gnu' '--runstatedir=/run' '--disable-maintainer-mode' '--disable-dependency-tracking' 'BUILDCXXFLAGS=-g -O2 -fdebug-prefix-map=/home/builder/ubuntu20/build/squid/squid-4.13=. -fstack-protector-strong -Wformat -Werror=format-security -Wdate-time -D_FORTIFY_SOURCE=2 -Wl,-Bsymbolic-functions -Wl,-z,relro -Wl,-z,now ' 'BUILDCXX=g++' '--with-build-environment=default' '--enable-build-info=Ubuntu linux' '--datadir=/usr/share/squid' '--sysconfdir=/etc/squid' '--libexecdir=/usr/lib/squid' '--mandir=/usr/share/man' '--enable-inline' '--disable-arch-native' '--enable-async-io=8' '--enable-storeio=ufs,aufs,diskd,rock' '--enable-removal-policies=lru,heap' '--enable-delay-pools' '--enable-cache-digests' '--enable-icap-client' '--enable-ssl' '--enable-follow-x-forwarded-for' '--enable-auth-basic=DB,fake,getpwnam,LDAP,NCSA,NIS,PAM,POP3,RADIUS,SASL,SMB' '--enable-auth-digest=file,LDAP' '--enable-auth-negotiate=kerberos,wrapper' '--enable-auth-ntlm=fake,SMB_LM' '--enable-external-acl-helpers=file_userip,kerberos_ldap_group,LDAP_group,session,SQL_session,time_quota,unix_group,wbinfo_group' '--enable-security-cert-validators=fake' '--enable-storeid-rewrite-helpers=file' '--enable-url-rewrite-helpers=fake' '--enable-eui' '--enable-esi' '--enable-icmp' '--enable-zph-qos' '--enable-ecap' '--disable-translation' '--with-swapdir=/var/spool/squid' '--with-logdir=/var/log/squid' '--with-pidfile=/run/squid.pid' '--with-filedescriptors=65536' '--with-large-files' '--with-default-user=proxy' '--enable-linux-netfilter' '--with-systemd' '--with-openssl' '--enable-ssl-crtd' 'build_alias=x86_64-linux-gnu' 'CFLAGS=-g -O2 -fdebug-prefix-map=/home/builder/ubuntu20/build/squid/squid-4.13=. -fstack-protector-strong -Wformat -Werror=format-security -Wall' 'LDFLAGS=-Wl,-Bsymbolic-functions -Wl,-z,relro -Wl,-z,now ' 'CPPFLAGS=-Wdate-time -D_FORTIFY_SOURCE=2' 'CXXFLAGS=-g -O2 -fdebug-prefix-map=/home/builder/ubuntu20/build/squid/squid-4.13=. -fstack-protector-strong -Wformat -Werror=format-security'

на vps squid является parent proxy с конфигом:

acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT

shutdown_lifetime 5 seconds

dns_nameservers 1.1.1.1

http_port 3128
http_port 3129 intercept
https_port 1080 intercept cert=/etc/squid/cert/squidCA.pem ssl-bump

sslproxy_cert_error allow all
always_direct allow all

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3


ssl_bump stare step2
ssl_bump bump step3


sslcrtd_program /usr/lib/squid/security_file_certgen -s /var/lib/ssl_db -M 4MB

access_log stdio:/var/log/squid/access.log squid
logfile_rotate 4

auth_param basic program /usr/lib/squid/basic_ncsa_auth /etc/squid/passwords
auth_param basic realm proxy

acl authenticated proxy_auth REQUIRED
http_access allow authenticated

на ubuntu пакеты с 443 и 80-ых портов с помощью правил nftables перекидываются на squid:

table nat {
	chain prerouting {
		ip saddr 10.0.0.0/24 ip daddr != 10.0.0.0/24 tcp dport 80 counter redirect to 3129 comment "HTTP traffic"
		ip saddr 10.0.0.0/24 ip daddr != 10.0.0.0/24 tcp dport 443 counter redirect to 3130 comment "HTTPS traffic"
	}
}

на ubuntu squid настроен на просмотр доменов и в зависимости от домена: либо пускать напрямую запросы, либо через parent squid на vps:

acl SSL_ports port 443
acl SSL_ports port 1012 # for badssl.comm
acl Safe_ports port 80		# http
acl Safe_ports port 21		# ftp
acl Safe_ports port 443		# https
acl Safe_ports port 70		# gopher
acl Safe_ports port 210		# wais
acl Safe_ports port 1012        # for badssl.com
acl Safe_ports port 1025-65535	# unregistered ports
acl Safe_ports port 280		# http-mgmt
acl Safe_ports port 488		# gss-http
acl Safe_ports port 591		# filemaker
acl Safe_ports port 777		# multiling http
acl CONNECT method CONNECT


acl localnet src 10.0.0.0/24
dns_nameservers 127.0.0.1

debug_options ALL,2 28,9
shutdown_lifetime 5 seconds


acl rkn_domain dstdomain .ya.ru .facebook.com .instagram.com .mail.ru .fbcdn.net .linkedin.com

http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny manager

http_access allow localnet
http_access allow localhost
http_access deny all

icp_access deny all 
htcp_access deny all


http_port 10.0.0.1:3128
http_port 10.0.0.1:3129 intercept
https_port 10.0.0.1:3130 intercept ssl-bump \
 options=ALL:NO_SSLv3:NO_TLSv1:NO_TLSv1_1:NO_TLSv1_2 \
 connection-auth=off \
 generate-host-certificates=on \
 dynamic_cert_mem_cache_size=4MB \
 tls-cert=/etc/squid/sslcert/squid.pem \
 tls-key=/etc/squid/sslcert/squid.key

sslproxy_cert_error allow all
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3

ssl_bump stare step2
ssl_bump bump step3


# http://www.squid-cache.org/Doc/config/cache_peer/
#                                        proxy  icp
#          hostname             type     port   port	options
#          -------------------- -------- -----	-----	-----------
cache_peer OPENVPN_IP		parent	 1080	0	proxy-only no-query default no-digest no-delay no-netdb-exchange

cache_peer_access OPENVPN_IP allow rkn_domain
cache_peer_access OPENVPN_IP deny !rkn_domain
never_direct allow rkn_domain



logformat self %{%Y.%m.%d/%H:%M:%S}tl %Ss %>Hs %rm %ru %Sh/%<A
logformat squid_full      %ts.%03tu %6tr %>A %Ss/%03>Hs %<st %rm %ru %[un %Sh/%<A %mt



sslcrtd_program /usr/lib/squid/security_file_certgen -s /var/lib/squid/ssl_db -M 4MB

access_log stdio:/var/log/squid/access_rkn.log squid_full rkn_domain
access_log stdio:/var/log/squid/access.log squid_full
#access_log none
cache_log /dev/null

# logfile_rotate 4
logfile_rotate 0

# Disable via and x-forwarded-for headers
via off
forwarded_for delete

netdb_filename none

Связка работает для instagram.com как нужно, но вот для linkedin.com не работает. Когда я вбиваю linkedin.com на машине из сети, то запись появляется в /var/log/squid/access.log, то есть либо домен не подошел под .linkedin.com,либо может squid не смог домен вытащить?

1653466922.169  30000 10.0.0.54 TCP_TUNNEL/200 0 CONNECT 13.107.42.14:443 - ORIGINAL_DST/13.107.42.14 -
  • ping
PING linkedin.com (13.107.42.14) 56(84) bytes of data.

Ну и 2-ой момент, не могу понять какой формат логов указать, чтобы мне в логах писались домены, а не IP адреса. Буду благодарен за советы!

 , ,

Graybit ()

Собрать squid из исходников со старой версией openssl

Система Ubuntu 22.04. Со стандартным OpenSSL 3.0.2 не собирается:

../../src/ssl/gadgets.h:61:51: error: 'void RSA_free(RSA*)' is deprecated: Since OpenSSL 3.0 [-Werror=deprecated-declarations]
   61 | typedef std::unique_ptr<RSA, HardFun<void, RSA*, &RSA_free>> RSA_Pointer;

Поставил из исходников старый openssl 1.1.1j. Экспортировал переменные окружения:

export PATH="/usr/local/openssl_1_1_1j/bin:$PATH" LD_LIBRARY_PATH="/usr/local/openssl_1_1_1j/lib:$LD_LIBRARY_PATH"
vodka@vodka-PC:/tmp/squid-5.5$ openssl version
OpenSSL 1.1.1j  16 Feb 2021

Скачал squid, конфигурирую со старым openssl:

wget http://www.squid-cache.org/Versions/v5/squid-5.5.tar.gz
tar -xzvf ./squid-5.5.tar.gz 
cd squid-5.5/
./configure --enable-ssl-crtd --with-openssl=/usr/local/openssl_1_1_1j/lib

Проходит без ошибок. Но при make валится:

libtool: compile:  g++ -DHAVE_CONFIG_H -DDEFAULT_CONFIG_FILE=\"/usr/local/squid/etc/squid.conf\" -DDEFAULT_SQUID_DATA_DIR=\"/usr/local/squid/share\" -DDEFAULT_SQUID_CONFIG_DIR=\"/usr/local/squid/etc\" -I../.. -I../../include -I../../lib -I../../src -I../../include -I/usr/local/openssl_1_1_1j/lib/include -I/usr/include/libxml2 -Wall -Wpointer-arith -Wwrite-strings -Wcomments -Wshadow -Woverloaded-virtual -Werror -pipe -D_REENTRANT -I/usr/include/libxml2 -g -O2 -march=native -MT old_api.lo -MD -MP -MF .deps/old_api.Tpo -c old_api.cc  -fPIC -DPIC -o .libs/old_api.o
In file included from ../../src/security/Session.h:14,
                 from ../../src/security/forward.h:15,
                 from ../../src/SquidConfig.h:26,
                 from old_api.cc:24:
../../src/security/forward.h: In function 'void Security::DH_free_cpp(DH*)':
../../src/security/LockingPointer.h:34:21: error: 'void DH_free(DH*)' is deprecated: Since OpenSSL 3.0 [-Werror=deprecated-declarations]
   34 |             function(a); \
../../src/security/forward.h:96:1: note: in expansion of macro 'CtoCpp1'
   96 | CtoCpp1(DH_free, DH *);
      | ^~~~~~~
In file included from ../../compat/openssl.h:35,
                 from ../../src/security/Context.h:15,
                 from ../../src/security/forward.h:14,
                 from ../../src/SquidConfig.h:26,
                 from old_api.cc:24:
/usr/include/openssl/dh.h:200:28: note: declared here

Собственно, что ещё нужно сделать, чтобы make подхватывал старый openssl вместо системного?

 ,

iljuase ()

Squid Proxy

Сап, вечерний.

Есть один squid, нужно, чтобы он работал как промежуточный узел и проксировал все запросы к сайтам. Чтобы со стороны было видно, что я типа как в другом городе - там где прокси сервер.

В этом рабочем squid-е http сайты отркываются, а https - нет.

  • Не нужно что-либо записывать или блокировать;
  • Нужно проксировать запросы.

Выяснил, что нужно генерировать самоподписанный сертификат и устанавливать в каждый браузер для которого настраиваем прокси.

Вопросы:

  • Обязательно ли генерировать самоподписный сертификат или можно обойтись малой кровью и что-то другое использовать?
  • Есть ли альтернативы? Чтобы хуяк хуяк и поехало?

С меня как обычно - тонны нефти.

 ,

dopedopedope ()

squid

Не получается решить одну проблему, при попытке пользователя не имеющего доступ к интернету открыть любой внешний сайт, требует аутентификацию, а нужно чтобы без запроса показывал страницу запрета. Подскажите, пожалуйста, в чем может быть проблема?

Вот соответствующий блок в squid.conf

Example rule allowing access from your local networks.

Adapt localnet in the ACL section to list your (internal) IP >networks

from where browsing should be allowed

#http_access allow localnet #http_access allow localhost #http_access deny blacklist squid_deny http_access deny squid_deny http_access allow squid_allow #http_access allow blacklist squid_deny http_access deny all #http_access allow auth

squid_deny и squid_allow это группы в АД

Прошу прощения, не могу понять как помещать что-то под спойлер

 , ,

grraf ()

pfSense + squid + нужна http аутентификация

Привет, lor!

Не получается настроить http-аутентификацию на доступный с любого внешнего адреса прокси squid, поставленный через менеджер пакетов pfSense. Есть ли возможность её поднять через веб-морду? В итоге должно получиться удобное добавление новых пар логин/пароль без обращения к консоли.

Сам прокси работает, но выставление параметра «Authentication Method» во вкладке «Authentication» в значения None, Local, Captive Portal не влияют на работу прокси: он всё также либо не просит авторизацию, либо её пропускает, если выставлено «.*» в поле «Whitelist» на вкладке «ACLs».

Зачем тогда нужна вкладка Users? Разве не через неё регистрируются новые логины/пароли?

Буду очень признателен, если подскажете. Может нужно поставить какой-то дополнительный пакет в pfSense?

К сожалению, нет доступа к логам, так что тяжело понять, в какую сторону нужно копать.

 , ,

rmu ()

Помогите донастроить ssl bump в squid

squid 3.5 + centos 7. Телеграм @axixa Оплата по договоренности

 ,

Radzhab90 ()

TCP DENIED 200 в squid

Настраиваю ssl bump в squid. Centos 7 + squid 3.5.2

acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT

http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

http_access allow all

http_port 3128 intercept
https_port 3129 intercept ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/etc/squid/squidCA.pem key=/etc/squid/squidCA.pem

visible_hostname squid
ssl_bump server-first all
sslcrtd_program /usr/lib/squid/ssl_crtd -s /var/lib/ssl_db -M 4MB
sslcrtd_children 8 startup=1 idle=1

coredump_dir /var/spool/squid

refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern .               0       20%     4320

Экспортировал der сертификат в браузер. Настроил прокси на порт 3129 в IE. Пытаюсь подключиться - в браузере ошибка 200

Соединение сброшено.
ERR_CONNECTION_RESET

cache log - https://pastebin.com/VF84x1sW

access log

1596402159.776      0 192.168.2.121 TCP_DENIED/200 0 CONNECT 192.168.2.129:3129 - HIER_NONE/- -
1596402173.098      0 192.168.2.121 TCP_DENIED/200 0 CONNECT 192.168.2.129:3129 - HIER_NONE/- -
1596402173.102      0 192.168.2.121 TCP_DENIED/200 0 CONNECT 192.168.2.129:3129 - HIER_NONE/- -
1596402173.105      0 192.168.2.121 TCP_DENIED/200 0 CONNECT 192.168.2.129:3129 - HIER_NONE/- -
1596402173.108      0 192.168.2.121 TCP_DENIED/200 0 CONNECT 192.168.2.129:3129 - HIER_NONE/- -

 

Radzhab90 ()

Squid. Исключение в запрете на прослушивание/скачивание аудио для одного сайта

Приветствую форумчане, я тут первый раз, пришёл за помощью. У меня в конторе на одном из шлюзов стоит squid 3.5, на нём запреты:

acl localnet src 192.168.0.0/24
acl media urlpath_regex -i "/opt/squid/etc/Rasshireniya"
acl  all_audio rep_mime_type content-type audio.
acl  all_video rep_mime_type content-type video.

http_access deny media localnet
http_reply_access deny all_audio
http_reply_access deny all_video
http_access allow localnet

Всё обычно, просто и работает. В файлике с расширениями указаны оные, в том числе и mp3. Но вот не могу придумать как добавить исключение для сайта megapbx.ru откуда всем нужно скачивать (или прослушивать) записи в mp3. Можно ли в сквиде сделать исключение на закачку файлов медиа для одного сайта?
Из этого маленького куска конфига понятно, что у меня разрешено всё, что не запрещено. И как раз таки всё медиа - запрещено. Тут нужно что то типа: http_access allow all_audio localnet только из megapbx.ru/*, но так кальмар меня не поймёт.
Делал ли кто что то подобное?

 

Otdel_PTO ()

Настройка конфигурации SQUID

Добрый день, форумчане!

Есть настроенный прокси сервер squid. Есть два пользователя test1 и test2.

Проблема в том, что одновременно авторизоваться на сервере под одной УЗ могут сразу несколько человек. Как сделать так чтоб только один мог авторизоваться под УЗ test1 или test2, а остальные просто ждали очереди пока УЗ не освободится. И еще желательно настроить максимальное время работы одного пользователя под УЗ не более 30 минут.

Сейчас конфиг сквида выглядит примерно следующим образом:

http_port 3128

auth_param basic program /usr/lib/squid3/basic_ncsa_auth /etc/squid/users

auth_param basic realm test-proxy

acl test1 proxy_auth test1 REQUIRED

acl test2 proxy_auth test2 REQUIRED

acl net1 dst 192.168.0.1/21

acl net2 dst 192.168.1.1/21

http_access allow test1 net1

http_access allow test2 net2

http_access deny test1 net2

http_access deny test2 net1

http_access deny all

tcp_outgoing_address 192.168.0.11 test1

tcp_outgoing_address 192.168.1.22 test2

Буду очень признателен за помощь!

 , ,

r4w3e5 ()

Доступ с одной машины к двум хостам с одним ip

Добрый день!

В наличии имеется виртуалка под управлением Debian 10 buster. На виртуалке несколько физических интерфейсов. Так же имеются два роутера Dlink 192.168.0.1 Tplink 192.168.0.1

На виртуалке настроен прокси сервер Squid3.

Вопрос такой: Как настроить сквид или систему, чтоб подключившиеся одновременно к прокси пользователи попадали именно на нужный роутер? К примеру первый пользователь попадал на длинк, второй на тплинк.

При этом необходимо оставить доступ к каждому роутеру именно через ip 192.168.0.1

Очень прошу помочь, так как уже всю голову сломал над решением.

 , , , ,

r4w3e5 ()

как правильн заставить squid слушать ip4 порт?

по умолчанию он почему то слушает :::3128 ip6 пробовал вот так http_port 127.0.0.1:3128 но что то тоже не то

 

Regacar ()

Squid и кэш

Собственно поднял на виртуалке squid c аутентификацией пользователей и блокировкой нежелательных сайтов

acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT
auth_param basic program /usr/lib/squid/basic_ncsa_auth /etc/squid/passwd
auth_param basic children 5
auth_param basic realm Squid Basic Authentication
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
acl auth_users proxy_auth REQUIRED
acl bad_urls dstdom_regex -i "/etc/squid/badsites.lst"
http_access deny bad_urls
http_access allow auth_users
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager
http_access allow localhost
http_access deny all
http_port 192.168.4.51:3128
coredump_dir /var/spool/squid
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern .               0       20%     4320


В принципе все работает, возник вопрос по настройке кэша. 
Собственно вопрос - имеет ли смысл использовать кэш на жестком диске cache_dir или достаточно будет кэша в оперативке cache_mem ? 
 

 

drac753 ()

squid и разрешени инета по доменному имени

Доброго времени суток. Вопрос такой.На проксе squid с авторизацией через доменную учетку винды. У нас тут массовые миграции в связи со сменой владельца. Причем миграция вторая за пол года. Первая миграция прошла для сквида незаметно. Тоесть все интернетные пользователи, кто был добавлен в группу с разрешением интернета спокойно так же пользовались инетом. Вторая миграция как-то криво пошла и пока не понятно, на чьей стороне косяк. Вопрос в чем. Я пока добавил комны не по пользователям,а по имени компьютера. (всем не могу открыть - только тем, кому начальство дало добро). Так вот если комп не лукапится в DNS сквид просто падает. А возможно ли просто что бы он игнорил ошибку и дальше работал? Проблемные компы те у кого одна настройка сетевой карты не стоит, в настройках ДНС. Гуглил на эту тему, как правило пишут, что сам сквид пересобрать надо, но что именно изменить для сборки пакета нигде не пишут.ю Мне бы хватило бы и просто, что бы он просто не падал, а эти проьлемные пускай уже звонят, там на их стороне все исправлю. Есть мылси. Или только через перекомпиляцию сквида?

 

deys ()

Squid аутентификация пользователей по имени и паролю

установил apache2-utils, создал в /etc/squid/ файлик passwd для хранения имен и паролей. Задал на него права -rw-r--r-- 1 proxy proxy.

Создаю пользователя 
htpasswd /etc/squid/passwd petrovAA

New password: 
Re-type new password: 
Adding password for user petrovAA

Добавляю в squid.conf
acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT
#Аутентификация пользователей по имени и паролю
auth_param basic program /usr/lib/squid/basic_ncsa_auth /etc/squid/passwd
auth_param basic children 5
auth_param basic realm Squid Basic Authentication
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
acl auth_users proxy_auth REQUIRED
http_access allow auth_users
#Аутентификация пользователей по имени и паролю
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager
http_access allow localhost
http_access deny all
http_port 192.168.4.51:3128
coredump_dir /var/spool/squid
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern .               0       20%     4320

Открываю браузер у клиента ввожу имя ввожу имя и пароль жму ок, опять появляеотся окно ввода имени и пароля
В  access log

1583992401.840      0 192.168.4.77 TCP_DENIED/407 4626 POST http://update.googleapis.com/service/update2? - HIER_NONE/- text/html
1583992486.876      0 192.168.4.77 TCP_DENIED/407 3921 CONNECT armmf.adobe.com:443 - HIER_NONE/- text/html
1583992487.436      0 192.168.4.77 TCP_DENIED/407 3921 CONNECT armmf.adobe.com:443 - HIER_NONE/- text/html
1583992487.765      0 192.168.4.77 TCP_DENIED/407 3921 CONNECT armmf.adobe.com:443 - HIER_NONE/- text/html
1583992488.152      0 192.168.4.77 TCP_DENIED/407 4060 CONNECT armmf.adobe.com:443 - HIER_NONE/- text/html
1583992488.457      0 192.168.4.77 TCP_DENIED/407 3921 CONNECT armmf.adobe.com:443 - HIER_NONE/- text/html
1583992488.849      0 192.168.4.77 TCP_DENIED/407 3921 CONNECT armmf.adobe.com:443 - HIER_NONE/- text/html
1583992489.182      0 192.168.4.77 TCP_DENIED/407 3921 CONNECT armmf.adobe.com:443 - HIER_NONE/- text/html
1583992489.463      0 192.168.4.77 TCP_DENIED/407 4060 CONNECT armmf.adobe.com:443 - HIER_NONE/- text/html

     
Подскажите где ошибка 

 

drac753 ()

Squid и SSL_Bumping

Народ, возникла потребность в отделе настроить проксю, с полной блокировкой доступа в инет кроме узкого списка доменов. Но, что самое главное, прокся должна быть прозрачной. Т.е. просто выбросить страничку что доступ заблокирован и всё. Гугление толку дало мало. Либо вываливает ошибку «The proxy server is refusing connections», либо спокойно пропускает в инет. Ткните носом в рабочий конфиг, может делал кто?

 , , ,

oldpsyho ()

HSTS, Squid3

Кто нибудь сталкивался с проблемой, когда невозможно зайти на сайт, и срабатывает протокол HSTS?

http_port 192.168.0.5:4443    ssl-bump generate-host-certificates=on  dynamic_cert_mem_cache_size=4MB cert=/etc/squid3/squidCA.pem    
key=/etc/squid3/squidCA.pem     
connection-auth=off sslflags=NO_DEFAULT_CA

sslproxy_flags          DONT_VERIFY_PEER
sslproxy_cert_error     allow all
always_direct           allow all
ssl_bump client-first   all
ssl_bump                none all
sslcrtd_program         /usr/lib/squid3/ssl_crtd -s /etc/squid3/ssldb/certs -M 4MB

 ,

Athlos46 ()

Squid3 с подменой сертификатов

Такой вопрос, можно чистить базу сертификатов, который генерирует Squid3? Если можно, то как правильно это сделать

 

Athlos46 ()

Squid3+SquidGuard+DansGuardian

Нужна ваша консультация. Не понятно как работает прокси-сервер при работе Squid3+SquidGuard+DansGuardian, так как блокирует сайты которые есть в белом списке, в настройках конфы посмотрел, там работает без ошибок, обновил базу данных всё ровно и блокирует сайты, такие как google, яндекс, mail. Я все прочитывал очень много много инструкций, но результата нет. А насчёт DasnGuardian не знаю, нужен он или нет в такой связке, да и толком он не настроен, все эти настройки оставили мои предшественники! Я пока чайник в этом

Вот так работает Squid3

squid3.service - LSB: Squid HTTP Proxy version 3.x
   Loaded: loaded (/etc/init.d/squid3)
   Active: active (running) since Сб 2019-04-13 11:44:46 EET; 3s ago
  Process: 12560 ExecStop=/etc/init.d/squid3 stop (code=exited, status=0/SUCCESS)
  Process: 12566 ExecStart=/etc/init.d/squid3 start (code=exited, status=0/SUCCESS)
   CGroup: /system.slice/squid3.service
           ├─  767 /usr/sbin/squid3 -YC -f /etc/squid3/squid.conf
           ├─  769 (squid-1) -YC -f /etc/squid3/squid.conf
           ├─  777 (ssl_crtd) -s /etc/squid3/ssldb/certs -M 4MB -b 4096
           ├─  778 (ssl_crtd) -s /etc/squid3/ssldb/certs -M 4MB -b 4096
           ├─  779 (ssl_crtd) -s /etc/squid3/ssldb/certs -M 4MB -b 4096
           ├─  780 (ssl_crtd) -s /etc/squid3/ssldb/certs -M 4MB -b 4096
           ├─  781 (ssl_crtd) -s /etc/squid3/ssldb/certs -M 4MB -b 4096
           ├─  782 (logfile-daemon) /var/log/squid3/access.log
           ├─  783 (pinger)
           ├─  794 (squidGuard) -c /etc/squid3/squidGuard.conf
           ├─  843 (squidGuard) -c /etc/squid3/squidGuard.conf
           ├─  844 (squidGuard) -c /etc/squid3/squidGuard.conf
           ├─  845 (squidGuard) -c /etc/squid3/squidGuard.conf
           ├─  846 (squidGuard) -c /etc/squid3/squidGuard.conf
           ├─12162 (squidGuard) -c /etc/squid3/squidGuard.conf
           ├─12515 (squidGuard) -c /etc/squid3/squidGuard.conf
           ├─12516 (squidGuard) -c /etc/squid3/squidGuard.conf
           ├─12517 (squidGuard) -c /etc/squid3/squidGuard.conf
           ├─12518 (squidGuard) -c /etc/squid3/squidGuard.conf
           ├─12519 (squidGuard) -c /etc/squid3/squidGuard.conf
           ├─12520 (squidGuard) -c /etc/squid3/squidGuard.conf
           ├─12521 (squidGuard) -c /etc/squid3/squidGuard.conf
           └─12522 (squidGuard) -c /etc/squid3/squidGuard.conf

 , ,

Athlos46 ()

Ошибка Squid

Нужна помощь, Squid3 показывает вот такую ошибку The ssl_crtd helpers are crashing too rapidly, need help! Что делать?


http_port               10.0.0.2:8080       accel
http_port               10.0.0.2:3128       

http_port               192.168.2.2:8080    accel
http_port               192.168.2.2:3128    
#= for Frontends:
http_port               127.0.0.1:3128

http_port               192.168.2.2:4443    ssl-bump    \
                        generate-shost-certificates=on   \
                      dynamic_cert_mem_cache_size=4MB \
                      cert=/etc/squid3/squidCA.pem    \
                       key=/etc/squid3/squidCA.pem     \
                       connection-auth=off             \
                       sslflags=NO_DEFAULT_CA

http_port               10.0.0.2:4443    ssl-bump       \
                       generate-host-certificates=on   \
                        dynamic_cert_mem_cache_size=4MB \
                       cert=/etc/squid3/squidCA.pem    \
                       key=/etc/squid3/squidCA.pem     \
                        connection-auth=off             \
                        sslflags=NO_DEFAULT_CA

sslproxy_flags          DONT_VERIFY_PEER
sslproxy_cert_error     allow all
always_direct           allow all
ssl_bump client-first   all
ssl_bump                none all
#sslcrtd_program         /usr/lib/squid3/ssl_crtd -s /etc/squid3/ssldb/certs -M 4MB

pid_filename            /var/run/squid.pid
hosts_file              /etc/hosts
error_directory         /usr/share/squid3/errors/templates
visible_hostname        none
dns_nameservers         77.88.8.7


tcp_outgoing_address    192.168.2.2 all
dns_v4_first            on

#logfile_rotate          1
#access_log              stdio:/var/log/squid3/access.log squid
#cache_store_log         stdio:/var/log/squid3/store.log
#cache_log               /var/log/squid3/cache.log

#logfile_daemon          /usr/lib/squid3/log_file_daemon
cache_mem                           512 MB
maximum_object_size                 512 KB
maximum_object_size_in_memory   512 KB
memory_replacement_policy       heap    GDSF
request_header_access           X-Forwarded-For deny    all
request_header_access           Via             deny    all
request_header_access           Cache-Control   deny    all
follow_x_forwarded_for                                  allow   all
acl_uses_indirect_client                on
delay_pool_uses_indirect_client on
log_uses_indirect_client                on
forwarded_for                   on

redirect_program        /usr/bin/squidGuard     -c /etc/squid3/squidGuard.conf
redirect_children       16
redirector_bypass       on

 

Programensh ()

Squid и Telegram

Гайз, нужна помощь, подскажите куда копать. Есть squid 3.5 (не прозрачный), в iptables перенаправленный порт 443 на 3128. Все хорошо работает кроме мобильных мессенджеров (не подключаются к сети), именно мобильные версии, к примеру десктопная версия телеги нормально работает.

 

vbodia ()