Сообщение #23660

[wrag]

В целом после долгих мучений, пришел выводу, что связка ubuntu 17 и squid 4 устанваливаются без проблем, если squid  версия 4.0.21. Ушел с виртуалки и переставил на реальное железо, единственное, что изменилось в  команде ./configure убрал icmp с ним не стартует кальмар. Установка прошла успешно и кальмар стартует вполне норм (правда почему-то через  /usr/local/squid/sbin/squid  а не /etc/init.d/squid). Прописал базовый конфиг, блокировка сайтов, в том числе соц. сетей, вполне уверенно держится, правда блокировка https организовал не совсем тру методом, при обращении к данным адресам, блокирую не сайт, а метод CONNECT.

# моя сеть
acl mynet src 192.168.88.0/24           # my local net
# ------правила для списков-------
#my acl
acl boss_user src "/etc/squid/goodip"
acl other_user src "/etc/squid/badip"
acl BlockUrlList dstdomain "/etc/squid/blocklist"
acl httpsfail dst "/etc/squid/brainfuck"
# ------правила блокировки-------
http_access deny httpsfail CONNECT !boss_user
http_access deny BlockUrlList !boss_user
http_access deny other_user BlockUrlList
http_access deny BlockUrlList

http_access allow mynet

Вопрос, местами в статьях встречал, что для корректной фильтрации трафика, должен быть днс установлен на той же машине, что и кальмар. Насколько верно данное утверждение?

Теперь же нужно прозрачное проксирование, так как нет никаких сервисов централизующих в сети управление пользователями, будет схема микротик редиректит весь трафик на кальмара, а уже он решает кого пускать, кого нет, в дальнейшем переход на две сетевые на одной внешка на второй внутренняя сеть.

Добавлено: 26 Декабря 2017, 11:48:19возвращаясь к вопросу прозрачности:
практически из примера в пример качюет без изменений блоки настроек:
первый блок:
acl localnet src 192.168.1.0/24   # RFC1918 possible internal network

acl SSL_ports port 443
acl Safe_ports port 80      # http
acl Safe_ports port 21      # ftp
acl Safe_ports port 443      # https
acl Safe_ports port 70      # gopher
acl Safe_ports port 210      # wais
acl Safe_ports port 1025-65535   # unregistered ports
acl Safe_ports port 280      # http-mgmt
acl Safe_ports port 488      # gss-http
acl Safe_ports port 591      # filemaker
acl Safe_ports port 777      # multiling http
acl CONNECT method CONNECT

dns_nameservers 8.8.8.8
http_access deny !Safe_ports

http_access deny CONNECT !SSL_ports

http_access allow localhost manager
http_access deny manager

http_access allow localnet
http_access allow localhost
http_access deny all

последний блок:
coredump_dir /var/spool/squid
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320
cache_dir aufs /var/spool/squid 20000 49 256
maximum_object_size 61440 KB
minimum_object_size 3 KB
cache_swap_low 90
cache_swap_high 95
maximum_object_size_in_memory 512 KB
memory_replacement_policy lru
logfile_rotate 4
далее возможны различия, например строка:
shutdown_lifetime 1 second



Далее как всеже верно создать сертификат?

В одной инструкции подготовка корневого сертификата:

Теперь генерируем корневой сертификат собственного CA (Центра сертификации) на основе которого будут подписываться сертификаты для сайтов:
 
$ cd /etc/squid/ssl #(судя по всему нужно создать дополнительную папку )
$ sudo openssl genrsa -out /etc/squid/ssl/squid.key
$ sudo openssl req -new -key /etc/squid/ssl/squid.key -out /etc/squid/ssl/squid.csr
$ sudo openssl x509 -req -days 3650 -in /etc/squid/ssl/squid.csr -signkey /etc/squid/ssl/squid.key -out /etc/squid/ssl/squid.pem

Генерируем корневой сертификат который затем нужно будет добавить в браузер:
sudo openssl x509 -in /etc/squid/ssl/squid.pem -outform DER -out squid.der

Либо по хабру достаточно одного сертификата:
openssl req -new -newkey rsa:1024 -days 365 -nodes -x509 -keyout squidCA.pem -out squidCA.pem
при этом методе запрашиваются некоторые параметры в том числе полное имя машины можно ip адрес.

При том поддержка ssl2 & ssl3 в кальмаре4 убрана - цитата:
A new option tls-min-version=1.N is added in place of sslversion= to configure the minimum version the TLS negotiation will allow to be used when an old TLS version is requested by the remote endpoint.

The system Trusted CAs are no longer used by default when verifying client certificates. The cafile= option should be used instead to load the specific CA which signed acceptible client certificates explicitly, even if that CA is one of the system Trusted CAs. The tls-default-ca option can be used to restore the old behaviour explicitly if needed.

То есть, как я понял, нужны иные настройки для кальмара4, чем в приведенных в свободном доступе статьях.
Минимум нужно прописать прозрачность, но хз как верно оформить правило.

Изначальный вариант для кальмара 3.5
http_port 192.168.1.254:3128 intercept options=NO_SSLv3:NO_SSLv2
http_port 192.168.1.254:3130 options=NO_SSLv3:NO_SSLv2
https_port 192.168.1.254:3129 intercept ssl-bump options=ALL:NO_SSLv3:NO_SSLv2 connection-auth=off cert=/etc/squid/squidCA.pem


далее практически без изменений (за исключением названия правил и имен файлов)
always_direct allow all
sslproxy_cert_error allow all
sslproxy_flags DONT_VERIFY_PEER
acl blocked ssl::server_name  "/etc/squid/blocked_https.txt"
acl step1 at_step SslBump1
ssl_bump peek step1
ssl_bump terminate blocked
ssl_bump splice all
sslcrtd_program /usr/lib/squid/ssl_crtd -s /var/lib/ssl_db -M 4MB


Учитывая, что уже блокируем ресурсы в том числе и https, осталось тупо включить прозрачность на кальмаре4:
Хелп!!! как сделать прозрачность?


Добавил следущее:
http_port 192.168.88.254:3128 intercept options=NO_SSLv3:NO_SSLv2
http_port 192.168.88.254:3130 options=NO_SSLv3:NO_SSLv2
https_port 192.168.88.254:3129 intercept ssl-bump options=ALL:NO_SSLv3:NO_SSLv2 connection-auth=off cert=/etc/squid/squidCA.pem

always_direct allow all
sslproxy_cert_error allow all
sslproxy_flags DONT_VERIFY_PEER

Получил на выходе:
 /etc/init.d/squid status
2017/12/26 11:45:39| ERROR: Directive 'sslproxy_flags' is obsolete.
FATAL: No valid signing SSL certificate configured for HTTP_port 192.168.88.254:3128
Squid Cache (Version 4.0.21): Terminated abnormally.