Lipetsk *nix Association Forum Lipetsk *nix Association Forum
Новости:
 
*
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?
28 Марта 2024, 14:44:56


Войти


Страниц: [1]   Вниз
  Печать  
Автор Тема: FreeBSD 11+squid 4.5 прозрачное проксирование с подменой сертификата  (Прочитано 24959 раз)
0 Пользователей и 1 Гость смотрят эту тему.
wrag
Небритый одмин
*****

Карма: 0
Сообщений: 673


ОС:
Windows 7 Windows 7
Браузер:
Chrome 71.0.3578.99 Chrome 71.0.3578.99


Награды
« : 01 Марта 2019, 08:43:34 »

Код:
2019/03/01 08:41:29 kid1| Squid plugin modules loaded: 0
2019/03/01 08:41:29 kid1| Adaptation support is off.
2019/03/01 08:41:29 kid1| Accepting NAT intercepted HTTP Socket connections at local=127.0.0.1:3128 remote=[::] FD 27 flags=41
2019/03/01 08:41:29 kid1| Accepting HTTP Socket connections at local=127.0.0.1:3130 remote=[::] FD 28 flags=9
2019/03/01 08:41:29 kid1| Accepting NAT intercepted SSL bumped HTTPS Socket connections at local=127.0.0.1:3129 remote=[::] FD 29 flags=41
2019/03/01 08:41:29 kid1| Done reading /var/squid/cache swaplog (0 entries)
2019/03/01 08:41:29 kid1| Store rebuilding is 0.00% complete
2019/03/01 08:41:29 kid1| Finished rebuilding storage from disk.
2019/03/01 08:41:29 kid1|         0 Entries scanned
2019/03/01 08:41:29 kid1|         0 Invalid entries.
2019/03/01 08:41:29 kid1|         0 With invalid flags.
2019/03/01 08:41:29 kid1|         0 Objects loaded.
2019/03/01 08:41:29 kid1|         0 Objects expired.
2019/03/01 08:41:29 kid1|         0 Objects cancelled.
2019/03/01 08:41:29 kid1|         0 Duplicate URLs purged.
2019/03/01 08:41:29 kid1|         0 Swapfile clashes avoided.
2019/03/01 08:41:29 kid1|   Took 0.01 seconds (  0.00 objects/sec).
2019/03/01 08:41:29 kid1| Beginning Validation Procedure
2019/03/01 08:41:29 kid1|   Completed Validation Procedure
2019/03/01 08:41:29 kid1|   Validated 0 Entries
2019/03/01 08:41:29 kid1|   store_swap_size = 0.00 KB
2019/03/01 08:41:29 kid1| WARNING: /usr/local/libexec/squid/ssl_crtd -s /var/log/squid/ssl_db -M 4MB #Hlpr1 exited
2019/03/01 08:41:29 kid1| Too few /usr/local/libexec/squid/ssl_crtd -s /var/log/squid/ssl_db -M 4MB processes are running (need 1/32)
2019/03/01 08:41:29 kid1| Closing HTTP(S) port 127.0.0.1:3128
2019/03/01 08:41:29 kid1| Closing HTTP(S) port 127.0.0.1:3130
2019/03/01 08:41:29 kid1| Closing HTTP(S) port 127.0.0.1:3129
2019/03/01 08:41:29 kid1| storeDirWriteCleanLogs: Starting...
2019/03/01 08:41:29 kid1|   Finished.  Wrote 0 entries.
2019/03/01 08:41:29 kid1|   Took 0.00 seconds (  0.00 entries/sec).
2019/03/01 08:41:29 kid1| FATAL: The /usr/local/libexec/squid/ssl_crtd -s /var/log/squid/ssl_db -M 4MB helpers are crashing too rapidly, need help!

2019/03/01 08:41:29 kid1| Squid Cache (Version 4.5): Terminated abnormally.
CPU Usage: 0.043 seconds = 0.021 user + 0.021 sys
Maximum Resident Size: 202784 KB
Page faults with physical i/o: 0
2019/03/01 08:41:29| WARNING: BCP 177 violation. IPv6 transport forced OFF by build parameters.
2019/03/01 08:41:29| pinger: Initialising ICMP pinger ...
2019/03/01 08:41:29| pinger: ICMP socket opened.
2019/03/01 08:41:39| Pinger exiting.

Добавлено: [time]Пт 01 мар 2019 09:41:43[/time]
Цитировать
У вас:
FATAL: The /usr/local/libexec/squid/ssl_crtd
В сквиде 4.5 заменили на:
#sslcrtd_program /usr/local/libexec/squid/security_file_certgen
Разово инициализировать базу:
КОД: ВЫДЕЛИТЬ ВСЁ

#sslcrtd_program /usr/local/libexec/squid/security_file_certgen -c -s /var/squid/cache/ssl_db -M 4MB
В конфиге использовать без параметра
КОД: ВЫДЕЛИТЬ ВСЁ



теперь вроде стартует

Код:
2019/03/01 09:32:36 kid1| Pinger socket opened on FD 31
2019/03/01 09:32:36 kid1| Squid plugin modules loaded: 0
2019/03/01 09:32:36 kid1| Adaptation support is off.
2019/03/01 09:32:36 kid1| Accepting NAT intercepted HTTP Socket connections at local=127.0.0.1:3128 remote=[::] FD 27 flags=41
2019/03/01 09:32:36 kid1| Accepting HTTP Socket connections at local=127.0.0.1:3130 remote=[::] FD 28 flags=9
2019/03/01 09:32:36 kid1| Accepting NAT intercepted SSL bumped HTTPS Socket connections at local=127.0.0.1:3129 remote=[::] FD 29 flags=41
2019/03/01 09:32:36 kid1| Done reading /var/squid/cache swaplog (0 entries)
2019/03/01 09:32:36 kid1| Store rebuilding is 0.00% complete
2019/03/01 09:32:36 kid1| Finished rebuilding storage from disk.
2019/03/01 09:32:36 kid1|         0 Entries scanned
2019/03/01 09:32:36 kid1|         0 Invalid entries.
2019/03/01 09:32:36 kid1|         0 With invalid flags.
2019/03/01 09:32:36 kid1|         0 Objects loaded.
2019/03/01 09:32:36 kid1|         0 Objects expired.
2019/03/01 09:32:36 kid1|         0 Objects cancelled.
2019/03/01 09:32:36 kid1|         0 Duplicate URLs purged.
2019/03/01 09:32:36 kid1|         0 Swapfile clashes avoided.
2019/03/01 09:32:36 kid1|   Took 0.01 seconds (  0.00 objects/sec).
2019/03/01 09:32:36 kid1| Beginning Validation Procedure
2019/03/01 09:32:36 kid1|   Completed Validation Procedure
2019/03/01 09:32:36 kid1|   Validated 0 Entries
2019/03/01 09:32:36 kid1|   store_swap_size = 0.00 KB
2019/03/01 09:32:36| WARNING: BCP 177 violation. IPv6 transport forced OFF by build parameters.
2019/03/01 09:32:36| pinger: Initialising ICMP pinger ...
2019/03/01 09:32:36| pinger: ICMP socket opened.
2019/03/01 09:32:37 kid1| storeLateRelease: released 0 objects
2019/03/01 09:33:30| Set Current Directory to /var/squid/cache
2019/03/01 09:33:30 kid1| Preparing for shutdown after 0 requests
2019/03/01 09:33:30 kid1| Waiting 30 seconds for active connections to finish
2019/03/01 09:33:30 kid1| Closing HTTP(S) port 127.0.0.1:3128
2019/03/01 09:33:30 kid1| Closing HTTP(S) port 127.0.0.1:3130
2019/03/01 09:33:30 kid1| Closing HTTP(S) port 127.0.0.1:3129
2019/03/01 09:33:30 kid1| Closing Pinger socket on FD 31
2019/03/01 09:33:36| Pinger exiting.
2019/03/01 09:34:01 kid1| Shutdown: NTLM authentication.
2019/03/01 09:34:01 kid1| Shutdown: Negotiate authentication.
2019/03/01 09:34:01 kid1| Shutdown: Digest authentication.
2019/03/01 09:34:01 kid1| Shutdown: Basic authentication.
2019/03/01 09:34:01 kid1| Shutting down...
2019/03/01 09:34:01 kid1| Closing unlinkd pipe on FD 24
2019/03/01 09:34:01 kid1| storeDirWriteCleanLogs: Starting...
2019/03/01 09:34:01 kid1|   Finished.  Wrote 0 entries.
2019/03/01 09:34:01 kid1|   Took 0.00 seconds (  0.00 entries/sec).
CPU Usage: 0.056 seconds = 0.022 user + 0.034 sys
Maximum Resident Size: 204736 KB
Page faults with physical i/o: 0
2019/03/01 09:34:01 kid1| Logfile: closing log daemon:/var/log/squid/access.log
2019/03/01 09:34:01 kid1| Logfile Daemon: closing log daemon:/var/log/squid/access.log
2019/03/01 09:34:01 kid1| Open FD UNSTARTED     9 security_file_certgen #1
2019/03/01 09:34:01 kid1| Open FD UNSTARTED    11 security_file_certgen #2
2019/03/01 09:34:01 kid1| Open FD UNSTARTED    13 security_file_certgen #3
2019/03/01 09:34:01 kid1| Open FD UNSTARTED    15 security_file_certgen #4
2019/03/01 09:34:01 kid1| Open FD UNSTARTED    17 security_file_certgen #5
2019/03/01 09:34:01 kid1| Open FD UNSTARTED    19 IPC UNIX STREAM Parent
2019/03/01 09:34:01 kid1| Squid Cache (Version 4.5): Exiting normally.
2019/03/01 09:34:01| Removing PID file (/var/run/squid/squid.pid)

Добавлено: 01 Марта 2019, 10:13:28
В общем в режиме service squid onestart запущен не валиться и ошибок не пишет.


Добавлено: 01 Марта 2019, 10:56:09
так как нужно прозрачное проксирование с подменой сертификата то хотелось бы получить советы и рекомендации по настройке конфига скуид 4.5!

Добавлено: 01 Марта 2019, 14:29:46
распишу мысли по конфигу:


\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\
# блок который был (разбираем объявление прозрачности с подменой сертификата)
always_direct allow all
sslproxy_cert_error allow all
tls_outgoing_options flags=DONT_VERIFY_PEER
acl blocked ssl::server_name  "/usr/local/etc/squid/blocked_https.txt"
acl step1 at_step SslBump1
ssl_bump peek step1
ssl_bump terminate blocked
ssl_bump splice all
\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\



# как выяснили в данном блоке вроде все нормально ошибок при старте не дает, но не понятно, что же дают опции
# options=ALL:NO_SSLv3:NO_SSLv2 connection-auth=off по идее если мы делаем подмену то теоретически должны быть опции
# генерирования сертификата и его подмены относительно портов стандарта https ибо они прячутся.

http_port 127.0.0.1:3128 intercept
http_port 127.0.0.1:3130
https_port 127.0.0.1:3129 intercept ssl-bump options=ALL:NO_SSLv3:NO_SSLv2 connection-auth=off cert=/usr/local/etc/squid/squidCA.pem
#  нашел пример но в нем почему-то порты http
#   http_port 3128 ssl-bump cert=/usr/local/etc/squid/ssl/squidCA.pem generate-host-certificates=on dynamic_cert_mem_cache_size=16MB

# Принимаем сертификаты, даже если они не прошли проверку.
always_direct allow all
sslproxy_cert_error allow all
# неведомая хрень позже посмотрю что делает закомментирую пока что ? ? ? ? ? ? ? ? ? ? ? ? ? ?
# tls_outgoing_options flags=DONT_VERIFY_PEER

# Укажем список блокируемых ресурсов (в файле домены вида .domain.com) и правила блокировки их
   
   acl blocked ssl::server_name  "/usr/local/etc/squid/blocked_https.txt"

# Закрываем соединение, если клиент заходит на ресурс указанные в blocked
# краткая справка:
# И для каждого из этих этапов можно определить, что Squid будет делать c запросами клиентов:
# splice - пропустить все последующие действия, т.е. просто поднимаем TCP-туннель, словно и нет никакого ssl-bump
# peek — подсмотреть всю доступную информацию без "влезания" в соединение
# terminate — закрыть соединение
# bump — "влезть" в соединение, сделать https видимым как http
# SslBump1 - получение открытой информации о соединении (из сертификатов и http-запроса);
# SslBump2 - передача Hello info клиента (создание соединения с сервером);
# SslBump3 - получение Hello info сервера (создание соединения с клиентом).

# Cоздаем acl с шагами bump. Странный блок сам по себе, если мы хотим видеть все соединения расшифрованными,
#  то вероятно по иному выглядеть должны, по идее заменить в нем peek  и splice на bump:


   acl step1 at_step SslBump1  # создать еще правило  с именем step1 для получения открытой информацией
   ssl_bump peek step1         # подсмотреть всю доступную информацию без "влезания" в соединение ---- вопрос почему не bump???
   ssl_bump terminate blocked  #  здесь блочить все что указано в файле в правиле blocked см. выше
   ssl_bump splice all         #  пропустить все последующие действия для всех. ---- вопрос почему не bump???

# Настраиваем хелпер генерации сертификатов для сайтов в инструкции указано что лучше увелить размер базы  16MB
# и добавить строку sslcrtd_children 50 startup=10 idle=10

sslcrtd_program /usr/local/libexec/squid/security_file_certgen -s /var/log/squid/ssl_db -M 4MB
sslcrtd_children 50 startup=10 idle=10

\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\
# блок который по идее должен принять вид, но первые три строки у всех мануалов разняться. что правильно сюда писать?
http_port 127.0.0.1:3128 intercept
http_port 127.0.0.1:3130
https_port 127.0.0.1:3129 intercept ssl-bump options=ALL:NO_SSLv3:NO_SSLv2 connection-auth=off cert=/usr/local/etc/squid/squidCA.pem

always_direct allow all
sslproxy_cert_error allow all

acl blocked ssl::server_name  "/usr/local/etc/squid/blocked_https.txt"
acl step1 at_step SslBump1 
   ssl_bump peek step1
        ssl_bump bump all   
   ssl_bump terminate blocked 

sslcrtd_program /usr/local/libexec/squid/security_file_certgen -s /var/log/squid/ssl_db -M 4MB
sslcrtd_children 50 startup=10 idle=10
\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\    
« Последнее редактирование: 01 Марта 2019, 14:29:46 от wrag » Записан

живущий в консоли
начальник отдела системотехники Люцифеp
Страниц: [1]   Вверх
  Печать  
 
Перейти в:  

Powered by MySQL Powered by PHP Powered by SMF 1.1.21 | SMF © 2011, Simple Machines

Valid XHTML 1.0! Valid CSS! Dilber MC Theme by HarzeM