Lipetsk *nix Association Forum Lipetsk *nix Association Forum
Новости:
 
Начало Помощь Поиск Войти Регистрация
*
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации? 		25 Апреля 2024, 08:38:33


Войти


Lipetsk *nix Association Forum > Общие вопросы > Администрирование > Тема: FreeBSD 11+squid 4.5 прозрачное проксирование с подменой сертификата > Тема: Сообщение #23684
Страниц: [1]   Вниз
« предыдущая тема следующая тема »
  Печать  
Автор Тема: FreeBSD 11+squid 4.5 прозрачное проксирование с подменой сертификата  (Прочитано 30298 раз)
0 Пользователей и 1 Гость смотрят эту тему.
wrag
Небритый одмин
*****

Карма: 0
Сообщений: 673


ОС:
Windows 7 Windows 7
Браузер:
Chrome 72.0.3626.109 Chrome 72.0.3626.109


Награды
« : 13 Марта 2019, 16:40:11 »
в общем конфиг такой:
Код:
acl localnet src 192.168.88.0/24
acl deny_users src "/usr/local/etc/squid/deny_user"

acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT

visible_hostname xxxxxxxx.loc
dns_nameservers хх.хх.хх.хх

# Recommended minimum configuration:

http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager
http_access allow localnet
http_access allow localhost
http_access deny all

# прозрачность

http_port 127.0.0.1:3128 intercept 
http_port 127.0.0.1:3130 
https_port 127.0.0.1:3129 intercept ssl-bump options=ALL:NO_SSLv3:NO_SSLv2 connection-auth=off cert=/usr/local/etc/squid/squidCA.pem


always_direct allow all
sslproxy_cert_error allow all


# блокировка сайтов из файла blocked_https.txt

acl blocked ssl::server_name  "/usr/local/etc/squid/blocked_https.txt"
acl step1 at_step SslBump1
ssl_bump peek step1
ssl_bump terminate blocked deny_users
ssl_bump bump all

sslcrtd_program /usr/local/libexec/squid/security_file_certgen -s /var/log/squid/ssl_db -M 4MB
cache_dir ufs /var/squid/cache 100 16 256

# дальше не менялось

coredump_dir /var/squid/cache

#
# Add any of your own refresh_pattern entries above these.
#
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|?) 0     0%      0
refresh_pattern .               0       20%     4320


ошибок на сервере нет,
 при попытке выйти через комп  с прописанным в настройках мозилы прокси:

Прокси-сервер отказывается принимать соединения
Firefox настроен на использование прокси-сервера, который отказывает в соединении.
а в access.log пишет:
Код:


1549896253.352      0 139.162.102.46 TAG_NONE/400 4421 NONE error:invalid-request - HIER_NONE/- text/html
1549896261.013   1742 139.162.102.46 TCP_DENIED/403 4010 GET http://clientapi.ipip.net/echo.php? - HIER_NONE/- text/html
1549896277.353      0 139.162.102.46 TCP_DENIED/403 3928 GET http://213.109.8.37:3128/ - HIER_NONE/- text/html
1549898136.413      0 185.120.188.220 TAG_NONE/400 3940 ^C mstshash=hello - HIER_NONE/- text/html
1549900843.111      0 185.120.188.220 TAG_NONE/400 3940 ^C mstshash=hello - HIER_NONE/- text/html
1549903011.437      0 46.161.27.52 TAG_NONE/400 3935 ^C mstshash=Test - HIER_NONE/- text/html
1549903011.533      0 46.161.27.52 TAG_NONE/400 3935 ^C mstshash=Test - HIER_NONE/- text/html
1549903590.748      0 185.120.188.220 TAG_NONE/400 3940 ^C mstshash=hello - HIER_NONE/- text/html
1549906296.417      0 185.120.188.220 TAG_NONE/400 3940 ^C mstshash=hello - HIER_NONE/- text/html
1549909001.853      0 185.120.188.220 TAG_NONE/400 3940 ^C mstshash=hello - HIER_NONE/- text/html
1549911701.751      0 185.120.188.220 TAG_NONE/400 3940 ^C mstshash=hello - HIER_NONE/- text/html
1549914407.038      0 185.120.188.220 TAG_NONE/400 3940 ^C mstshash=hello - HIER_NONE/- text/html
1549917106.225      0 185.120.188.220 TAG_NONE/400 3940 ^C mstshash=hello - HIER_NONE/- text/html
1549919804.441      0 185.120.188.220 TAG_NONE/400 3940 ^C mstshash=hello - HIER_NONE/- text/html
1549922502.777      0 185.120.188.220 TAG_NONE/400 3940 ^C mstshash=hello - HIER_NONE/- text/html
1549925207.102      0 185.120.188.220 TAG_NONE/400 3940 ^C mstshash=hello - HIER_NONE/- text/html
1549926847.544      0 223.105.4.249 TCP_DENIED/200 0 CONNECT 213.109.8.37:3129 - HIER_NONE/- -
1549926883.504      0 223.105.4.249 TCP_DENIED/403 4220 GET http://112.35.63.31:10083/index.php - HIER_NONE/- text/html
1549927520.831      0 91.123.157.56 TCP_DENIED/403 4058 GET http://ipdb-bot.ru/HttpRequest/spider3.ashx? - HIER_NONE/- text/html
1549927521.783    951 91.123.157.56 TCP_DENIED/403 4058 GET http://ipdb-bot.ru/HttpRequest/spider3.ashx? - HIER_NONE/- text/html
1549927841.656      0 172.104.100.117 TCP_DENIED/403 3946 GET http://213.109.8.37:3128/ - HIER_NONE/- text/html
1549927904.727      0 185.120.188.220 TAG_NONE/400 3940 ^C mstshash=hello - HIER_NONE/- text/html
1549930602.675      0 185.120.188.220 TAG_NONE/400 3940 ^C mstshash=hello - HIER_NONE/- text/html
1549933300.007      0 185.120.188.220 TAG_NONE/400 3940 ^C mstshash=hello - HIER_NONE/- text/html
1549935999.096      0 185.120.188.220 TAG_NONE/400 3940 ^C mstshash=hello - HIER_NONE/- text/html
1549938699.466      0 185.120.188.220 TAG_NONE/400 3940 ^C mstshash=hello - HIER_NONE/- text/html
1549941394.071      0 185.120.188.220 TAG_NONE/400 3940 ^C mstshash=hello - HIER_NONE/- text/html
1549944087.932      0 185.120.188.220 TAG_NONE/400 3940 ^C mstshash=hello - HIER_NONE/- text/html
1549946787.897      0 185.120.188.220 TAG_NONE/400 3940 ^C mstshash=hello - HIER_NONE/- text/html
1549949486.596      0 185.120.188.220 TAG_NONE/400 3940 ^C mstshash=hello - HIER_NONE/- text/html
1549952184.943      0 185.120.188.220 TAG_NONE/400 3940 ^C mstshash=hello - HIER_NONE/- text/html
1549954888.015      0 185.120.188.220 TAG_NONE/400 3940 ^C mstshash=hello - HIER_NONE/- text/html
1549957593.142      0 185.120.188.220 TAG_NONE/400 3940 ^C mstshash=hello - HIER_NONE/- text/html


Добавлено: 14 Марта 2019, 12:51:38
В общем теперь пускает в интернет через прокси сервер порт 3130 после прописывания в браузере, поправил конфиг.

Есть два куска запрещающие выход на сайты, но почему-то
не работает вот этот кусок:
Код:
acl block1ssl ssl::server_name "/usr/local/etc/squid/blocklist"
acl step1 at_step SslBump1
ssl_bump peek step1
ssl_bump terminate block1ssl
ssl_bump splice !deny_users

блокировка сайтов появляется после добавления правила:

Код:
http_access deny block1 deny_users

где block1  -----acl block1 url_regex -i "/usr/local/etc/squid/blocklist"  # список сайтов под блокировку
      deny_users ----acl deny_users src "/usr/local/etc/squid/deny_user" # список компов с блокировкой
« Последнее редактирование: 14 Марта 2019, 12:54:58 от wrag » Записан
живущий в консоли
начальник отдела системотехники Люцифеp
Страниц: [1]   Вверх
  Печать  
Lipetsk *nix Association Forum > Общие вопросы > Администрирование > Тема: FreeBSD 11+squid 4.5 прозрачное проксирование с подменой сертификата > Тема: Сообщение #23684
 « предыдущая тема следующая тема »
 
Перейти в:  

Powered by MySQL Powered by PHP Powered by SMF 1.1.21 | SMF © 2011, Simple Machines

Valid XHTML 1.0! Valid CSS! Dilber MC Theme by HarzeM