Сообщение #23685

[wrag]

пока конфиг выглядит так:
 

Код:

acl localnet src 192.168.88.0/24
acl deny_users src "/usr/local/etc/squid/deny_user"
acl block1 url_regex -i "/usr/local/etc/squid/blocklist"


# временно закрыл в дальнейшие правила, добавлю для более тонкой настройки правил фильтрации позже
# acl allow_users src "/usr/local/etc/squid/allow_user"
# acl boss_users src "/usr/local/etc/squid/boss_user"
# acl block2 url_regex -i "/usr/local/etc/squid/blocked_https.txt"


acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT

visible_hostname some_name.loc
dns_nameservers xx.xx.xx.xx

# Recommended minimum Access Permission configuration:

http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager

# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
http_access deny block1 deny_users  # или обратное правило можно всем кроме deny_users  ---- http_access allow block1 !deny_users
http_access allow localnet
http_access allow localhost
http_access deny all

# Squid  port 3128

http_port 192.168.88.1:3128 intercept
http_port 192.168.88.1:3130
https_port 192.168.88.1:3129 intercept ssl-bump options=ALL:NO_SSLv3:NO_SSLv2 connection-auth=off cert=/usr/local/etc/squid/squidCA.pem



always_direct allow all
sslproxy_cert_error allow all


acl block1ssl ssl::server_name "/usr/local/etc/squid/blocklist"
acl step1 at_step SslBump1
ssl_bump peek step1
ssl_bump terminate block1ssl
ssl_bump splice !deny_users


sslcrtd_program /usr/local/libexec/squid/security_file_certgen -s /var/log/squid/ssl_db -M 16MB
cache_dir ufs /var/squid/cache 100 16 256

дальше не менял
Добавлено: 19 Марта 2019, 15:43:40скрипт управления файрволом насколько верно завернут трафик на скуид?:

#!/bin/sh
cmd="ipfw -q add"                                                          #  переменная для задания команды файрволу
ipfw -q -f flush                                                               # сброс старых правил
ks="keep-state"                                                              # пока не ясно зачем
$cmd 100 allow ip from any to any
$cmd 120 fwd 127.0.0.1,3128 tcp from 192.168.88.0/24 to any 80 out via re0 $ks  # вместо 127.0.0.1 возможно прописать внутренний адрес 192.168.88.251
$cmd 121 fwd 127.0.0.1,3129 tcp from 192.168.88.0/24 to any 443 out via re0 $ks
$cmd 124 divert natd ip from any to any via re0