пока конфиг выглядит так:
acl localnet src 192.168.88.0/24
acl deny_users src "/usr/local/etc/squid/deny_user"
acl block1 url_regex -i "/usr/local/etc/squid/blocklist"
# временно закрыл в дальнейшие правила, добавлю для более тонкой настройки правил фильтрации позже
# acl allow_users src "/usr/local/etc/squid/allow_user"
# acl boss_users src "/usr/local/etc/squid/boss_user"
# acl block2 url_regex -i "/usr/local/etc/squid/blocked_https.txt"
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
visible_hostname some_name.loc
dns_nameservers xx.xx.xx.xx
# Recommended minimum Access Permission configuration:
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
http_access deny block1 deny_users # или обратное правило можно всем кроме deny_users ---- http_access allow block1 !deny_users
http_access allow localnet
http_access allow localhost
http_access deny all
# Squid port 3128
http_port 192.168.88.1:3128 intercept
http_port 192.168.88.1:3130
https_port 192.168.88.1:3129 intercept ssl-bump options=ALL:NO_SSLv3:NO_SSLv2 connection-auth=off cert=/usr/local/etc/squid/squidCA.pem
always_direct allow all
sslproxy_cert_error allow all
acl block1ssl ssl::server_name "/usr/local/etc/squid/blocklist"
acl step1 at_step SslBump1
ssl_bump peek step1
ssl_bump terminate block1ssl
ssl_bump splice !deny_users
sslcrtd_program /usr/local/libexec/squid/security_file_certgen -s /var/log/squid/ssl_db -M 16MB
cache_dir ufs /var/squid/cache 100 16 256
дальше не менял
Добавлено: 19 Марта 2019, 15:43:40
скрипт управления файрволом насколько верно завернут трафик на скуид?:
#!/bin/sh
cmd="ipfw -q add" # переменная для задания команды файрволу
ipfw -q -f flush # сброс старых правил
ks="keep-state" # пока не ясно зачем
$cmd 100 allow ip from any to any
$cmd 120 fwd 127.0.0.1,3128 tcp from 192.168.88.0/24 to any 80 out via re0 $ks # вместо 127.0.0.1 возможно прописать внутренний адрес 192.168.88.251
$cmd 121 fwd 127.0.0.1,3129 tcp from 192.168.88.0/24 to any 443 out via re0 $ks
$cmd 124 divert natd ip from any to any via re0