2019/03/01 08:41:29 kid1| Squid plugin modules loaded: 0
2019/03/01 08:41:29 kid1| Adaptation support is off.
2019/03/01 08:41:29 kid1| Accepting NAT intercepted HTTP Socket connections at local=127.0.0.1:3128 remote=[::] FD 27 flags=41
2019/03/01 08:41:29 kid1| Accepting HTTP Socket connections at local=127.0.0.1:3130 remote=[::] FD 28 flags=9
2019/03/01 08:41:29 kid1| Accepting NAT intercepted SSL bumped HTTPS Socket connections at local=127.0.0.1:3129 remote=[::] FD 29 flags=41
2019/03/01 08:41:29 kid1| Done reading /var/squid/cache swaplog (0 entries)
2019/03/01 08:41:29 kid1| Store rebuilding is 0.00% complete
2019/03/01 08:41:29 kid1| Finished rebuilding storage from disk.
2019/03/01 08:41:29 kid1| 0 Entries scanned
2019/03/01 08:41:29 kid1| 0 Invalid entries.
2019/03/01 08:41:29 kid1| 0 With invalid flags.
2019/03/01 08:41:29 kid1| 0 Objects loaded.
2019/03/01 08:41:29 kid1| 0 Objects expired.
2019/03/01 08:41:29 kid1| 0 Objects cancelled.
2019/03/01 08:41:29 kid1| 0 Duplicate URLs purged.
2019/03/01 08:41:29 kid1| 0 Swapfile clashes avoided.
2019/03/01 08:41:29 kid1| Took 0.01 seconds ( 0.00 objects/sec).
2019/03/01 08:41:29 kid1| Beginning Validation Procedure
2019/03/01 08:41:29 kid1| Completed Validation Procedure
2019/03/01 08:41:29 kid1| Validated 0 Entries
2019/03/01 08:41:29 kid1| store_swap_size = 0.00 KB
2019/03/01 08:41:29 kid1| WARNING: /usr/local/libexec/squid/ssl_crtd -s /var/log/squid/ssl_db -M 4MB #Hlpr1 exited
2019/03/01 08:41:29 kid1| Too few /usr/local/libexec/squid/ssl_crtd -s /var/log/squid/ssl_db -M 4MB processes are running (need 1/32)
2019/03/01 08:41:29 kid1| Closing HTTP(S) port 127.0.0.1:3128
2019/03/01 08:41:29 kid1| Closing HTTP(S) port 127.0.0.1:3130
2019/03/01 08:41:29 kid1| Closing HTTP(S) port 127.0.0.1:3129
2019/03/01 08:41:29 kid1| storeDirWriteCleanLogs: Starting...
2019/03/01 08:41:29 kid1| Finished. Wrote 0 entries.
2019/03/01 08:41:29 kid1| Took 0.00 seconds ( 0.00 entries/sec).
2019/03/01 08:41:29 kid1| FATAL: The /usr/local/libexec/squid/ssl_crtd -s /var/log/squid/ssl_db -M 4MB helpers are crashing too rapidly, need help!
2019/03/01 08:41:29 kid1| Squid Cache (Version 4.5): Terminated abnormally.
CPU Usage: 0.043 seconds = 0.021 user + 0.021 sys
Maximum Resident Size: 202784 KB
Page faults with physical i/o: 0
2019/03/01 08:41:29| WARNING: BCP 177 violation. IPv6 transport forced OFF by build parameters.
2019/03/01 08:41:29| pinger: Initialising ICMP pinger ...
2019/03/01 08:41:29| pinger: ICMP socket opened.
2019/03/01 08:41:39| Pinger exiting.
Добавлено: [time]Пт 01 мар 2019 09:41:43[/time]
У вас:
FATAL: The /usr/local/libexec/squid/ssl_crtd
В сквиде 4.5 заменили на:
#sslcrtd_program /usr/local/libexec/squid/security_file_certgen
Разово инициализировать базу:
КОД: ВЫДЕЛИТЬ ВСЁ
#sslcrtd_program /usr/local/libexec/squid/security_file_certgen -c -s /var/squid/cache/ssl_db -M 4MB
В конфиге использовать без параметра
КОД: ВЫДЕЛИТЬ ВСЁ
-с
теперь вроде стартует
2019/03/01 09:32:36 kid1| Pinger socket opened on FD 31
2019/03/01 09:32:36 kid1| Squid plugin modules loaded: 0
2019/03/01 09:32:36 kid1| Adaptation support is off.
2019/03/01 09:32:36 kid1| Accepting NAT intercepted HTTP Socket connections at local=127.0.0.1:3128 remote=[::] FD 27 flags=41
2019/03/01 09:32:36 kid1| Accepting HTTP Socket connections at local=127.0.0.1:3130 remote=[::] FD 28 flags=9
2019/03/01 09:32:36 kid1| Accepting NAT intercepted SSL bumped HTTPS Socket connections at local=127.0.0.1:3129 remote=[::] FD 29 flags=41
2019/03/01 09:32:36 kid1| Done reading /var/squid/cache swaplog (0 entries)
2019/03/01 09:32:36 kid1| Store rebuilding is 0.00% complete
2019/03/01 09:32:36 kid1| Finished rebuilding storage from disk.
2019/03/01 09:32:36 kid1| 0 Entries scanned
2019/03/01 09:32:36 kid1| 0 Invalid entries.
2019/03/01 09:32:36 kid1| 0 With invalid flags.
2019/03/01 09:32:36 kid1| 0 Objects loaded.
2019/03/01 09:32:36 kid1| 0 Objects expired.
2019/03/01 09:32:36 kid1| 0 Objects cancelled.
2019/03/01 09:32:36 kid1| 0 Duplicate URLs purged.
2019/03/01 09:32:36 kid1| 0 Swapfile clashes avoided.
2019/03/01 09:32:36 kid1| Took 0.01 seconds ( 0.00 objects/sec).
2019/03/01 09:32:36 kid1| Beginning Validation Procedure
2019/03/01 09:32:36 kid1| Completed Validation Procedure
2019/03/01 09:32:36 kid1| Validated 0 Entries
2019/03/01 09:32:36 kid1| store_swap_size = 0.00 KB
2019/03/01 09:32:36| WARNING: BCP 177 violation. IPv6 transport forced OFF by build parameters.
2019/03/01 09:32:36| pinger: Initialising ICMP pinger ...
2019/03/01 09:32:36| pinger: ICMP socket opened.
2019/03/01 09:32:37 kid1| storeLateRelease: released 0 objects
2019/03/01 09:33:30| Set Current Directory to /var/squid/cache
2019/03/01 09:33:30 kid1| Preparing for shutdown after 0 requests
2019/03/01 09:33:30 kid1| Waiting 30 seconds for active connections to finish
2019/03/01 09:33:30 kid1| Closing HTTP(S) port 127.0.0.1:3128
2019/03/01 09:33:30 kid1| Closing HTTP(S) port 127.0.0.1:3130
2019/03/01 09:33:30 kid1| Closing HTTP(S) port 127.0.0.1:3129
2019/03/01 09:33:30 kid1| Closing Pinger socket on FD 31
2019/03/01 09:33:36| Pinger exiting.
2019/03/01 09:34:01 kid1| Shutdown: NTLM authentication.
2019/03/01 09:34:01 kid1| Shutdown: Negotiate authentication.
2019/03/01 09:34:01 kid1| Shutdown: Digest authentication.
2019/03/01 09:34:01 kid1| Shutdown: Basic authentication.
2019/03/01 09:34:01 kid1| Shutting down...
2019/03/01 09:34:01 kid1| Closing unlinkd pipe on FD 24
2019/03/01 09:34:01 kid1| storeDirWriteCleanLogs: Starting...
2019/03/01 09:34:01 kid1| Finished. Wrote 0 entries.
2019/03/01 09:34:01 kid1| Took 0.00 seconds ( 0.00 entries/sec).
CPU Usage: 0.056 seconds = 0.022 user + 0.034 sys
Maximum Resident Size: 204736 KB
Page faults with physical i/o: 0
2019/03/01 09:34:01 kid1| Logfile: closing log daemon:/var/log/squid/access.log
2019/03/01 09:34:01 kid1| Logfile Daemon: closing log daemon:/var/log/squid/access.log
2019/03/01 09:34:01 kid1| Open FD UNSTARTED 9 security_file_certgen #1
2019/03/01 09:34:01 kid1| Open FD UNSTARTED 11 security_file_certgen #2
2019/03/01 09:34:01 kid1| Open FD UNSTARTED 13 security_file_certgen #3
2019/03/01 09:34:01 kid1| Open FD UNSTARTED 15 security_file_certgen #4
2019/03/01 09:34:01 kid1| Open FD UNSTARTED 17 security_file_certgen #5
2019/03/01 09:34:01 kid1| Open FD UNSTARTED 19 IPC UNIX STREAM Parent
2019/03/01 09:34:01 kid1| Squid Cache (Version 4.5): Exiting normally.
2019/03/01 09:34:01| Removing PID file (/var/run/squid/squid.pid)
Добавлено: 01 Марта 2019, 10:13:28
В общем в режиме service squid onestart запущен не валиться и ошибок не пишет.
Добавлено: 01 Марта 2019, 10:56:09
так как нужно прозрачное проксирование с подменой сертификата то хотелось бы получить советы и рекомендации по настройке конфига скуид 4.5!
Добавлено: 01 Марта 2019, 14:29:46
распишу мысли по конфигу:
\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\
# блок который был (разбираем объявление прозрачности с подменой сертификата)
always_direct allow all
sslproxy_cert_error allow all
tls_outgoing_options flags=DONT_VERIFY_PEER
acl blocked ssl::server_name "/usr/local/etc/squid/blocked_https.txt"
acl step1 at_step SslBump1
ssl_bump peek step1
ssl_bump terminate blocked
ssl_bump splice all
\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\
# как выяснили в данном блоке вроде все нормально ошибок при старте не дает, но не понятно, что же дают опции
# options=ALL:NO_SSLv3:NO_SSLv2 connection-auth=off по идее если мы делаем подмену то теоретически должны быть опции
# генерирования сертификата и его подмены относительно портов стандарта https ибо они прячутся.
http_port 127.0.0.1:3128 intercept
http_port 127.0.0.1:3130
https_port 127.0.0.1:3129 intercept ssl-bump options=ALL:NO_SSLv3:NO_SSLv2 connection-auth=off cert=/usr/local/etc/squid/squidCA.pem
# нашел пример но в нем почему-то порты http
# http_port 3128 ssl-bump cert=/usr/local/etc/squid/ssl/squidCA.pem generate-host-certificates=on dynamic_cert_mem_cache_size=16MB
# Принимаем сертификаты, даже если они не прошли проверку.
always_direct allow all
sslproxy_cert_error allow all
# неведомая хрень позже посмотрю что делает закомментирую пока что ? ? ? ? ? ? ? ? ? ? ? ? ? ?
# tls_outgoing_options flags=DONT_VERIFY_PEER
# Укажем список блокируемых ресурсов (в файле домены вида .domain.com) и правила блокировки их
acl blocked ssl::server_name "/usr/local/etc/squid/blocked_https.txt"
# Закрываем соединение, если клиент заходит на ресурс указанные в blocked
# краткая справка:
# И для каждого из этих этапов можно определить, что Squid будет делать c запросами клиентов:
# splice - пропустить все последующие действия, т.е. просто поднимаем TCP-туннель, словно и нет никакого ssl-bump
# peek — подсмотреть всю доступную информацию без "влезания" в соединение
# terminate — закрыть соединение
# bump — "влезть" в соединение, сделать https видимым как http
# SslBump1 - получение открытой информации о соединении (из сертификатов и http-запроса);
# SslBump2 - передача Hello info клиента (создание соединения с сервером);
# SslBump3 - получение Hello info сервера (создание соединения с клиентом).
# Cоздаем acl с шагами bump. Странный блок сам по себе, если мы хотим видеть все соединения расшифрованными,
# то вероятно по иному выглядеть должны, по идее заменить в нем peek и splice на bump:
acl step1 at_step SslBump1 # создать еще правило с именем step1 для получения открытой информацией
ssl_bump peek step1 # подсмотреть всю доступную информацию без "влезания" в соединение ---- вопрос почему не bump???
ssl_bump terminate blocked # здесь блочить все что указано в файле в правиле blocked см. выше
ssl_bump splice all # пропустить все последующие действия для всех. ---- вопрос почему не bump???
# Настраиваем хелпер генерации сертификатов для сайтов в инструкции указано что лучше увелить размер базы 16MB
# и добавить строку sslcrtd_children 50 startup=10 idle=10
sslcrtd_program /usr/local/libexec/squid/security_file_certgen -s /var/log/squid/ssl_db -M 4MB
sslcrtd_children 50 startup=10 idle=10
\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\
# блок который по идее должен принять вид, но первые три строки у всех мануалов разняться. что правильно сюда писать?
http_port 127.0.0.1:3128 intercept
http_port 127.0.0.1:3130
https_port 127.0.0.1:3129 intercept ssl-bump options=ALL:NO_SSLv3:NO_SSLv2 connection-auth=off cert=/usr/local/etc/squid/squidCA.pem
always_direct allow all
sslproxy_cert_error allow all
acl blocked ssl::server_name "/usr/local/etc/squid/blocked_https.txt"
acl step1 at_step SslBump1
ssl_bump peek step1
ssl_bump bump all
ssl_bump terminate blocked
sslcrtd_program /usr/local/libexec/squid/security_file_certgen -s /var/log/squid/ssl_db -M 4MB
sslcrtd_children 50 startup=10 idle=10
\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\