Форум программистов, компьютерный форум, киберфорум
FreeBSD
Войти
Регистрация
Восстановить пароль
 
2 / 2 / 2
Регистрация: 23.06.2007
Сообщений: 375
1

squid 4 и https

17.06.2020, 22:17. Просмотров 136. Ответов 2

Что имеем:
шлюз:
FreeBSD 13.0, две сетевые, ipfw
squid 4.11

Без использования squid-а (nat ipfw) интернет на клиентских машинах работает нормально
А вот при задействовании squid - лишь частично. Сайты, не использующие https открываются также нормально, а вот https тормозит не просто жутко - как правило сбрасываются по таймауту, но иногда и открываются.
Насйтроки squid-а - самые минимальные.
Режимы - что обычный, что прозрачный - одинаково, жуткие тормоза на https

ipfw:
$cmd add fwd 127.0.0.1,3128 tcp from $lan_net to any 21,80,443 out via $wan
#$cmd add fwd 127.0.0.1,3129 tcp from $lan_net to any 21,80 out via $wan
#$cmd add fwd 127.0.0.1,3130 tcp from $lan_net to any 443 out via $wan

squid:
http_port 3128
#http_port 127.0.0.1:3129 intercept
#https_port 127.0.0.1:3130 intercept ssl-bump connection-auth=off cert=/usr/local/etc/squid/squidCA.pem
0
Programming
Эксперт
94731 / 64177 / 26122
Регистрация: 12.04.2006
Сообщений: 116,782
17.06.2020, 22:17
Ответы с готовыми решениями:

Squid некорректные логи https
Коллеги, доброго времени суток. У меня проблема с проксированием трафика в Squid в режиме...

Squid ограничения https канала
Добрый день, Собрал squid из исходников с боддержкой ssl и долго настраивал его на "обнаружение"...

Squid, не происходит DIRECT для HTTPS
Доброго времени суток! Установлен Squid+SquidGuard, с HTTP запросов происходит DIRECT на страницу...

Iptables + Squid (пустить юзера в обход squid'a)
Имеем: eth1 - смотрит наружу 1.2.3.4 eth0 - смотрит в локалку 192.168.0.0/24 Шлюз debian 8.3 ...

2
0 / 0 / 0
Регистрация: 24.05.2020
Сообщений: 5
26.06.2020, 20:50 2
Если в части конфига сквида - это все, что у вас там есть, то этого категорически недостаточно для прозрачного прокси https. Вот ссылка - там все подробно расписано: https://wiki.squid-cache.org/ConfigExamples/Intercept/SslBumpExplicit
Вкратце - ставим СА, делаем сертификаты для импорта в браузеры пользователей, ну и секция для перехвата должна быть типа такой:
http_port 127.0.0.1:3128 intercept
https_port 127.0.0.1:3129 intercept ssl-bump cert=/usr/local/etc/squid/ssl_cert/cert.pem generate-host-certificates=on dynamic_cert_mem_cache_size=4MB
sslcrtd_program /usr/local/libexec/squid/security_file_certgen -s /usr/local/etc/squid/lib/ssl_db -M 4MB
tls_outgoing_options cafile=/usr/local/openssl/cert.pem
tls_outgoing_options options=NO_SSLv3,SINGLE_DH_USE,SINGLE_ECDH_USE
acl blocked ssl::server_name "/usr/local/etc/squid/ACLS/blocked_https"
acl step1 at_step SslBump1
acl NoBump ssl::server_name "/usr/local/etc/squid/ACLS/NoBump"
ssl_bump peek step1
ssl_bump splice NoBump
ssl_bump terminate blocked
ssl_bump splice all

Объяснение всему этому добру есть по ссылке выше. Плюс вот этот блог: https://yvoinov.blogspot.com
0
2 / 2 / 2
Регистрация: 23.06.2007
Сообщений: 375
29.06.2020, 18:05  [ТС] 3
Спасибо, попробую.

Конечно это был не весь конфиг, но и того, что вы указали -нету.

Самое смешное другое:

Снес я squid, попробовал 3proxy. Попрыгал вокруг него, признаюсь, не смог до конца допилить так, как надо.
И поставил вновь squid. С тем же самым конфигом он заработал нормально, как и должен. (инет идет через squid, не через нат)
0
IT_Exp
Эксперт
87844 / 49110 / 22898
Регистрация: 17.06.2006
Сообщений: 92,604
29.06.2020, 18:05

Заказываю контрольные, курсовые, дипломные и любые другие студенческие работы здесь.

Редирект https на https
Есть внутренний сервис работающий только через http, но т.к. последние версии браузеров используют...

squid+pf
Имеется прозрачная прокся: фряха 9, squid 3.2.4, ну и собственно pf. При попытке зайти на какой...

Squid + AD
Доброго времени суток дорогие товарищи, вынужден обратиться к вам с таким вопросом: Дано: AD...

Squid
Нужна помощь по настройке Squid для Windows. Сеть, 15 компьютеров. 1 для админа под WinXP, на...

Squid
Здравствуйте. Есть проблема со squid. Не как не могу разобраться с его синтаксисом как там и что....

Настройка squid
Здравствуйте, подскажите, пожалуйста, возможно ли организовать фильтрацию https трафика посредством...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
3
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2020, vBulletin Solutions, Inc.