Я пытаюсь прервать трафик https на основе списков ACL с помощью ssl_bumping БЕЗ расшифровки трафика в режиме перехвата / прозрачности. У кого-нибудь это работало раньше? Я скопировал свою конфигурацию и то, как выглядят мои правила iptables nat.
Я использую squid 3.5.13 со следующими параметрами компиляции:
Кэш Squid: Версия 3.5.12
Название службы: кальмар
параметры настройки: '--prefix = / usr' '--localstatedir = / var' '--libexecdir = / lib / squid3' '--datadir = / share / squid3' '--sysconfdir = / etc / squid3' ' --with-default-user = proxy '' --with-logdir = / var / log / squid3 '' --with-pidfile = / var / run / squid3.pid '' --with-openssl '' -enable -ssl-crtd '' --enable-icap-client '' --with-large-files '--enable-ltdl-удобство
squid.conf:
acl social dstdomain .google.com .facebook.com .reddit.com
acl step1 at_step SslBump1
acl step2 at_step SslBump2
ssl_bump stare step2 все
ssl_bump завершить соединение в социальных сетях ssl_bump все
acl localnet SRC 192.168.50.0/24
acl SSL_ports порт 443
acl Safe_ports порт 80 # http
acl Safe_ports порт 21 # ftp
acl Safe_ports порт 443 # https
acl Safe_ports порт 70 # gopher
acl Safe_ports порт 210 # wais
acl Safe_ports port 1025-65535 # незарегистрированные порты
acl Safe_ports порт 280 # http-mgmt
acl Safe_ports порт 488 # gss-http
acl Safe_ports порт 591 # файловый менеджер
acl Safe_ports порт 777 # многоязычный http
acl CONNECT метод CONNECT
http_access разрешить диспетчер localhost
http_access deny manager
http_access deny! Safe_ports
http_access deny CONNECT! SSL_ports
http_access разрешить локальную сеть
http_access разрешить localhost
http_access разрешить все
http_port 3128 прозрачный
https_port 3129 перехватить ssl-bump cert = / etc / squid3 / ssl_cert / squidSSL.pem
cache_dir ufs / cache / squid3 / спул 100 16 256
access_log syslog: local5.info кальмар
каталог_коредумпа / var / spool / squid3
url_rewrite_program / usr / bin / squidGuard -c /cache/config/daemons/squidguard/squidGuard.conf
url_rewrite_children 15
url_rewrite_access разрешить всем
шаблон_обновления ^ ftp: 1440 20% 10080
обновить_паттерн ^ gopher: 1440 0% 1440
шаблон_обновления -i (/ cgi-bin / | \?) 0 0% 0
refresh_pattern. 0 20% 4320
icap_enable on
icap_send_client_ip на
icap_send_client_username на
icap_client_username_encode выкл.
icap_client_username_header X-Authenticated-User
icap_preview_enable на
icap_preview_size 1024
icap_service service_req reqmod_precache bypass = 1 icap: //127.0.0.1: 1344 / squidclamav adaptor_access service_req разрешить все
icap_service service_resp respmod_precache bypass = 1 icap: //127.0.0.1: 1344 / squidclamav
адаптации_access service_resp разрешить все
iptables -L -v -t nat (только соответствующие правила):
Цепочка PREROUTING (политика ACCEPT 1083 пакета, 233 Кбайт)
pkts bytes target prot opt in source назначение
157 9420 DNAT tcp - eth1 где угодно где угодно tcp dpt: https to: 192.168.11.1: 3129
Цепочка PREROUTING-daemon-tcp (1 ссылка)
pkts bytes target prot opt in source назначение
443 26580 DNAT tcp - eth1 где угодно и где угодно tcp dpt: http to: 192.168.11.1: 3128
0 0 DNAT tcp - eth2 в любом месте в любом месте tcp dpt: http to: 172.17.0.1: 3128
Прямо сейчас я не могу заставить его прекратить ЛЮБОЙ трафик https. Все, что он делает, это позволяет этому пройти.
Любая помощь будет принята с благодарностью!
~ Сильно сбитый с толку пользователь Squid ~