Squid лог https запросов

1

2

Доброго времени суток. Настроил squid прозрачный по раз два все нормально работает но вот лог не совсем нравится

https
1464247555.219     66 192.168.28.33 TAG_NONE/200 0 CONNECT 94.100.180.59:443 - HIER_NONE/- -
1464247555.219     58 192.168.28.33 TCP_TUNNEL/200 0 CONNECT 94.100.180.59:443 - ORIGINAL_DST/94.100.180.59 -
1464247555.285     64 192.168.28.33 TAG_NONE/200 0 CONNECT 94.100.180.59:443 - HIER_NONE/- -
1464247555.285     59 192.168.28.33 TCP_TUNNEL/200 0 CONNECT 94.100.180.59:443 - ORIGINAL_DST/94.100.180.59 -
1464247555.429     61 192.168.28.33 TAG_NONE/200 0 CONNECT 94.100.180.59:443 - HIER_NONE/- -
1464247555.429     60 192.168.28.33 TCP_TUNNEL/200 7 CONNECT 94.100.180.59:443 - ORIGINAL_DST/94.100.180.59 -
1464247555.852 270684 192.168.28.33 TAG_NONE/200 0 CONNECT 217.20.155.58:443 - HIER_NONE/- -
1464247555.852 270681 192.168.28.33 TCP_TUNNEL/200 3979 CONNECT 217.20.155.58:443 - ORIGINAL_DST/217.20.155.58 -

http
1464247637.383     48 192.168.28.33 TCP_MISS/200 2256 GET http://ads.adfox.ru/171817/prepareCode? - ORIGINAL_DST/213.180.204.92 application/x-javascript
1464247637.418     33 192.168.28.33 TCP_MISS/302 491 GET http://sync.rambler.ru/emily? - ORIGINAL_DST/81.19.77.14 text/html
1464247637.437    132 192.168.28.33 TCP_MISS/200 440 GET http://cntcerber.rambler.ru/cnt/0.0.5/rambler.head/1578005263/1464247637.297-677784990? - ORIGINAL_DST/81.19.89.17 image/gif
1464247637.448     62 192.168.28.33 TCP_MISS/302 514 GET http://sync.rambler.ru/emily? - ORIGINAL_DST/81.19.77.14 text/html
1464247637.450     63 192.168.28.33 TCP_MISS/302 567 GET http://sync.rambler.ru/emily? - ORIGINAL_DST/81.19.77.14 text/html
1464247637.456    148 192.168.28.33 TCP_MISS/204 345 GET http://b.scorecardresearch.com/b? - ORIGINAL_DST/88.221.132.50 -
1464247637.547     36 192.168.28.33 TCP_MISS/200 53937 GET http://h03.rl0.ru/3.21.90/js/head.min.js - ORIGINAL_DST/81.19.82.3 application/x-javascript
1464247637.596     85 192.168.28.33 TCP_MISS/302 1964 GET http://target.smi2.net/init/? - ORIGINAL_DST/144.76.20.141 image/png

если прописать в бан лист так сказать vc.com то все нормально не открывается значит проверка проходит нормально, но почему тогда в логе идут одни ip адреса а не доменное имя как в http запросах

/etc/squid/squid.conf
     1  acl localnet src 192.168.28.0/24        # RFC1918 possible internal network
     2  acl SSL_ports port 443
     3  acl Safe_ports port 80          # http
     4  acl Safe_ports port 21          # ftp
     5  acl Safe_ports port 443         # https
     6  acl Safe_ports port 70          # gopher
     7  acl Safe_ports port 210         # wais
     8  acl Safe_ports port 1025-65535  # unregistered ports
     9  acl Safe_ports port 280         # http-mgmt
    10  acl Safe_ports port 488         # gss-http
    11  acl Safe_ports port 591         # filemaker
    12  acl Safe_ports port 777         # multiling http
    13  acl CONNECT method CONNECT
    14  dns_nameservers 192.168.28.3
    15  http_access deny !Safe_ports
    16  http_access deny CONNECT !SSL_ports
    17  http_access allow localhost manager
    18  http_access deny manager
    19  http_access allow localnet
    20  http_access allow localhost
    21  http_access deny all
    22  #прозрачный порт указывается опцией intercept
    23  http_port 192.168.28.15:3128 intercept options=NO_SSLv3:NO_SSLv2
    24  #также нужно указать непрозрачный порт, ибо если захотите вручную указать адрес
    25  #прокси в браузере, указав прозрачный порт, вы получите ошибку доступа, поэтому нужно
    26  #указывать непрозрачный порт в браузере, если конечно такое желание будет, к тому же в логах #сыпятся ошибки о том, что непрохрачный порт не указан=)
    27  http_port 192.168.28.15:3130 options=NO_SSLv3:NO_SSLv2
    28  #и наконец, указываем HTTPS порт с нужными опциями
    29  https_port 192.168.28.15:3129 intercept ssl-bump options=ALL:NO_SSLv3:NO_SSLv2 connection-auth=off cert=/etc/squid/squidCA.pem
    30  always_direct allow all
    31  sslproxy_cert_error allow all
    32  sslproxy_flags DONT_VERIFY_PEER
    33  #укажем правило со списком блокируемых ресурсов (в файле домены вида .domain.com)
    34  acl blocked ssl::server_name  "/etc/squid/blocked_https.txt"
    35  acl step1 at_step SslBump1
    36  ssl_bump peek step1
    37  #терминируем соединение, если клиент заходит на запрещенный ресурс
    38  ssl_bump terminate blocked
    39  ssl_bump splice all
    40  sslcrtd_program /lib/squid/ssl_crtd -s /var/spool/squid/ssl_db -M 4MB
    41  coredump_dir /var/spool/squid
    42  cache_dir aufs /var/spool/squid 20000 49 256
    43  refresh_pattern ^ftp:           1440    20%     10080
    44  refresh_pattern ^gopher:        1440    0%      1440
    45  refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
    46  refresh_pattern .               0       20%     4320
    47  maximum_object_size 61440 KB
    48  minimum_object_size 3 KB
    49  cache_swap_low 90
    50  cache_swap_high 95
    51  maximum_object_size_in_memory 512 KB
    52  memory_replacement_policy lru
    53  logfile_rotate 4

в чем может быть проблема.

Ссылка

Это нормально. В лог записывается результат всех действий, а «39 ssl_bump splice all» покажет только IP.

Это при MitM будут писаться URL-ы

Kuzz ★★★
(26.05.16 11:07:42 MSK)

Ответ на: комментарий от Kuzz 26.05.16 11:07:42 MSK

Ок понял.

pvvking ★★
(26.05.16 11:34:41 MSK) автор топика

8 ноября 2016 г.

https://habrahabr.ru/post/307686/

NIXoVOD
(08.11.16 06:40:07 MSK)

Ответ на: комментарий от NIXoVOD 08.11.16 06:40:07 MSK

Спасибо. Этот велосипед крутить не буду, т.к. уже есть свой с sql базой ip <-> host каждый чих лучше все-же в базу делать если нет, то да почти этот вариант и у меня стоит. Только я в добавок сперва получаю ssl сертификат по ip
echo -n | openssl s_client -connect 217.69.139.127:443 |grep "subject=/"

pvvking ★★
(08.11.16 13:06:05 MSK) автор топика

Похожие темы