Если используешь REDIRECT - можно и закрутить. Если используешь socket matching(TPROXY) - не получится, я пробовал, там всё печально. Здесь REDIRECT и TPROXY - это методы реализации через iptables.

TPROXY в общем случае нужен только если у тебя клиенты с публичными IP

Уважаемый

А пример можно?!

-A PREROUTING -p tcp -m tcp --dport 80 -d ! ip_server -j REDIRECT --to-ports squid_port

Где ip_server - IP-адрес сервера с nginx, squid_port - порт где запущен squid.

ну это в ссылках было

Ну ок. Это было в ссылках, которые я прикладывал. 1) А как после этого запросы proxy_pass с Nginx к Apache в обход этого правила направить, мне моего опыта и знаний с iptables не хватает - поэтому и спрашиваю... Да и в интернетах не нашёл ответа на свой вопрос. Смотрел в сторону ipset и/или DNSmasq. 2) Пока у меня даже просто по инструкции не получилось настроить - скорее всего не хватает маршрута до SQUID. Но с этим я думаю разберусь. А вот что делать с первым пока ума не приложу. Сможет кто-нибудь на первый вопрос ответить?! Вот ещё раз первый вопрос: ServerA (NGINX) перенаправляет запрос через директиву proxy_pass на ServerB (APACHE), если что это две разные железки. Также на ServerA стоит SQUID на который редиректится трафик с портов 80,443 на порты SQUID'a 3128,3129 (соответственно). Если происходит редирект с 80,443 на 3128,3129 - меняется сертификат на сертификат SQUID'a, а должны быть разные сертификаты сайтов. Как пустить трафик сайтов в обход редиректа. Или может как то иначе это решается, короче сертификаты должны быть сайтов, а не SQUID...

как после этого запросы proxy_pass с Nginx к Apache в обход этого правила направить
Как пустить трафик сайтов в обход редиректа

Пускай напрямую - это обеспечивает ключ -d. Ну и возможно необходимо правило в цепочке FORWARD, но без схемы сети с указанием IP-адресов и подсетей подсказать конкретное правило сложно.

UP,UP,UP

Вообщем апну тему, как найду решение отпишусь...

Решение Найдено

Вообщем долгими муками - решение было найдено - скоро здесь появится ссылка как )))

Остался Один Вопрос

Как банковские сайты пустить через SQUID - без контроля…

Учитывая что у банков https и речь сейчас у нас тут о прозрачном проксировании, а также принимая во внимание то, что банк-клиенты могут параноидально реагировать на подмененный сертификат(а его в случае прозрачного HTTPS-прокси хочешь-не хочешь подменять придеться), то ответ - никак. Только пускать напрямую, в обход squid-а вообще

А как?

Как в МикроТик это сделать?

Разрешить в файрволе трафик напрямую(в цепочке FORWARD) на ip-адреса сайтов банков. IP-адреса выяснять через torch(tcpdump на mikrotik не завезли, так что работать придется с тем что есть)

Да, не

Можно же сделать mark routing, mark connection. У меня почти получилось, но не получается с mark connection… Сертификат то сайта, то подменный

Да и сайты через Layer7

SslBump и SslPeekAndSplice

acl bank_ssl ssl::server_name "/etc/squid/lists/bank_ssl"
##Содержимое вроде такого:
##accounts.bank.com
##

acl bank_dst dstdom_regex "/etc/squid/lists/bank_dst"
##Содержимое вроде такого:
##.*\.bank(24|\-business)\.com
##

acl bank_dns dstdomain "/etc/squid/lists/bank_dns"
##Содержимое вроде такого:
##accounts.bank.com
##

acl bank any-of bank_ssl bank_dst bank_dns

acl step1 at_step SslBump1
acl step2 at_step SslBump2

ssl_bump peek      step1 all
ssl_bump splice bank
…

Понятно, я читал на хабре что это возможно

Теперь у меня везде TCP_TUNNEL и сертификат не подменяется нигде… И что делать вот с этим ssl_bump bump all

У меня ScreenSquid, я вижу последнии IP куда ходил, но должны то быть по сути адреса сайтов… Вот это ssl_bump bump all я заменил на ssl_bump peek all

я вижу последнии IP куда ходил, но должны то быть по сути адреса сайтов

Это как раз правильно)
Браузер передает имя хоста внутри установленного соединения (хидер «Host: linux.org.ru»), а соединяется по IP.

Первый acl в моем примере использует Server Name Indication (SNI), откуда тоже можно получить имя, но срабатывает это не всегда.

И что делать вот с этим ssl_bump bump all

Поставить последним в группе правил ssl_bump, если стоит задача сделать прозрачный прокси с расшифровкой https.
Вроде такого:

acl step1 at_step SslBump1
acl step2 at_step SslBump2

#bump_on - сборный acl того, что обязательно расшифровываем
ssl_bump bump      bump_on

#"подглядываем" в соединение, так можно получить SNI 
ssl_bump peek      step1 all

#"рубим" рекламу и т.д.
ssl_bump terminate step1 banners_dns Wifi-ip
ssl_bump terminate step1 banners_ssl Wifi-ip
ssl_bump terminate step1 malware_ssl
ssl_bump terminate step1 spyware_ssl

#банки - мимо 
ssl_bump splice bank

ssl_bump stare     step2 all !bank   #всех остальных смотрим внимательнее
ssl_bump bump all  !bank             #и таки расшифровываем

Без этого никак, мне нужны только исключения, чувствую себя тупым (((

#bump_on - сборный acl того, что обязательно расшифровываем ssl_bump bump bump_on

За 500 руб. доделаешь, дам доступ

Пожалуйста

Прокси у меня с самопальными. сертф. ну как положенно. Банки не жалуются. Хотя Да! Бухгалтерии сделал нат. Жаба давит. :))

Без этого вполне можно обойтись.

мне нужны только исключения

Тогда как-то так:

#содержимое файлов "lists/bank_ssl" и т.д. собираем сами
#их не обязательно три должно быть))
acl bank_ssl ssl::server_name "/etc/squid/lists/bank_ssl"
acl bank_dst dstdom_regex "/etc/squid/lists/bank_dst"
acl bank_dns dstdomain "/etc/squid/lists/bank_dns"

#acl типа any-of и есть "сборный", собранный из других acl
#собрать можно и один (acl bank any-of bank_ssl)
acl bank any-of bank_ssl bank_dst bank_dns

acl step1 at_step SslBump1
acl step2 at_step SslBump2

#all - встроенный acl, обозначающий именно все
ssl_bump peek   step1 all
ssl_bump splice       bank
ssl_bump stare  step2 all !bank
ssl_bump bump         all !bank

web.whatsapp.com вроде заработал

Вот про это можно поподробнее

acl bank_ssl ssl::server_name «/etc/squid/lists/bank_ssl» ##Содержимое вроде такого: ##accounts.bank.com

acl bank_dst dstdom_regex «/etc/squid/lists/bank_dst» ##Содержимое вроде такого: ##.*.bank(24|-business).com

acl bank_dns dstdomain «/etc/squid/lists/bank_dns» ##Содержимое вроде такого: ##accounts.bank.com

и скажи куда денюжку перевести

Теперь только discord не работает

…

Вот про это можно поподробнее

Просто файлы, чтоб не пихать прямо в конфиг кучу адресов.

ssl::server_name - имена серверов (эти acl проверяют SNI), т.е. обычные записи вида

www.bank.com
ssl.bank.com
web.whatsapp.ru

dstdom_regex - регекспы имен серверов, так проще ловить все используемые домены, но можно захватить и что-то левое

[-0-9a-z]+\.bank\.com

dstdomain - то же, что и ssl::server_name, но проверяются не только SNI. Файл может быть тем же, что и в первом

acl bank_ssl ssl::server_name "/etc/squid/lists/bank_dns"
acl bank_dns dstdomain "/etc/squid/lists/bank_dns"

Есть еще acl dst acl dst bank_ip "/etc/squid/lists/bank_ip" Он, соответственно, для IP-адресов

Т.к. у нас задача не влезать в эти соединения, то посмотреть url (вроде https://my.site.com/bank/index.html) мы не можем. Соответственно, работают далеко не все acl

discord.com/*

Это не похоже на нормальный регексп. А если так: ([-0-9a-z]+\.)?discord(app)?\.com

Можно же сделать mark routing, mark connection

acl aclname clientside_mark mark[/mask] ...
# matches CONNMARK of an accepted connection

И да, на хабре писали, что в таком случае (соединения без расшифровки) в логах нормальные имена серверов, а не айпишники, если squid использует тот же dns, что и клиенты.

и скажи куда денюжку перевести

Напиши на ku33ma@gmail.com

Discord то оказывается работает

Он не подменяет сертификат - всё норм, но там ещё другой протокол WSS (веб-сокет) и вот это не помогает http://www.squid-cache.org/Doc/config/on_unsupported_protocol/

Вообще, с веб-сокетами у кальмара траблы официально Можно еще один вид ошибок туннелировать

acl foreignProtocol squid_error  ERR_TOO_BIG
acl foreignProtocol squid_error  ERR_PROTOCOL_UNKNOWN 
acl unsup_http_ver   squid_error ERR_UNSUP_HTTPVERSION

on_unsupported_protocol tunnel foreignProtocol
on_unsupported_protocol tunnel unsup_http_ver

Ну и собирать адреса, которые дискорд использует

gateway.discord.gg
ssl.gstatic.com
discordapp.com

Вот встретилось. Внезапно, гуглостатика.

russia726.discord.media вот это как regex прописать, скажите куда денежку перевести, вы сэкономили моё время

Именно регекспом, наверное [0-9a-z]+\.discord\.media прописать в тот, который dstdom_regex будет норм.
Так подхватываются и другие похожие варианты.

Проксирующий Nginx + SQUID + mikrotik (комментарий)

Firefox не может установить соединение с сервером wss://russia52.discord.media/?v=5. Хотя сюда соединилось [CONNECTED] wss://gateway.discord.gg/?encoding=json&v=6&compress=zlib-stream in 443 ms

По этим регекспам должно проходить

([-a-zA-Z0-9\.]+\.)?discord\.(gg|media)
([-a-zA-Z0-9\.]+\.)?discordapp\.(com|net)

напишите пожалуйста правило, чтобы в обход прокси шли udp и всё остальное - у меня микротик но это неважно

Сцылка как и обещал

https://unixoid.info/component/k2/item/257-squid-prozrachnyj-proksi-s-podmenoj-sertifikata-na-ubuntu-mikrotik

замечания приветствуются - если что поправлю