LINUX.ORG.RU
ФорумAdmin

Прошу помощи в настройке сертификата в Squid 3.4.8

 , ,


0

1

Настроен Squid3, но всё ровно не блокирует доступ через https в браузерах, пишет что сертификат SHA-1 не действителен, и даже не знаю что делать в этой ситуации, надеюсь на помощь опытных людей.

grafana: возможно ли посчитать отношение дельты двух счётчиков за интервал?
Легковесный VPN для коммуникации 2х устройств

но всё ровно

Вот и расслабься, раз всё ровно.


не блокирует доступ через https

А должен? Откуда нам знать, как ты его настраивал? Телепаты в отпуске.


пишет что сертификат SHA-1 не действителен

Я что-то не понял, чего ты пытаешься добиться: заблокировать HTTPS (зачем?), или же подсунуть клиенту свой сертификат, чтобы осуществить MITM?

XMs ★★★★★
()
Ответ на: комментарий от XMs

да пытаюсь заблокировать https, по сертификату но без успешно. вот настройка сквида 

== Global options:===============

== Listen ports: ================
http_port               10.0.0.2:8080       accel
http_port               10.0.0.2:3128

http_port               192.168.2.2:8080    accel
http_port               192.168.2.2:3128
#= for Frontends:
http_port               127.0.0.1:3128


== SSL Bump: ====================
http_port               192.168.2.2:4443    ssl-bump    \
                        generate-host-certificates=on   \
                        dynamic_cert_mem_cache_size=4MB \
                        cert=/etc/squid3/squidCA.pem    \
                        key=/etc/squid3/squidCA.pem     \
                        connection-auth=off             \
                        sslflags=NO_DEFAULT_CA



http_port               10.0.0.2:4443    ssl-bump       \
                        generate-host-certificates=on   \
                        dynamic_cert_mem_cache_size=4MB \
                        cert=/etc/squid3/squidCA.pem    \
                        key=/etc/squid3/squidCA.pem     \
                        connection-auth=off             \
                        sslflags=NO_DEFAULT_CA

sslproxy_flags          DONT_VERIFY_PEER
sslproxy_cert_error     allow all
always_direct           allow all
ssl_bump client-first   all
ssl_bump                none all
sslcrtd_program         /usr/lib/squid3/ssl_crtd -s /etc/squid3/ssldb/certs -M 4MB


== Systems: =====================
pid_filename            /var/run/squid.pid
hosts_file              /etc/hosts
error_directory         /usr/share/squid3/errors/templates
visible_hostname        none
dns_nameservers         77.88.8.7


#== IPv6 bullshit: ===============
tcp_outgoing_address    192.168.2.2 all
dns_v4_first            o



#== Logging: =====================
logfile_rotate          1
access_log              stdio:/var/log/squid3/access.log squid
cache_store_log         stdio:/var/log/squid3/store.log
cache_log               /var/log/squid3/cache.log

logfile_daemon          /usr/lib/squid3/log_file_daemon

#== Squid Cache: =================
cache_mem                           512 MB
maximum_object_size                 512 KB
maximum_object_size_in_memory   512 KB
memory_replacement_policy       heap    GDSF

#== Elite anonomising: ===========
request_header_access           X-Forwarded-For deny    all
request_header_access           Via             deny    all
request_header_access           Cache-Control   deny    all
follow_x_forwarded_for                                  allow   all
acl_uses_indirect_client                on
delay_pool_uses_indirect_client on
log_uses_indirect_client                on
forwarded_for                   on


== SquidGuard:===================
redirect_program        /usr/bin/squidGuard     -c /etc/squid3/squidGuard.conf
redirect_children       16
redirector_bypass       on



== Squid ACL: ===============================================================

= White ports: ========
acl     Allow-port      port    20 21 25 80 110 143 443 456 993 995 1935 8000 8008 8080 8081


#= Mothods: ============
acl     purge           method  PURGE
acl     CONNECT         method  CONNECT



= Networks: ===========
acl     localnet            src     192.168.2.0/24
acl     dhcpnet             src     10.0.0.0/24
acl     DanseGuardian       src     127.0.0.1/32


= Users: ==============
acl     System          src     "/etc/squid3/users/system.list"

acl     Library-215     src             "/etc/squid3/users/library-215.list"
acl     Library-218     src             "/etc/squid3/users/library-218.list"

acl     Langlab         src             "/etc/squid3/users/students-402-3.list"

acl     Class-1         src             "/etc/squid3/users/students-109-1.list"
acl     Class-2         src             "/etc/squid3/users/students-111-1.list"
acl     Class-3         src             "/etc/squid3/users/students-112-1.list"
acl     Class-4         src             "/etc/squid3/users/students-116-1.list"
acl     Class-5         src             "/etc/squid3/users/students-26-2.list"



= Squid Lists: ========
acl     System-List     dstdomain   "/etc/squid3/lists/system.list"
acl     Access-List     dstdomain   "/etc/squid3/lists/access.list"
acl     SSL-List        dstdomain   "/etc/squid3/lists/ssl.list"
acl     Blocks-List     dstdomain   "/etc/squid3/lists/deny.list"

acl     mism_cert       dstdomain   -i "/etc/squid3/lists/mism_ssl"


http_access         allow    DanseGuardian
http_access         allow    all

= SSL Proxy: ==============
sslproxy_cert_error         allow               mism_cert
sslproxy_cert_adapt         setCommonName       ssl::certDomainMismatch


= System & Staff access: ==
http_access     allow       System              all

#http_access     allow       Staff               Blocks-List
#http_access     allow       Staff               all
http_access      allow      System              System-List
#http_access     allow       Staff               System-List

http_access     allow       Library-215         System-List
http_access     allow       Library-218         System-List
http_access     allow       Langlab             System-List

http_access     allow       Class-1             System-List
http_access     allow       Class-2             System-List
http_access     allow       Class-3             System-List
http_access     allow       Class-4             System-List
http_access     allow       Class-5             System-List

= Black lists: ============
http_access     allow        Library-215         Blocks-List
http_access     allow        Library-218         Blocks-List
http_access     allow        Langlab             Blocks-List

http_access     allow        Class-1             Blocks-List
http_access     allow        Class-2             Blocks-List
http_access     allow        Class-3             Blocks-List
http_access     allow        Class-4             Blocks-List
http_access     allow        Class-5             Blocks-List


= White lists: ============
http_access     allow       Library-215         Access-List
http_access     allow       Library-218         Access-List
http_access     allow       Langlab             Access-List

http_access     allow       Class-1             Access-List
http_access     allow       Class-2             Access-List
http_access     allow       Class-3             Access-List
http_access     allow       Class-4             Access-List
http_access     allow       Class-5             Access-List


= White SSL lists: ========
http_access     allow       Library-215         SSL-List
http_access     allow       Library-218         SSL-List
http_access     allow       Langlab             SSL-List

http_access     allow       Class-1             SSL-List
http_access     allow       Class-2             SSL-List
http_access     allow       Class-3             SSL-List
http_access     allow       Class-4             SSL-List
http_access     allow       Class-5             SSL-List

http_access     allow       all                 SSL-List

=== Port control: ===========
http_access     allow       Allow-port          Library-215
http_access     allow       Allow-port          Library-218

http_access     allow       Allow-port          Langlab
http_access     allow       Allow-port          Class-1
http_access     allow       Allow-port          Class-2
http_access     allow       Allow-port          Class-3
http_access     allow       Allow-port          Class-4
http_access     allow       Allow-port          Class-5
http_access     allow       Allow-port

Programensh
() автор топика
Ответ на: комментарий от XMs

Я вводил такую команду. Получилось, осталось правильно настроить, чтобы на этом диапазоне открывались сайты по белому списку 

iptables -I INPUT -m iprange --src-range 192.168.2.8-192.168.2.25 -j DROP

Programensh
() автор топика
Ответ на: комментарий от Programensh

-j DROP

Тут ты вводишь не белый, а чёрный список. Чтобы был белый, должно быть -j ACCEPT, притом это правило должно быть ДО того, где -j DROP

XMs ★★★★★
()
Ответ на: комментарий от XMs

Я пробовал поставить вот так, но тогда открывается полный доступ ко всем сайтам и в правилах стоит на первом месте 

iptables -I INPUT -m iprange --src-range 192.168.2.8-192.168.2.25 -j ACCEPT

Programensh
() автор топика
Ответ на: комментарий от XMs

Сейчас правила работают вот так 


Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP all -- anywhere source ip range 192.168.2.8-192.168.2.25
ACCEPT all -- anywhere source ip range 192.168.2.8-192.168.2.25

Но всё ровно даёт доступ на все сайты

Programensh
() автор топика
Ответ на: комментарий от XMs

Я сохранил, но всё ровно этому диапазону всё ровно даёт доступ ко всем сайтам, может для него нужно создать белый список сайтов как у Squid3?

Programensh
() автор топика
Ответ на: комментарий от Programensh

Это очень странно. У меня на домашнем компе она выводит вот что: 

XMs-desktop /home/xms # iptables-save 
# Generated by iptables-save v1.6.1 on Wed Mar  6 00:53:29 2019
*nat
:PREROUTING ACCEPT [9951179:1455430878]
:INPUT ACCEPT [9940530:1454701838]
:OUTPUT ACCEPT [18336553:4514049158]
:POSTROUTING ACCEPT [18336537:4514048646]
:DOCKER - [0:0]
-A PREROUTING -m addrtype --dst-type LOCAL -j DOCKER
-A OUTPUT ! -d 127.0.0.0/8 -m addrtype --dst-type LOCAL -j DOCKER
-A POSTROUTING -s 172.17.0.0/16 ! -o docker0 -j MASQUERADE
-A DOCKER -i docker0 -j RETURN
COMMIT
# Completed on Wed Mar  6 00:53:29 2019
# Generated by iptables-save v1.6.1 on Wed Mar  6 00:53:29 2019
*filter
:INPUT ACCEPT [3620519122:2483554042017]
:FORWARD DROP [12:6912]
:OUTPUT ACCEPT [3914200126:2486041167655]
:DOCKER - [0:0]
:DOCKER-ISOLATION-STAGE-1 - [0:0]
:DOCKER-ISOLATION-STAGE-2 - [0:0]
:DOCKER-USER - [0:0]
-A FORWARD -j DOCKER-USER
-A FORWARD -j DOCKER-ISOLATION-STAGE-1
-A FORWARD -o docker0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -o docker0 -j DOCKER
-A FORWARD -i docker0 ! -o docker0 -j ACCEPT
-A FORWARD -i docker0 -o docker0 -j ACCEPT
-A DOCKER-ISOLATION-STAGE-1 -i docker0 ! -o docker0 -j DOCKER-ISOLATION-STAGE-2
-A DOCKER-ISOLATION-STAGE-1 -j RETURN
-A DOCKER-ISOLATION-STAGE-2 -o docker0 -j DROP
-A DOCKER-ISOLATION-STAGE-2 -j RETURN
-A DOCKER-USER -j RETURN
COMMIT
# Completed on Wed Mar  6 00:53:29 2019
XMs-desktop /home/xms #

XMs ★★★★★
()
Ответ на: комментарий от XMs

может, я что-то упустил....когда я ввёл команду, ничего не произошло, а как отобразит полный iptables, как у вас? Так как я работаю с прокси через виртуалку proxmox, пытался зайти через putty, но пишет что нет такой команды

Programensh
() автор топика
Ответ на: комментарий от XMs

Squid3

на прокси Debian GNU/Linux 8 (Jessie) также решил попробовать настроить Squid3 3.4.8, чтобы работал в прозрачном режиме, и без сертификата, но пока не очень. Хотя правильно дал команду на порт 3128. 

http_port               10.0.0.2:8080       accel
http_port               10.0.0.2:3128       intercept

http_port               192.168.2.2:8080    accel
http_port               192.168.2.2:3128    Intercept
#= for Frontends:
http_port               127.0.0.1:3128

Programensh
() автор топика
Ответ на: комментарий от XMs

А почему не нужен? с iptables всё плохо, потому что как сохранил и сделал перезагрузку, всё ровно всех пропускает, и запутался совсем с настройками

Programensh
() автор топика
Ответ на: комментарий от Programensh

потому что как сохранил и сделал перезагрузку, всё ровно всех пропускает

Я не смог это распарсить, распиши подробнее, в чём проблема. И без ошибок, если можно

XMs ★★★★★
()
Ответ на: комментарий от XMs

Squid3 прозрачный

Сейчас я пытаюсь настроить прозрачный Squid3, и без сертификатов. Но пока безуспешно, потому что не могу понять в чём причина. Расшариваю его для учебных компьютеров в кабинетах, в сквиде указан список машин на которых нужен интернет только по белому списку.

Programensh
() автор топика
Ответ на: комментарий от XMs

Я не знаю как правильно сделать. Вот настройки сквида сейчас и картинка как сейчас работает сквид 

Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
#== Global options:===============

#== Listen ports: ================
http_port               10.0.0.2:8080       accel
http_port               10.0.0.2:3128       intercept

http_port               192.168.2.2:8080    accel
http_port               192.168.2.2:3128    intercept
#= for Frontends:
http_port               127.0.0.1:3128


#== SSL Bump: ====================
#http_port               192.168.2.2:4443    ssl-bump    \
#                        generate-shost-certificates=on   \
#                        dynamic_cert_mem_cache_size=4MB \
#                       cert=/etc/squid3/squidCA.pem    \
#                        key=/etc/squid3/squidCA.pem     \
#                        connection-auth=off             \
#                        sslflags=NO_DEFAULT_CA
#
#http_port               10.0.0.2:4443    ssl-bump       \
#                        generate-host-certificates=on   \
#                        dynamic_cert_mem_cache_size=4MB \
#                        cert=/etc/squid3/squidCA.pem    \
#                        key=/etc/squid3/squidCA.pem     \
#                        connection-auth=off             \
#                        sslflags=NO_DEFAULT_CA

sslproxy_flags          DONT_VERIFY_PEER
sslproxy_cert_error     allow all
always_direct           allow all
ssl_bump client-first   all
ssl_bump                none all
#sslcrtd_program         /usr/lib/squid3/ssl_crtd -s /etc/squid3/ssldb/certs -M 4MB


#== Systems: =====================
pid_filename            /var/run/squid.pid
hosts_file              /etc/hosts
error_directory         /usr/share/squid3/errors/templates
visible_hostname        none
dns_nameservers         77.88.8.7


#== IPv6 bullshit: ===============
tcp_outgoing_address    192.168.2.2 all
dns_v4_first            on

#== Logging: =====================
#logfile_rotate          1
#access_log              stdio:/var/log/squid3/access.log squid
#cache_store_log         stdio:/var/log/squid3/store.log
#cache_log               /var/log/squid3/cache.log

#logfile_daemon          /usr/lib/squid3/log_file_daemon

#== Squid Cache: =================
cache_mem                           512 MB
maximum_object_size                 512 KB
maximum_object_size_in_memory   512 KB
memory_replacement_policy       heap    GDSF

#== Elite anonomising: ===========
request_header_access           X-Forwarded-For deny    all
request_header_access           Via             deny    all
request_header_access           Cache-Control   deny    all
follow_x_forwarded_for                                  allow   all
acl_uses_indirect_client                on
delay_pool_uses_indirect_client on
log_uses_indirect_client                on
forwarded_for                   on


#== SquidGuard:===================
redirect_program        /usr/bin/squidGuard     -c /etc/squid3/squidGuard.conf
redirect_children       16
redirector_bypass       on

#== Squid ACL: ===============================================================

#= White ports: ========
acl     Allow-port      port    20 21 25 80 110 143 443 456 993 995 1935 8000 8008 8080 8081

#= Mothods: ============
acl     purge           method  PURGE
acl     CONNECT         method  CONNECT

#= Networks: ===========
acl     localnet            src     192.168.2.0/24
acl     dhcpnet             src     10.0.0.0/24
acl     DanseGuardian       src     127.0.0.1/32


#= Users: ==============
acl     System          src     "/etc/squid3/users/system.list"

acl     Library-215     src             "/etc/squid3/users/library-215.list"
acl     Library-218     src             "/etc/squid3/users/library-218.list"

acl     Langlab         src             "/etc/squid3/users/students-402-3.list"

acl     Class-1         src             "/etc/squid3/users/students-109-1.list"
acl     Class-2         src             "/etc/squid3/users/students-111-1.list"
acl     Class-3         src             "/etc/squid3/users/students-112-1.list"
acl     Class-4         src             "/etc/squid3/users/students-116-1.list"
acl     Class-5         src             "/etc/squid3/users/students-26-2.list"



#= Squid Lists: ========
acl     System-List     dstdomain   "/etc/squid3/lists/system.list"
acl     Access-List     dstdomain   "/etc/squid3/lists/access.list"
acl     SSL-List        dstdomain   "/etc/squid3/lists/ssl.list"
acl     Blocks-List     dstdomain   "/etc/squid3/lists/deny.list"

acl     mism_cert       dstdomain   -i "/etc/squid3/lists/mism_ssl"


http_access         allow    DanseGuardian
http_access         allow    all

#= SSL Proxy: ==============
sslproxy_cert_error         allow               mism_cert
sslproxy_cert_adapt         setCommonName       ssl::certDomainMismatch


# System & Staff access: ==
http_access     allow       System              all

#http_access     allow       Staff               Blocks-List
#http_access     allow       Staff               all


#= System lists: ===========
http_access      allow      System              System-List
#http_access     allow       Staff               System-List
                                                                                                                         

http_access     allow       Library-215         System-List
http_access     allow       Library-218         System-List
http_access     allow       Langlab             System-List

http_access     allow       Class-1             System-List
http_access     allow       Class-2             System-List
http_access     allow       Class-3             System-List
http_access     allow       Class-4             System-List
http_access     allow       Class-5             System-List

#= Black lists: ============
http_access     allow        Library-215         Blocks-List
http_access     allow        Library-218         Blocks-List
http_access     allow        Langlab             Blocks-List

http_access     allow        Class-1             Blocks-List
http_access     allow        Class-2             Blocks-List
http_access     allow        Class-3             Blocks-List
http_access     allow        Class-4             Blocks-List
http_access     allow        Class-5             Blocks-List


#= White lists: ============
http_access     allow       Library-215         Access-List
http_access     allow       Library-218         Access-List
http_access     allow       Langlab             Access-List

http_access     allow       Class-1             Access-List
http_access     allow       Class-2             Access-List
http_access     allow       Class-3             Access-List
http_access     allow       Class-4             Access-List
http_access     allow       Class-5             Access-List


#= White SSL lists: ========
http_access     allow       Library-215         SSL-List
http_access     allow       Library-218         SSL-List
http_access     allow       Langlab             SSL-List

http_access     allow       Class-1             SSL-List
http_access     allow       Class-2             SSL-List
http_access     allow       Class-3             SSL-List
http_access     allow       Class-4             SSL-List
http_access     allow       Class-5             SSL-List


#=== Port control: ===========
http_access     allow       Allow-port          Library-215
http_access     allow       Allow-port          Library-218

http_access     allow       Allow-port          Langlab
http_access     allow       Allow-port          Class-1
http_access     allow       Allow-port          Class-2
http_access     allow       Allow-port          Class-3
http_access     allow       Allow-port          Class-4
http_access     allow       Allow-port          Class-5
http_access     allow       Allow-port
[img]https://i.ibb.co/9wVmbhc/1.png[/img]

Programensh
() автор топика
Ответ на: комментарий от Programensh

Попробуй пока добиться полной блокировки, удали все разрешения. Белые списки и потом можно прикрутить

XMs ★★★★★
()
Ответ на: комментарий от Programensh

Вот добейся, чтобы он блокировал для всех, удали все лишние правила. После этого можно будет добавлять разрешения

XMs ★★★★★
()
Ответ на: комментарий от Programensh

Да ладно, ты хотя бы конфиги нормально приложил, да с iptables пробовал разобраться. Многие и этого не могут.

Если возникнут проблемы на одном из этапов, лучше создай новый тред с описанием как отдельного этапа, так и конечной цели. И сразу прикладывай конфиги, чтобы время не терять

XMs ★★★★★
()
17 апреля 2019 г.
Ответ на: комментарий от XMs

Squid3

Squid3 работает, вот только он блокирует сайты которых нет в чёрном списке, такие как yandex и google, в чём может быть причина?

Programensh
() автор топика
Ответ на: Squid3 от Programensh

Если возникнут проблемы на одном из этапов, лучше создай новый тред с описанием как отдельного этапа, так и конечной цели. И сразу прикладывай конфиги, чтобы время не терять

XMs ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
grafana: возможно ли посчитать отношение дельты двух счётчиков за интервал?
Admin
Легковесный VPN для коммуникации 2х устройств