LINUX.ORG.RU
ФорумAdmin

Часть 3. squid3, ssl - не работает


2

2

По мотивам раз и два

Собрал на дебиане (7.1) squid с поддержкой ssl (--enable-ssl и --enable-ssl-crtd). Делаем например вот так - не работает. Эксперименты с http_port и https_port, разными портами для http и https ни к чему не ведут. В браузере имеем ERR_SSL_PROTOCOL_ERROR (хром) либо другие подобные ошибки.

У меня уже сил нет его ковырять, и что этой заразе для работы нужно.

п.с. Сертификат свой браузеру не скармливал, вроде как можно без этого обойтись.

★★★★★

Последнее исправление: leg0las (всего исправлений: 1)
smstools и чтение скриптов
помогите разобратся как моя убунта 12.04 заапдейтила кернел до 3.5.0?
1 2
Ответ на: комментарий от leg0las

Читал, и как я понял - это не самый лучший вариант, прокся все же рулит.

У прокси как ты видишь огромные проблемы с https. Плюс, у прокси больше оверхеда + под проксю нужен кеш и тд и тп.
Я бы эту проблему решал именно фраером.

tazhate ★★★★★
()
Ответ на: комментарий от tazhate

Я тоже за фаер, п.ч. я таблесы все-таки немного знаю и понимаю как оно работает. Но в том треде писали - что если таблесы и блокировка «vk.com» в разных плоскостях OSI лежат, потому все же прокся лучше.

В крайнем случае я зобаню на 443-м через таблесы, а 80-й вместе с порнухой (да-да, у нас смотрят! netflow не даст соврать!:-)) порубаю проксей.

leg0las ★★★★★
() автор топика
Последнее исправление: leg0las (всего исправлений: 1)
Ответ на: комментарий от tazhate

Ок. А если используется прокся, например встроенная в оперу турбо? Коннект все равно зарежется? А как же анонимайзеры? хотя они скорее всгое бегают по 80-му порту, там сквидом можно будет это дело прибить.

leg0las ★★★★★
() автор топика
Ответ на: комментарий от leg0las

Ок. А если используется прокся, например встроенная в оперу турбо? Коннект все равно зарежется? А как же анонимайзеры? хотя они скорее всгое бегают по 80-му порту, там сквидом можно будет это дело прибить.

Турбо обойдет и сквид и фаер. Как и анонимайзеры.

tazhate ★★★★★
()
Ответ на: комментарий от tazhate

На счет сквида я не уверен. Там есть секция, позволяющая резать анонимайзеры/проксю.

Ну а у меня htpps заработал. Правда твиттер не захотел подниматься, но я подозреваю что это проблема оперы, т.к. изначально он открывался, потом я начал ковырять настройки сквида и он отвалился.

Во всяком случае на нагугленные случайно https сайты зашло, помимо дропбокса, фб, ютуба, гугла, и вк (по https же!).

Конфиг черновой, буду дописывать, выглядит так:

acl mgmt proto cache_object
http_access allow mgmt localhost
http_access deny mgmt
####################################
acl ip_local src 127.0.0.1/32
####################################
acl local_net src 10.254.0.0/21         # vlan254
####################################
acl SSL_ports port 443
acl Safe_ports port 21 80 443 1025-65535
acl CONNECT method CONNECT
acl socialnetwork dstdomain vk.com
####################################
http_access deny !Safe_ports
http_access allow CONNECT SSL_ports
http_access deny CONNECT !SSL_ports
http_access deny socialnetwork
http_access allow local_net
http_access allow ip_local
http_access deny all
####################################
http_port 3128 intercept
https_port 3129 intercept ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=64MB cert=/etc/ssl/squid/squidCA.pem
always_direct allow all
sslproxy_cert_error allow all
sslproxy_flags DONT_VERIFY_PEER
ssl_bump server-first all # ssl_bump allow all в 3.3 УСТАРЕЛА, ssl_bump client-first all не используется из-за косяков с ней.
# ssl_bump client-first all
sslcrtd_program /usr/lib/squid3/ssl_crtd -s /var/cache/ssl_db -M 64MB
sslcrtd_children 8
####################################
dns_nameservers 178.151.166.211 8.8.8.8
dns_timeout 2 minutes
####################################
coredump_dir /var/spool/squid3
####################################
error_directory /usr/share/squid-langpack/ru
####################################
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern .               0       20%     4320
####################################
cache_mem 1024 MB
maximum_object_size 8092 KB
maximum_object_size_in_memory 512 KB
cache_dir ufs /var/spool/squid3 2048 64 256
####################################
request_header_access From deny all
request_header_access Referer deny all
request_header_access Server deny all
request_header_access Link deny all
request_header_access User-Agent deny all
request_header_access Via deny all
request_header_access X-Forwarded-For deny all
####################################
cache_mgr nat-mta-admin@nulau.edu.ua
cache_effective_user proxy
cache_effective_group proxy
httpd_suppress_version_string on
leg0las ★★★★★
() автор топика
Ответ на: комментарий от tazhate

Да, трабл таки в опере, на тестовой машине ишак и фф открыли твиттер.

leg0las ★★★★★
() автор топика
Ответ на: комментарий от tazhate

У прокси при правильно настройке нет проблем с HTTPS. Свой CA, которому доверяют все компы в сети, от имени которого сквид выдает сертификаты - залог успеха. У меня работает на 300+ компах идеально, никто не жалуется.

И кэш у прокси быть не должен, он на этапе компиляции вырублен, сквид работает только для фильтрации.

Я посмотрю как ты блэклист из 1.2млн строк файрволлом заблокируешь: 

# cat lists_block-domains.txt | wc -l
1119087
У тебя сервер умрёт сразу же от такого количества правил в iptables. А сквид ничего, блокирует себе и не жужжит, не напрягая сервер вообще.

Так что призываю быть разумнее и использовать инструменты по назначению. Шуруп, забитый молотком, держится лучше чем гвоздь закрученый отверткой :)

blind_oracle ★★★★★
()
8 ноября 2014 г.
Ответ на: комментарий от blind_oracle

у меня через него 300 человек ходит, сквид уже 5000 сертификатов навыдавал, ни разу не упало.

и на всех 300 машинах сертификат был вручную добавлен в браузер? или есть более хитрый способ?

snaf ★★★★★
()
Ответ на: комментарий от snaf

и на всех 300 машинах сертификат был вручную добавлен в браузер?

Да мы что ж, враги себе? :)

или есть более хитрый способ?

Да, называется групповые политики виндового домена. Несколько кликов мышом и после следующего ребута все компы в домене доверяют этому сертификату как своей маме.

Если клиенты линупсы, то это аналогично делается каким-нибудь puppet/chef/ansible.

blind_oracle ★★★★★
()
Ответ на: комментарий от blind_oracle

просто замечательно, спасибо за наводку.

snaf ★★★★★
()
Ответ на: комментарий от maxt_t

Да, именно так. Но у нас сертификат от Comodo Security, и браузері не слишком достают пользователей для подтверждения исключения безопасности.

Разве сертификат не подписан только для одного домена?

snaf ★★★★★
()
Ответ на: комментарий от snaf

Разве сертификат не подписан только для одного домена?

Вообще именно так. Сначала ты генеришь _свой_ CA и кормишь его сквиду, а сквид затем сам себе при первом коннекте к домену генерит сертификаты с нужным полем CN и подписывает своим же CA.

Так что всякие сертификаты от комодо тут не помогут - у этих сертификатов нет права подписывать другие сертификаты, иначе это был бы хаос.

blind_oracle ★★★★★
()
Ответ на: комментарий от snaf

Касаемо ssl-bump: 

ssl_bump none domains_ssl_direct
ssl_bump none ip_ssl_direct
ssl_bump client-first domains_ssl_error
ssl_bump server-first all
sslproxy_cafile /etc/ssl/certs/ca-certificates.crt
sslproxy_options NO_SSLv2,NO_SSLv3
sslproxy_cipher ECDH+AESGCM:DH+AESGCM:ECDH+AES:DH+AES:DH+AES:RSA+AESGCM:RSA+AES:ECDH+3DES:DH+3DES:RSA+3DES:!aNULL:!MD5:!DSS
sslproxy_cert_error allow domains_ssl_error
sslproxy_cert_error deny all
sslcrtd_program /opt/squid/libexec/ssl_crtd -s /etc/squid/ssl/ssl_db -M 128MB
sslcrtd_children 50 startup=10 idle=10

blind_oracle ★★★★★
()
Ответ на: комментарий от snaf 
http_port 10.1.16.19:3128 ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=64MB cert=/etc/squid/ssl/ca-squid.domain.ru.pem options=NO_SSLv2,NO_SSLv3 dhparams=/etc/squid/ssl/dh2048.pem cipher=ECDH+AESGCM:DH+AESGCM:ECDH+AES:DH+AES:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS

Squid Cache: Version 3.3.12
configure options:  '--prefix=/opt/squid' '--sysconfdir=/etc/squid' '--disable-loadable-modules' '--disable-wccp' '--disable-wccpv2' '--disable-eui' '--disable-htcp' '--disable-select' '--disable-poll' '--with-pthreads' '--disable-storeio' '--disable-disk-io' '--disable-removal-policies' '--enable-delay-pools' '--disable-useragent-log' '--disable-referer-log' '--enable-ssl' '--enable-ssl-crtd' '--disable-cache-digests' '--enable-icap-client' '--disable-snmp' '--disable-ident-lookups' '--enable-auth' '--enable-auth-basic=LDAP,PAM' '--enable-auth-ntlm=smb_lm' '--enable-auth-negotiate=kerberos' '--enable-auth-digest=LDAP,file' '--enable-external-acl-helpers=LDAP_group' '--enable-zph-qos' '--with-openssl' '--disable-ipv6'
blind_oracle ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
1 2
smstools и чтение скриптов
Admin
помогите разобратся как моя убунта 12.04 заапдейтила кернел до 3.5.0?