LINUX.ORG.RU

Триклятого squid-а тред

 


0

2

Как настроить эту хрень, чтоб не скармливать всем клиентам серты? Реально такое? По идее что, сквид скачивает страничку и отдаёт её клиенту? Или что? Как он вообще работает? Что он там кэширует? Блджад, мне надо просто настроить логирование, а эта фигня мне яйца выкручивает. Бочку соснул, гуйца сделал. Ничего не помогает. Меня вполне бы устроил тот вариант, если бы сквид выдавал страничку незашифрованной. Можно как-нибудь такое организовать?

Есть ман на русском? Или лучше готовый конфиг с комментами. Вариант с установкой сертификатов не вариант, никто это делать не станет, клиентов овер дофига.

Deleted

чувак... я нихрена не понял, но ты заговорил и тронул мое сердце...

CHIPOK ★★★
()

Реально такое?

Неа. Смысл TLS именно в этом.

thesis ★★★★★
()

Отрапортуй, что чисто технически не можешь это сделать. В любом случае они не смогут найти того, кто сможет без установки сертификатов такое провернуть, а значит тебя не уволят.

KivApple ★★★★★
()
Ответ на: комментарий от KivApple

Да никто и не собирался. Просто задача изначально дебильная. Я вообще веб дизайнер, но блин, внезапно решили, что если я шарю в сайтостроении и немного в линуксах, я такой весь из себя компьютерщик.

Deleted
()
Ответ на: комментарий от redgremlin

Вот да, зря меня не уволят. Предлагаю приехать тебе и сделать, раз ты такой крутой.) Сможешь замутить такое и можешь рассчитывать на мою з/п. Делов то всего ничего. Просто же.

Deleted
()
Ответ на: комментарий от Deleted

Ну так и скажи что не можешь. В чем проблема то? И юзерам хорошо сделаешь заодно.

KivApple ★★★★★
()
Ответ на: комментарий от Deleted

Чувак, мой тебе совет - брось это дело. Там геморроя прилично, особенно если делаешь это в первый раз. А уж если тебе платят вовсе не за это - есть мнение что надо врубить идиота. Сохранишь нервы себе и всем остальным.

Pinkbyte ★★★★★
()

Без установки сертификата ты не сможешь это сделать[1], потому что шифрование для того и придумано, чтобы никто[2] не смог узнать, какую конкретно страницу кто смотрит и какие данные передаются.

Можно принудительно сделать MitM с самоподписанным сертификатом, но тогда браузеры будут ругаться на проблемы с сертификатом.

[1]. Только если у тебя нет поддельного сертификата, удостоверенного любым центром, который в базе браузера. Или пока ты не сломаешь шифрование.

[2]. Кроме конечного сервера и клиента.

Chaser_Andrey ★★★★★
()
Последнее исправление: Chaser_Andrey (всего исправлений: 1)

Для http у тебя будут полные логи кто, куда (с полной детализацией: путь на сервере, размер, код ответа), когда. для https - кто, когда и факт соединения до такого-то сервера (там может быть несколько запросов внутри одного соединения).

в https на прокси заглянуть можно, но для этого squid сам становится «центром сертификации» для всех сайтов. А чтоб ssl на клиентах не орал про mitm - на всех клиентов надо добавить в доверенные корневой серт squid'а. Геморно, неудобно, но на то и придуман ssl.

anonymous
()

Все можно если сильно захотеть. Предлагаю поискать на habrahabr.ru название статьи «Прозрачный» Squid с фильтрацией HTTPS ресурсов без подмены сертификатов (х86, х64 — универсальная инструкция) кусок лога

1482810512.983   2132 192.168.28.200 TCP_TUNNEL/200 6733 CONNECT 213.180.193.82:443 - ORIGINAL_DST/213.180.193.82 -
1482810512.984   2229 192.168.28.200 TAG_NONE/200 0 CONNECT 213.180.193.82:443 - HIER_NONE/- -
1482810512.984   2082 192.168.28.200 TCP_TUNNEL/200 6733 CONNECT 213.180.193.82:443 - ORIGINAL_DST/213.180.193.82 -
1482810512.988   2259 192.168.28.200 TAG_NONE/200 0 CONNECT 213.180.193.82:443 - HIER_NONE/- -
1482810512.988   2093 192.168.28.200 TCP_TUNNEL/200 6733 CONNECT 213.180.193.82:443 - ORIGINAL_DST/213.180.193.82 -
1482810512.991   2300 192.168.28.200 TAG_NONE/200 0 CONNECT 213.180.193.82:443 - HIER_NONE/- -
1482810512.991   2190 192.168.28.200 TCP_TUNNEL/200 6733 CONNECT 213.180.193.82:443 - ORIGINAL_DST/213.180.193.82 -
1482810512.995   2296 192.168.28.200 TAG_NONE/200 0 CONNECT 213.180.193.82:443 - HIER_NONE/- -
1482810512.995   2174 192.168.28.200 TCP_TUNNEL/200 6733 CONNECT 213.180.193.82:443 - ORIGINAL_DST/213.180.193.82 -
1482810512.995   2304 192.168.28.200 TAG_NONE/200 0 CONNECT 213.180.193.82:443 - HIER_NONE/- -
1482810512.995   2244 192.168.28.200 TCP_TUNNEL/200 7019 CONNECT 213.180.193.82:443 - ORIGINAL_DST/213.180.193.82 -
1482810512.996   1446 192.168.28.200 TAG_NONE/200 0 CONNECT 148.251.248.50:443 - HIER_NONE/- -
1482810512.996   1441 192.168.28.200 TCP_TUNNEL/200 219 CONNECT 148.251.248.50:443 - ORIGINAL_DST/148.251.248.50 -
1482810513.005   1461 192.168.28.200 TAG_NONE/200 0 CONNECT 148.251.248.50:443 - HIER_NONE/- -

далее велосипед
pvvking@router:/usr/share/lightsquid# echo -n | openssl  s_client -connect  217.69.139.127:443  |grep "subject=/"
depth=1 C = US, O = GeoTrust Inc., CN = GeoTrust SSL CA - G3
verify error:num=20:unable to get local issuer certificate
verify return:0
DONE
subject=/C=RU/ST=RUSSIAN FEDERATION/L=Moscow/O=LLC Mail.Ru/OU=IT/CN=*.mail.ru

ну вот вроде как и все. Работает.

pvvking ★★
()
Ответ на: комментарий от pvvking

Ты главное не забудь упомянуть что не HTTPS-трафик по порту 443 ходить не будет. То есть всякие скайпы и асечки(а может и вацапы с вайбером), некоторые банк-клиенты - пойдут лесом.

Pinkbyte ★★★★★
()

Только отработав 5+ лет в техподдержке понимаешь всю глубину фразы - «Это технически НЕ ВОЗМОЖНО!»(c)

julixs ★★★
()

Уже вторую такую тему вижу, и не пойму людей че им не хватает. В 2к16 squid умеет в http connect. Какие к черту подмены сертификатов? Вам что SNI не хватает чтобы фильтровать кто-куда? Или у вас фильтрация идет не подоменно, а к конкретным страницам? Вы что из роскомнадзора?

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.