Подсткажите софт для https прокси

squid.

Спасибо, интересует кроме него.

М.б. nginx получится как проксю юзать, но с конфигом не помогу.
Поверь, squid удобнее и правильнее всего.

а есть конфиг минимальный на сквид?

По дефолту поставляется отлично комментированный squid.conf, не поленись его прочитать и будет тебе счастье.

он слишком большой, без синтаксиса и обьяснений, слишком много настроек для моего 5 минутного дела.

Никто ничего за тебя делать не будет. Тебе голова на что дана?

и не прошу делать, конфиг серавно редактивать пришлось бы, надеюсь сюда заглянет человек с конфигом в архиве.

Вот такая оказия должна заработать. Проще некуда. Отсутствие ошибок и описок не гарантирую. Аналоги выгугливаются за три минуты.

acl aaa src твой_айпи_откуда_собразся_лезть
http_port 3128
visible_hostname имя_хоста
hosts_file /etc/hosts
dns_nameservers список_dns
cache_mgr твой_емыл

delay_pools 1

delay_class 1 2
delay_parameters 1 -1/-1 -1/-1
delay_access 1 allow all

http_access allow aaa
http_access deny all

Если в src поставишь 0.0.0.0 дай адресок vps-ки :)

Если получится со squid'ом, поделитесь, пожалуйста, настройками, а то у меня не работает https_port 3128 (на сертификат ругается), в результате чего https через прокси не идет (понятное дело, кэшироваться он не будет, но неудобно, что трафик не считается для https).

прокси говорит:

Error: the proxy server (Squid) is not configured to allow SSL tunnel to port 80.    To fix the problem please find and comment the following line in the Squid    configuration file (squid.conf):       http_access deny CONNECT !SSL_ports    The proxy server reply header is:       HTTP/1.0 403 Forbidden       Server: squid/2.6.STABLE21       Date: Tue, 15 Feb 2011 18:38:40 GMT       Content-Type: text/html       Content-Length: 1027

нашел закоментил, толку 0, тоже самое пишет!

squid'у нужен сертификат SSL, как его сделать, я не сообразил.

думаеш To fix the problem please find and comment the following line in the Squid из-за отсутствия сертификата? я вроде сделал.

всмысле сертиффикат сделал, а сквид нет.

с таким конфигом не запускается даже не говорит почему

/var/log/squid/cache.log можно посмотреть?

для CONNECT - ничего не нужно.

Вот только что настрогал, плюс сделал сертификат.
cat /etc/squid/squid.conf

acl CONNECT method CONNECT
acl SSL_ports port 3128
acl aaa src 127.0.0.1
https_port 3128 cert=/etc/squid/ssl/server.pem key=/etc/squid/ssl/server.key

visible_hostname pet64
hosts_file /etc/hosts
dns_nameservers 213.87.0.1 213.87.1.1
cache_mgr ru.hlfs@gmail.com

delay_pools 1

delay_class 1 2
delay_parameters 1 -1/-1 -1/-1
delay_access 1 allow all

http_access allow aaa
http_access deny CONNECT !SSL_ports
http_access deny all

Арбайтает со свистом. Версия сквида 3.1.9

Если надо ходить не только на https, то можно закомментировать строки:
acl CONNECT method CONNECT
acl SSL_ports port 3128
http_access deny CONNECT !SSL_ports

Ан нет, насчёт вот этого: «то можно закомментировать строки:» наврал, сейчас подумаю где.

вот рабочий конфиг (практически дефолтный, только комменты повырезал)

acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32
acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
acl SSL_ports port 443 # https
acl SSL_ports port 563 # snews
acl SSL_ports port 873 # rsync
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localnet
http_access allow localhost
http_access deny all
icp_access allow localnet
icp_access deny all
http_port 192.168.3.1:3128
hierarchy_stoplist cgi-bin ?
access_log /var/log/squid/access.log squid
url_rewrite_program /usr/bin/adzapper.wrapper
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern (Release|Packages(.gz)*)$ 0 20% 2880
refresh_pattern . 0 20% 4320
acl shoutcast rep_header X-HTTP09-First-Line ^ICY.[0-9]
upgrade_http0.9 deny shoutcast
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
extension_methods REPORT MERGE MKACTIVITY CHECKOUT
hosts_file /etc/hosts
coredump_dir /var/spool/squid

/var/log/squid/cache.log пусто
сквид не стартует

https_port 3128 # cert=/etc/squid/ssl/server.pem key=/etc/squid/ssl/server.key
у Вас стартует если так закоментить ?
чем ключи создавали? может мои не подходят...openssl создавал.

вот с конфига выше:


2011/02/15 15:05:32| ACL name 'all' not defined!
FATAL: Bungled squid.conf line 15: delay_access 1 allow all

> чем ключи создавали?

Залез по ssh на работу, запустил там скрипт из /etc/pki
Стянул обратно домой. Лень было руками три команды запускать, потому что параметров не помню наизусть.
Там тоже openssl используется для генерации.

Если так закоментировать, то стартовать не должен.
В общем, у меня сейчас тоже не работает ничего. Ругань в логах на негоциацию с клиентом. Пытаюсь понять, почему работало сначала. Скорее всего я тебя ввёл в заблуждение.

Ты хотя бы софт озвуч. Может у тебя там вообще сквид второй версии.

так я выше уже писал, сентос5 сквид через yum ставил Server: squid/2.6.STABLE21

«вот рабочий конфиг (практически дефолтный, только комменты повырезал)»

вот Ваш рабочий конфиг:

2011/02/15 15:05:32| ACL name 'all' not defined!
FATAL: Bungled squid.conf line 15: delay_access 1 allow all
Squid Cache (Version 2.6.STABLE21): Terminated abnormally.
2011/02/15 15:23:42| ACL name 'localnet' not defined!
FATAL: Bungled squid.conf line 30: http_access allow localnet
Squid Cache (Version 2.6.STABLE21): Terminated abnormally.

да и как он вообще может работать без visible_hostname

Версии сквидов у нас различаются. Завтра на работе на центоси потренируюсь, отпишусь, если за сегодня решение не найдёшь. Сегодня у меня уже голова не работает.
А насколько критично устанавливать ssl соединение с самим прокси? Может оно нафиг не надо?

Меня на локалхосте вот такой минимум пускает и на http и на https и на ftp.

acl aaa src 127.0.0.1
http_port 3128
visible_hostname pet64
hosts_file /etc/hosts
dns_nameservers 127.0.0.1
cache_mgr ru.hlfs@gmail.com
delay_pools 1
delay_class 1 2
delay_parameters 1 -1/-1 -1/-1
delay_access 1 allow all
http_access allow aaa
http_access deny all

надо, именно ssl надо, остальное нет.

Вот человек выше предложил свой конфиг, коментю его личное и запускаю, исправляю все ошибки логе, дохажу до :

Error: the proxy server (Squid) is not configured to allow SSL tunnel to port 80.
   To fix the problem please find and comment the following line in the Squid
   configuration file (squid.conf):
      http_access deny CONNECT !SSL_ports


и все....опять вернулся в начало.
т.е.
с дефолтным конфигом,
коментю http_access deny CONNECT !SSL_ports
и все таже ошибка - закоментируйте http_access deny CONNECT !SSL_ports

т.е. вам обязательно, чтобы на прокси был свой ssl-сертификат, и никак не подойдет самый обычный прокси, пускающий, позволяющий соединиться с https?

сертиффикат не нужен, нужен https прокси

Во первых http_access deny CONNECT !SSL_ports запрещает коннект с прокси на не ссл-порты, а не то, что тебе нужно.

Во вторых в конфиге человека нет сертификатов, так что он ничем не отличается от моего минимального, только строк больше и он не обеспечит тебе поднятие ссл между тобой и прокси, чтобы проводить не-ссл трафик поверх ссл-соединения до прокси.

В третьих у тебя в центоси должен быть готовый скрипт в /etc/pki для генерации самоподписанных сертификатов, так что воспользуйся им и не мучайся.

И возьми за основу мой конфиг с https_port. По крайней мере он делает то, что тебе нужно — поднимает ссл-соединение между клиентом и прокси.
Останется только в логи глянуть и понять чего ему не хватает.

и all и localnet в моем конфиге есть и замечательно работает на 2.7, либо думайте где вы не так скопировали, либо ищите почему это вдруг localhost, заданный абсолютно аналогично - работает, а all и localnet - нет.

ему не нужно ssl-соединение между клиентом и прокси, ему нужно ssl между клиентом и http-сервером.

> сертиффикат не нужен, нужен https прокси

Если ты хочешь поднять ssl между собой и прокси, то тебе *нужен сертификат*.
Тогда у тебя и весь траффик пойдёт поверх шифрованного канала до прокси, затем нешифрованный пойдёт после прокси в открытую.

Он либо сам не знает чего хочет, либо не понимает чего хочет. Пусть пока определится, а мне наверное уже пора спать.

вполне возможно.
спокойной ночи.

> ему не нужно ssl-соединение между клиентом и прокси, ему нужно ssl между клиентом и http-сервером.

А для этого случая и вот этого конфига за глаза http://www.linux.org.ru/jump-message.jsp?msgid=5910293&cid=5911419

Спокойной, а также продуктивной ночи и вам, остающимся. :)

единственная проблема, что он не рабочий
а) нет определения all
б) не факт что на 127.0.0.1 висит днс-сервер.

Default Value: acl all src all
А с локалхоста возмётся из /etc/resolv.conf по умолчанию

а теперь откройте доку по 2.6 и удивитесь http://www.squid-cache.org/Versions/v2/2.6/cfgman/acl.html

насчет локалхоста, кстати, я тоже не шибко уверен, ибо в доке черным по белому написано, что дефолтного значения нет, и это значение будет использоваться вместо серверов из resolv.conf
hint - в resolv.conf может быть прописан не локалхост, несмотря на то что на локалхосте днс-сервер есть.

У меня у самого 2.7 и acl all src 0.0.0.0/0.0.0.0 в конфиге имеется. Просто вроде "Lumi порожняк не гонит".
Дома в конфиге сквида явно DNS-сервер не задан, берётся из resolv.conf. В универе на кафедре прописан dns_nameservers, указывающий на сам хост, на нём bind9 и forwarders на провайдера. И так, и так, работает.

hint - в resolv.conf может быть прописан не локалхост, несмотря на то что на локалхосте днс-сервер есть.
Если в resolv.conf DNS-сервера провайдера/шлюза к примеру, на локалхосте крутится bind и разрешает только локальную зону интранета, без forwarders, то тоже будет работать, это проверено. У меня такой конфиг был пока я bind не настроил. Запросы машин из интранета приходили на кафедральный сервак на squid, адреса ресолвились с source DNS-серверов из resolv.conf, дальше понятно, всё работало.
Потом поставил bind и чтоб смело раздавать/вписывать свой DNS-сервер клиентам в сетке, вписал forwarders в named.conf.options и dns_nameservers в squid.conf.

У меня вот такие настройки:

access_log /var/log/squid/access.log
visible_hostname <hostname>
tcp_outgoing_address <out_ip>
icp_port 0
http_port 3128
cache_peer <parent_dns> parent 8080 0 default
shutdown_lifetime 0 seconds
never_direct allow all
cache_mem 128 MB
cache_dir diskd /Data/squid 15500 64 256
maximum_object_size 20000 KB
cache_store_log none
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
refresh_pattern ^ftp:           43200    20%     10080
refresh_pattern ^gopher:        43200    0%      1440
refresh_pattern .               43200    100%     2563200 ignore-no-cache reload-into-ims override-lastmod override-expire ignore-reload
half_closed_clients off
acl manager proto cache_object
acl localhost src 127.0.0.1 <my_ips>
acl to_localhost dst 127.0.0.0/8
acl localnet src 192.168.99.2 # RFC1918 possible internal network
acl SSL_ports port 443 563
acl Safe_ports port 80          # http
acl Safe_ports port 20          # ftp
acl Safe_ports port 21          # ftp
acl Safe_ports port 443 563     # https, snews
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT
acl ban urlpath_regex -i \.bmp$ \.swf$ 
acl bban urlpath_regex -i \.exe$ \.rar$
acl sban urlpath_regex vkontakte
delay_pools 2
delay_class 1 1
delay_access 1 allow bban
delay_access 1 deny all
delay_parameters 1 50/5000
delay_class 2 1
delay_access 2 allow sban
delay_access 2 deny all
delay_parameters 2 300/5000
reply_body_max_size	3 MB	all
request_body_max_size	300 KB	all
http_access deny ban
http_access allow localhost
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny to_localhost
http_reply_access allow all
icp_access deny all
http_access deny all
append_domain <my_domain>
deny_info ERR_CUSTOM_ACCESS_DENIED all
memory_pools off
coredump_dir /var/spool/squid

To Eddy_Em: советую бан vkontakte по dst вот этих диапазонов

95.142.192.0/20
93.186.232.0/21
93.186.224.0/21
87.240.128.0/18

про ДНС проехали, берет из ресолва указывай или нет.

Мне нужен прокси с https протоколом, с возможностью подключения на любой порт, мне не для apache, как бы это обьяеснить, вот как Сокс5, только https.

берет из ресолва указывай или нет.

4.2.
Укажи в resolv.conf валидный IP DNS-сервера, а в squid.conf dns_nameservers <любой IP> , сделай squid -k reconfigure, и посмотрим какую ошибку тебе выдаст браузер при запросе любой нелокальной веб-страницы через прокси.