înregistrare Logare
Puncte:1
avatar Server

Imposibil de accesat site-urile HTTP prin proxy HTTPS Squid

drapel bm
theillien

Am o configurație de lucru pentru SSL bumping pe Squid 4.4 și RHEL8. Totuși, constat că o mână de site-uri care nu au configurat SSL (de ex., http://squidguard.org) nu funcționează.

A trebuit să-mi pun la punct configurația folosind mai multe surse diferite, deoarece niciuna nu pare să ofere o abordare definitivă pentru configurarea SSL bumping. Este posibil să fi omis ceva care i-ar permite lui Squid să gestioneze atât traficul HTTP, cât și HTTPS?

Iată ce văd în jurnal:

1624658033.150 59887 10.108.0.18 TCP_MISS/503 4300 GET http://squidguard.com/favicon.ico - HIER_DIRECT/3.223.115.185 text/html
1624658042.966 60608 10.108.0.18 TCP_MISS/503 4392 GET http://squidguard.com/ - HIER_DIRECT/3.223.115.185 text/html

Eroarea de pe pagina browserului spune

Următoarea eroare a fost întâlnită în timpul încercării de a prelua adresa URL: http://squidguard.com/
Conexiunea la 3.223.115.185 a eșuat.
Sistemul a revenit: (110) Conexiune a expirat
Gazda de la distanță sau rețeaua poate fi oprită. Vă rugăm să încercați din nou solicitarea.

Gazda de la distanță sau rețeaua nu este totuși defectă. Pot ajunge la el când nu trec prin proxy.

My squid.conf:

acl vdi src 10.108.0.0/20

acl SSL_ports portul 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # porturi neînregistrate
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT metoda CONECTARE

acl intermediate_fetching tranzacție_inițiator certificate-fetching
http_access permite preluarea_intermediară

http_access deny !Safe_ports

http_access permite managerul localhost
http_access manager de refuz

http_access permite vdi

http_access deny all

http_port 0.0.0.0:3128
http_port 0.0.0.0:3129 ssl-bump cert=/etc/squid/ssl_cert/myCA.pem generate-host-certificates=on
https_port 0.0.0.0:3130 intercept ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=20MB cert=/etc/squid/ssl_cert/myCA.pem

sslcrtd_program /usr/lib64/squid/security_file_certgen -s /var/lib/squid/ssl_db -M 20MB
ssl_bump se uită toți
ssl_bump bump all

cache_dir ufs /var/spool/squid 100 16 256

coredump_dir /var/spool/squid

refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320

shutdown_lifetime 1 secundă

Nu am iptables care rulează, așa că nu am reguli de REDIRECT. Bănuiesc că aceasta este problema.

1503
1 + 5
roelvanmeer avatar
drapel ie
roelvanmeer
Dacă nu aveți reguli de REDIRECT, cum accesați proxy-ul? Dacă ați configurat proxy-ul în browser, proxy-ul nu este transparent și atunci nu aveți nevoie deloc de SSL bumping.
0
Răspunde
mandza avatar
drapel rs
mandza
Puteți adăuga configurația dvs. iptables? Puteți verifica cu: sudo iptables -S
0
Răspunde
drapel cn
chutz
Am crezut că SSL bumping este pentru MITM de accesare a site-urilor HTTPS pentru a putea inspecta traficul. Site-urile HTTP sunt deja necriptate, așa că scăderea SSL este irelevantă.
1
Răspunde
drapel bm
theillien
@roelvanmeer Aceasta a fost o neînțelegere din partea mea; Am crezut că „SSL Bumping” și „Transparent Proxy” sunt interschimbabile.Bănuiesc că configurarea manuală a proxy-ului pe clienți face ca regulile REDIRECT să nu fie necesare, deoarece funcționează fără ele. În cele din urmă, problema a fost în afara proxy-ului, serverului și clienților. În mod ciudat, firewall-ul, pe care nu îl controlez, a fost configurat să permită portul 443, dar nu portul 80. Acest lucru a fost corectat și acum tot traficul decurge conform așteptărilor.
0
Răspunde
drapel bm
theillien
@chutz Problema a fost (vezi comentariul meu de mai sus) că nu am putut accesa site-uri web care sunt configurate doar pentru HTTP; de exemplu, http://www.squidguard.org. Când aș încerca să accesez aceste site-uri, conexiunea se va opri. La suprafață, aceasta ar putea să nu pară o problemă semnificativă, deoarece cea mai mare parte a internetului a trecut la HTTPS. Există, totuși, unele cazuri care provoacă probleme. Mai exact, CRL-urile sunt de obicei difuzate prin HTTP. Acestea erau blocate.
0
Răspunde
Puncte:0
avatar Server
drapel bm
theillien

Problema este discutabilă. Sursa problemei a fost în afara domeniului Squid sau chiar a serverului pe care rulează. Portul 80 era blocat la firewall.

0 + 0
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.