Estou tentando encerrar o tráfego de https com base nas ACLs usando ssl_bumping sem descodificar o tráfego no modo de interceptação / transparente. Alguém já conseguiu isso para trabalhar antes? Eu copiei minha configuração e como minhas regras nat do iptables são.
Estou usando o squid 3.5.13 com as seguintes opções de compilação:
Cache Squid: Versão 3.5.12
Nome do serviço: squid
configure options: '--prefix = / usr' '--localstateir = / var' '--libexecdir = /lib/squid3' '--datadir = / share / squid3' '--sysconfdir = / etc / squid3' ' --with-default-user = proxy '' --with-logdir = / var / log / squid3 '' --with-pidfile = / var / run / squid3.pid '' --with-openssl '' - habilitado -ssl-crtd '' --enable-icap-client '' --com arquivos grandes '--enable-ltdl-convenience
squid.conf:
acl social dstdomain .google.com .facebook.com .reddit.com
acl step1 at_step SslBump1
acl step2 at_step SslBump2
ssl_bump stare step2 todos os
ssl_bump encerra o social
ssl_bump splice all
acl localnet src 192.168.50.0/24
acl SSL_ports porta 443
porta de Safe_ports do acl 80 # HTTP
acl Safe_ports port 21 # ftp
acl Safe_ports porta 443 # https
acl Safe_ports porta 70 # gopher
acl Safe_ports port 210 # wais
porta safe_ports acl 1025-65535 # portas não registradas
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
porta acl Safe_ports 591 # filemaker
porta de acesso rápido 777 # acl http http: //
método ACL CONNECT CONNECT
http_access permite o gerenciador localhost
http_access deny manager
http_access deny! Safe_ports
http_access deny CONNECT! SSL_ports
http_access allow localnet
http_access permite localhost
http_access allow all
http_port 3128 transparente
https_port 3129 interceptar certificado ssl-bump = / etc / squid3 / ssl_cert / squidSSL.pem
cache_dir ufs / cache / squid3 / spool 100 16 256
access_log syslog: local5.info squid
coredump_dir / var / spool / squid3
url_rewrite_program / usr / bin / squidGuard -c /cache/config/daemons/squidguard/squidGuard.conf
url_rewrite_children 15
url_rewrite_access permitir tudo
refresh_pattern ^ ftp: 1440 20% 10080
refresh_pattern ^ gopher: 1440 0% 1440
refresh_pattern -i (/ cgi-bin / | \?) 0 0% 0
refresh_pattern. 0 20% 4320
icap_enable no
icap_send_client_ip no
icap_send_client_username no
icap_client_username_encode desligado
icap_client_username_header X-Authenticated-User
icap_preview_enable no
icap_preview_size 1024
icap_service service_req reqmod_precache bypass = 1 icap: //127.0.0.1: 1344 / squidclamav
readaptation_access service_req permitir tudo
icap_service service_resp respmod_precache bypass = 1 icap: //127.0.0.1: 1344 / squidclamav
readaptation_access service_resp permitir tudo
iptables -L -v -t nat (apenas regras relevantes):
Cadeia PREROUTING (política ACCEPT 1083 pacotes, 233K bytes)
Pkts bytes destino prot opt out destino de origem
157 9420 DNAT tcp - eth1 qualquer lugar em qualquer lugar tcp dpt: https para: 192.168.11.1: 3129
Encadeamento PREROUTING-daemon-tcp (1 referências)
Pkts bytes destino prot opt out destino de origem
443 26580 tcp DNAT - eth1 qualquer lugar em qualquer lugar tcp dpt: http: 192.168.11.1: 3128
0 0 DNAT tcp - eth2 qualquer lugar em qualquer lugar tcp dpt: http para: 172.17.0.1: 3128
Neste momento, não consigo terminar o tráfego de https. Tudo o que ele faz é permitir isso.
Toda e qualquer ajuda seria muito apreciada!
~ Usuário Lula Extremamente Confuso ~