[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: squid incept https

Hello Леонид,

On Wed, 26 Aug 2015 13:53:56 +0600
Леонид Кальмаев <kalmaevlv@gmail.com> wrote:

> Как не знает? в заговке начального пакета  все есть куда подключаться.
> Другое дело что сквид тогда не видит что происходит в нутри этого tcp
> соединения. И я не смогу порезать загрузку видео или музыки.
> 26 авг 2015 г. 13:42 пользователь "Alexander Gerasiov" <gq@cs.msu.su>
> написал:
> 
> > Hello Леонид,
> >
> > On Wed, 26 Aug 2015 10:38:35 +0600
> > Леонид Кальмаев <kalmaevlv@gmail.com> wrote:
> >
> > > Нет сертификат не ставил на клиент. Ошибка безопасности пока не
> > > смущала, контент страницы должен был грузится. Проблема
> > > сохраняется если указать ssl_bump none all , с таким конфигом он
> > > просто должен сделать тунель и не подменять сертификаты.
> > Туннель куда? Не подменив сертификат, он не узнает куда
> > подключаться.
> >
> > >
> > > 26 августа 2015 г., 10:29 пользователь Vasiliy P. Melnik
> > > <basil@vpm.net.ua> написал:
> > >
> > > > сертификат клиенту добавили ?
> > > >
> > > >
> > > >
> > http://roberts.bplaced.net/index.php/linux-guides/centos-6-guides/proxy-server/squid-transparent-proxy-http-https
> > > >
> > > > 26 августа 2015 г., 6:36 пользователь Леонид Кальмаев
> > > > <kalmaevlv@gmail.com
> > > > > написал:
> > > >
> > > > Доброго времени суток!
> > > >> Собрал скид с подержкой ssl и пытаюсь настроить прозрачный
> > > >> прокси. С http проблем нет все перехватывается и работает. А
> > > >> вот с https затык страничка загружается без наполнения т.е.
> > > >> нет картинок стилей и других вещей. В логах не нашел чего то
> > > >> подозрительного. Сквид собирался по этой инструкции
> > > >> http://codepoets.co.uk/2014/squid-3-4-x-with-ssl-for-debian-wheezy/ .
> > > >> Конфиг простейший
> > > >> http_access allow all
> > > >> dns_v4_first on
> > > >> shutdown_lifetime 1 seconds
> > > >> always_direct allow all
> > > >> http_port 192.168.10.1:3128 intercept
> > > >> http_port 3140
> > > >> https_port 192.168.10.1:3129 intercept ssl-bump
> > > >> generate-host-certificates=on dynamic_cert_mem_cache_size=4MB
> > > >> cert=/etc/squid/myCA.pem
> > > >> sslcrtd_program /usr/lib/squid3/ssl_crtd
> > > >> -s /var/lib/squid3/ssl_db -M 4MB. sslcrtd_children 8 startup=1
> > > >> idle=1 ssl_bump server-first all
> > > >> #  ssl_bump none all Для проверки
> > > >> sslcrtd_program /usr/lib/squid3/ssl_crtd
> > > >> -s /var/lib/squid3/ssl_db -M 4MB. sslcrtd_children 8 startup=1
> > > >> idle=1 перенаправление трафика сделано так
> > > >> -A PREROUTING -i br0 -p tcp -m tcp --dport 443 -j REDIRECT
> > > >> --to-ports 3129 -A PREROUTING -i br0 -p tcp -m tcp --dport 80
> > > >> -j REDIRECT --to-ports 3128
> > > >>
> > > >> при этом если явно указать что прокси находится на ip:port все
> > > >> работает.
> > > >>
> > > >>
> > > >
> > > >
> >
> >
> >
> > --
> > Best regards,
> >  Alexander Gerasiov
> >
> >  Contacts:
> >  e-mail: gq@cs.msu.su  Homepage: http://gerasiov.net  Skype:
> > gerasiov PGP fingerprint: 04B5 9D90 DF7C C2AB CD49  BAEA CA87 E9E8
> > 2AAC 33F1
> >
> >



-- 
Best regards,
 Alexander Gerasiov

 Contacts:
 e-mail: gq@cs.msu.su  Homepage: http://gerasiov.net  Skype: gerasiov
 PGP fingerprint: 04B5 9D90 DF7C C2AB CD49  BAEA CA87 E9E8 2AAC 33F1


В каком еще заголовке начального пакета? У тебя же прозрачный прокси и
нет connect'а, почитай внимательно описание этой опции на
http://www.squid-cache.org/Doc/config/ssl_bump/ и вообще разберись с
тем что и как ты делаешь, у тебя путаница в голове.
Reply to: