Образовательный проект «SnakeProject» Михаила Козлова

⇒ FreeBSD and Nix ⇐

CISCO

Voice(Asterisk\Cisco)

Microsoft

Powershell

Python

SQL\T-SQL

1С

Общая

WEB Разработка

ORACLE SQL \ JAVA

Мото

Стрельба, пневматика, оружие

Саморазвитие и психология

Squid + HTTPS прозрачный прокси

Задача была поставить Squid прокси-сервер с поддержкой протокола HTTPS

Перебрав с десяток инструкций, обматерившись собрал из нескольких, приведу свою

Сразу оговорюсь, все заработало, но с gmail вышли нерешаемые проблемы, возможно в будущем получится подправить

Чего имеем?

ОС - CentOS 6.5 x86-64

uname -a

Linux localhost.localdomain 2.6.32-431.el6.x86_64 #1 SMP Fri Nov 22 03:15:09 UTC 2013 x86_64 x86_64 x86_64 GNU/Linux

Взять отсюда: http://vault.centos.org/6.5/isos/x86_64/

Я брал сборку minimal

Далее у меня две сетвые карты eth0 во вне смотрит, eth1 - локалка

1. yum -y install openssl wget vim ksh

2. 

wget http://www1.ngtech.co.il/rpm/centos/6/x86_64/squid-3.3.8-1.el6.x86_64.rpm
rpm -ivh squid-3.3.8-1.el6.x86_64.rpm 
/usr/lib64/squid/ssl_crtd -c -s /var/lib/ssl_db
chown -R squid.squid /var/lib/ssl_db

3. vim squid.conf привел к такому виду:

acl localnet src 172.16.16.16/29 # RFC1918 possible internal network acl SSL_ports port 443 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT method CONNECT http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access allow all http_port 3128 intercept https_port 3129 intercept ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/etc/squid/ssl_cert/myca.pem key=/etc/squid/ssl_cert/myca.pem visible_hostname squid #always_direct allow all ssl_bump server-first all #sslproxy_cert_error allow all #sslproxy_flags DONT_VERIFY_PEER sslcrtd_program /usr/lib64/squid/ssl_crtd -s /var/lib/ssl_db -M 4MB sslcrtd_children 8 startup=1 idle=1 # Uncomment and adjust the following to add a disk cache directory. #cache_dir ufs /var/spool/squid 100 16 256 # Leave coredumps in the first cache dir coredump_dir /var/spool/squid # # Add any of your own refresh_pattern entries above these. # refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern -i (/cgi-bin/|\?) 0 0% 0 refresh_pattern . 0 20% 4320

4. теперь настраиваем скрипт iptables (не забудьте запустить его):

cat /root/iptables.sh #!/bin/sh PATH=/usr/sbin:/sbin:/bin:/usr/bin # # удалить все действующие правила # iptables -F iptables -t nat -F iptables -t mangle -F iptables -X # Всегда принимать трафик на loopback-интерфейсе iptables -A INPUT -i lo -j ACCEPT # Разрешить соединения, которые инициированы изнутри (eth1) iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -m state --state NEW -i eth1 -j ACCEPT iptables -A FORWARD -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT # Разрешить доступ из LAN-сети к внешним сетям iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT # Masquerade. iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE # Запретить forward извне во внутреннюю сеть iptables -A FORWARD -i eth0 -o eth1 -j REJECT # Включить forward sysctl -w net.ipv4.ip_forward=1 # Чтобы была возможность использовать squid прозрачно (transparent) iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128 iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 443 -j REDIRECT --to-port 3129

5. 

mkdir /etc/squid/ssl_cert
chown -R squid.squid /etc/squid/ssl_cert
cd /etc/squid/ssl_cert
openssl req -new -newkey rsa:1024 -days 1365 -nodes -x509 -keyout myca.pem -out myca.pem
openssl x509 -in myca.pem -outform DER -out myca.der
chkconfig squid on
service squid start

Все, проверяем. Не забудьте, что на клиентской машине нужно импортировать сертификат из шага 5.

myca.pem (для linux), myca.der (для windows)

В windows например скачали себе сертификат, щелкнули по нему дважды, выбрали путь установки "доверенные корневые центры сертификации"

Комментарии пользователей