» SQUID (только под *nix)

bga83
А чего написать вместо локалнет.
У меня есть локалка у нее запрет на сайты, есть начальство которому вообще никакого запрета нету.

http_access allow localnet - я ж немогу всем запретить? А как они в инет ходить будут?

Я просто принципа не пойму.

0z0n
Цитата:

Я просто принципа не пойму.

правила применяются в порядке их следования в конфиге. Доходит до первого совпадения и дальше не проверяет. В вашем случае видимо как и предположил т. bga83, все вылезают в инет через правило о localnet.
Просто поменяйте правила местами так как Вам надо.

Alukardd
bga83

Да парни поменял местами, и все хорошо. Большое спасибо.


# Example rule allowing access from your local networks.
# Adapt localnet in the ACL section to list your (internal) IP networks
# from where browsing should be allowed

acl ip1 src "/etc/squid/block-ip"
acl blacklist url_regex "/etc/squid/badsites"
http_access deny ip1 blacklist

http_access allow localnet
http_access allow localhost


# And finally deny all other access to this proxy
http_access deny all

# TAG: http_access2
# Allowing or Denying access based on defined access lists
#
# Identical to http_access, but runs after redirectors. If not set
# then only http_access is used.

Всем доброго.
Поставил FreeBSd8.3+ipfw+squid2.7st9
Необходимо, как-то заставить работать Https.
Щас, при обращении в гугле на почту, "1." выдаёт сообщение ssl_error_rx_record_too_long (это прозрачный режим), в не прозрачном (Время ожидания ответа от сервера mail.google.com истекло, но если в ipfw прописать allow all, то всё работает), такое ощущение, что во втором случае не хватает обратного правила в ipfw , но что писать в 1. случае мне мало понятно.
Совета на даную траблу найти не смог.
Из правильных строк в squid.conf вписал "cache deny all", "acl SSL method CONNECT", причём если забанить вторую строку, то сообщение в браузере не меняется.

Сертификат генерил в OpenSSL (http://shirker.blog.com/2011/11/10/generate-ssl-certificate-for-squid/), по описанию в Squid - должен быть pem, а pem оно или не pem, хз поймёт! Кто знает как правильно, запостите плз.

PSVI У squid2.7 какая-то хрень с гуглопочтой. Борол, борол, плюнул и поставил 3.2.5
С ним все работает, хотя все настройки практически те же.

VLARY Мне, ко всему этому сброду, нужно прикрутить squidGuard, а у нового Squida версия perl отличается, как предполагают они должны работать вместе, я не понял. Читал как настраивать режик мозг свернулся в трубочку и тихо выплыл в ухо.
Может чего на советуете )

PSVI
Цитата:

у нового Squida версия perl отличается

При чем здесь perl? Squid его не использует, это самодостаточный бинарник. Да и режик на последнем перле вполне можно запустить.

VLARY Perl зачем, хз, я не программист ), но при установке Squid-2.7.stable9 ставит perl-5.12.4_4.
А 3 -ий Squid хочет аж, а чото установить его с полпинка не смог ), какие то error code 1.

PSVI
Цитата:

при установке Squid-2.7.stable9 ставит perl-5.12.4_4

Похоже, это нормальная цена тех, кто ставит софт из пакетов. Забубенили туда сборщики именно perl-5.12.4_4 - и будь добр его ставить, даже если у тебя стоит более новый.
Я компилил сквид из исходников, все собралось и встало без установки дополнительных пакетов.

Рекомендую использовать Zentyal в качестве прокси-сервера. Тот же squid, только с графическим интерфейсом и намного более широкими возможностями. Кстати русифицирован.

PSVI

Цитата:

А 3 -ий Squid хочет аж, а чото установить его с полпинка не смог ), какие то error code 1.

А пару тройку строк почитать перед code 1, не?
Мож порты обновить надо... Или последуй совету vlary и собери сам.

Dkgnim33

Цитата:

Тот же squid, только с графическим интерфейсом и намного более широкими возможностями. Кстати русифицирован.

Эта писец!!! Блин ну как оно может быть с более широкими возможностями??? Ты хоть головой думай прежде чем писать!
Это то же самое что плюнуть шире морды... Поколение пепси бля... (извините не удержался)

Всем доброго!
Скачал Squid-3.3.1, распаковал в папку /usr/ports/www/squid/squid-3.3.1
Подхожу ближе к трупу
make clean - говорит мне, что клинит пока только меня )
./configure --prefix=/usr/local/squid331 --enable-ssl
make all
make install
Перехожу к squid.conf ->
visible_hostname
cache_effective_user squid - остался после установки из порта
http_port 3128 transparent
https_port 3129 key= cert= (http://shirker.blog.com/2011/11/10/generate-ssl-certificate-for-squid/)
не знаю, насколько правильно написана эта инструкция... )
Ничего не работает, ни с прокси, ни с прозрачным.
Потом вспомнил, что надо было набрать squid -z
Теперь получаю:
creating missing swap directories
no cache_dir stores are configured

Браузер говорит: соединение было сброшено.
Если потушить Ipfw, то браузер грит, что прокси отказывается принимать соединение, ммм

Добавлено:
не хватало --enable-ipfw-transparent )

Добавлено:
помогло не особо, после кучи предупреждений о безопасности, принимаю сертификат, но в итоге на экране ERROR. The requested url could not be retrivied. Invalid URL.

Браузер Firefox, кстати.

Добавлено:
Напомнило из Каретного, а звук у Вас Долбаный и Сраный.

Добавлено:
Прочитал про MITM, сижу думаю, что за фигню я пытаюсь собрать.

Кто-нибудь может подсказать, можно ли настроить always_direct для HTTPS протокола?

PSVI
Цитата:

Кто-нибудь может подсказать, можно ли настроить always_direct для HTTPS протокола?

Ты сам то понял, что написал? Разницу между HTTP и CONNECT понимаешь?

честно, не очень )

PSVI
Собственно always_direct нужен только если Ваш прокси кэширует что либо или у Вас иерархия проксей, в противном случае он нафиг не нужен, т.е. почти всегда Кэширование давно не в моде. Каналы широкие и везде динамический контент.

Добавлено:
PSVI
Цитата:

честно, не очень )

HTTPS устроен так, что сначала устанавливается защищённое SSL/TLS соединение с сайтом, а только потом уходит первый HTTP заголовок, т.о. Squid понятия не имеет какой URL и т.п. запросил клиент, для него известны только IP:PORT клиента и сервера, которых он соединил методом CONNECT (domain вроде тоже известен, в любом случае для https domain и ip однозначны). Ни чего читать он в их сессии не могёт, разве что не установлено дополнение SslBumb.

другим словом, если есть cache deny all, то always_direct быстрее обрабатывать трафу не станет?
Мой MITM не хочет работать, пишу в squid.conf - https_port 3129 transparent ssl-bump key=* cert=* и при попытке обращения к гуглопочте или яндопочте, получаю (13) permissoin denied
из разрешающих правил
http_access allow localnet

Странная ситуёвина, если в браузере задать прокси, то по HTTP получаю отказ, но почему то пишет уже по русски.

Из интересных вопросов, какой дожен быть доступ к папке SSL (там сертификаты), щас 755 root:wheel, а кеш юзер в сквиде squid

PSVI
Вообще это не есть хорошо перехватывать ssl трафик, особенно не внедряя свой root ca сертификат в браузеры пользователей
Конкретно по SslBumb я Вам не подскажу, не использовал.

alukard Что, разве есть другие способы прозрачного проксирования ssl трафы?

PSVI
Эм... NAT? Если используете прозрачный прокси, то увы. Method CONNECT не прокатит.

Добавлено:
PSVI
Ещё и в нике моём ашипку сделали, мде... Ник сам появится в поле ввода в тэге bold, если просто нажать на него.

Alukardd Хех, тчоно появился )
А что, разве NAT это прокси?
И чем trusted MITM, отличается от MITM, собираемого руками?

PSVI
Нет, NAT это не proxy, NAT — это NAT.
Однако, в случае прозрачного прокси сервера, самый лучший выход это NAT'ить HTTPS трафик.

Ну, по всей видимости, trusted MITM это когда Ваш сертификат подписан CA которому клиент доверяет, либо Вы заблаговременно внедрили ему в браузер свой изданный CA в доверенные корневые, что по сути возвращает нас ку первой ситуации — мы подписаны валидным корневым CA.

Alukardd
Ок, а как вообще выпустить HTTPS NAT'oм через сквид?
В Squid'e есть NAT?

На данный момент, я получаю (13) Access denied в браузере при попытке обращения к гуглопочте, через прозрачный путь.
При этом, если в браузере задать прокси, то браузер получает ответ Доступ запрещён, по русски! и для HTTP трафика, почему Squid для прокси использует русский язык?

PSVI
Цитата:

Ок, а как вообще выпустить HTTPS NAT'oм через сквид?
В Squid'e есть NAT?

Тебя смотрю в Гугле забанили forever?
Squid и другие прокси это Приложения, являющиеся посредниками и передающие чистые данные от одного хоста другому, NAT - использует сетевой уровень (3 уровень OSI), манипулируя проходящими через него IP пакетами, меняя в них адреса отправителя и получателя.

vlary
Прокси это приложения, которые передают клиентские данные от себя искомому ресурсу и обратно от искомого ресурса себе, а потом клиенту! И они уж точно никак не могут быть чистыми, если везде используется алгоритм MITM )
И на мой вопрос ответа в этом посте точно нет ), зачем писал? Тролина

PSVI
Цитата:

И на мой вопрос ответа в этом посте точно нет ), зачем писал?

Я тебе, если ты конечно понял, ответил на два твоих тупых вопроса:
Цитата:

а как вообще выпустить HTTPS NAT'oм через сквид?

Цитата:

В Squid'e есть NAT?  

Ответ был: постановка вопроса таким образом - полнейшая чушь. Если объяснять человеку что он ни хрена не понимает, по-твоему значит троллить - то да, я тролль.
А выпустить HTTPS наружу ты можешь просто через NAT. Но при чем здесь Сквид?

Как можно сделать так, чтобы закачке крупных файлов сквид не грузил их себе и только потом отдавал клиенту, а грузил бы как при прямом доступе? Кеш отключил в конфиге cache deny all.

gandalf1989 Вообще дисковый кэш отключи. Он сейчас нафиг не нужен.

Цитата:

Вообще дисковый кэш отключи. Он сейчас нафиг не нужен.

То есть это поможет?

gandalf1989

Цитата:

То есть это поможет?

А что ему еще останется, если файлы сохранять будет некуда? Только отдавать по частям клиенту.
Кстати, еще в конфиге сквида есть настройка maximum_object_size - максимального размера файлов, которые должны кэшироваться.