Re: squid incept https
26.08.2015 12:37, Леонид Кальмаев пишет: > Александр смотрите, при установке соединения tcp мы обращаемся на 80 или 443 > порт, далее говорим что мы хотим получить, в случае хттп мы просто просим > нужную нам странички и все методом гет. Если у нес используется https то > перед этим мы создаем шифрованное соединение в котором сквид без ssl_bampа > ничего не видит просто есть соединение и все. в случае если есть bamp то мы > создаем 2 соединение одно от клиента до сквида второе от сквида до сервера. > таким образом просматриваем содержимое . А проблема напомню в следующим что > загружается голая страничка без � �тилей и картинок через https. Данная проблема есть как с ssl_bump так и без оного. > Более подробно с работой и установкой соединения можно ознакомится тут > http://habrahabr.ru/post/191954/ Вот это правило: -A PREROUTING -i br0 -p tcp -m tcp --dport 443 -j REDIRECT --to-ports 3129 как раз и занимается тем что меняет адрес назначения на локальный. И сквид не видит куда именно хотел подключиться клиент без разбора всего SSL соединения.
Re: squid incept https
Леонид Кальмаев - debian-russian@lists.debian.org @ Thu, 27 Aug 2015 10:21:50 +0600: ЛК Руслан, Я просил помощи в реализации именно этого решения. Есть ЛК поставленная задача резать всё что не угодно руководству. И это не дыра в ЛК безопасности а нормальное решение для ограничения трафика. Так, к слову. Это дыра не в безопасности, а в приватности. И сильно подозреваю, что без надлежащего юридического оформления за это можно ответить по закону. И отвечать будет в первую очередь тот, кто реализовал решение. Опять же, у него меньше денег на адвоката... Это безотносительно к технической стороне ситуации, в которой я в данном случае не разбираюсь. Но поведение браузера похоже на загрузить страницу с невалидным сертификатом как-то уговорили, а про стили и картинки он и не спросил, просто молча отказался грузить. Я бы все-таки более внимательно посмотрел на то, как конфигурируется ситуация с подменой сертификата (в этом случае сертификат все же надо установить) и как - без (чистый туннель). Я бы не исключил, что конфигурируются они существенно по-разному, а не просто отключить ssl_bump.
Re: squid incept https
On Thu, Aug 27, 2015 at 10:21:50AM +0600, Леонид Кальмаев wrote: Руслан, Я просил помощи в реализации именно этого решения. Есть поставленная задача резать всё что не угодно руководству. И это не дыра в безопасности а нормальное решение для ограничения трафика. Не хотел в 10 раз влезать в этот бесполезный спор, уродов не переделать, но реально интересно, что это за сайт такой в https которого надо залезть, чтобы отделить кошерный трафик от некошерного? В этой рассылке не принят топквотинг. Это в правилах есть.
Re: squid incept https
Как не знает? в заговке начального пакета все есть куда подключаться. Другое дело что сквид тогда не видит что происходит в нутри этого tcp соединения. И я не смогу порезать загрузку видео или музыки. 26 авг 2015 г. 13:42 пользователь Alexander Gerasiov g...@cs.msu.su написал: Hello Леонид, On Wed, 26 Aug 2015 10:38:35 +0600 Леонид Кальмаев kalmae...@gmail.com wrote: Нет сертификат не ставил на клиент. Ошибка безопасности пока не смущала, контент страницы должен был грузится. Проблема сохраняется если указать ssl_bump none all , с таким конфигом он просто должен сделать тунель и не подменять сертификаты. Туннель куда? Не подменив сертификат, он не узнает куда подключаться. 26 августа 2015 г., 10:29 пользователь Vasiliy P. Melnik ba...@vpm.net.ua написал: сертификат клиенту добавили ? http://roberts.bplaced.net/index.php/linux-guides/centos-6-guides/proxy-server/squid-transparent-proxy-http-https 26 августа 2015 г., 6:36 пользователь Леонид Кальмаев kalmae...@gmail.com написал: Доброго времени суток! Собрал скид с подержкой ssl и пытаюсь настроить прозрачный прокси. С http проблем нет все перехватывается и работает. А вот с https затык страничка загружается без наполнения т.е. нет картинок стилей и других вещей. В логах не нашел чего то подозрительного. Сквид собирался по этой инструкции http://codepoets.co.uk/2014/squid-3-4-x-with-ssl-for-debian-wheezy/ . Конфиг простейший http_access allow all dns_v4_first on shutdown_lifetime 1 seconds always_direct allow all http_port 192.168.10.1:3128 intercept http_port 3140 https_port 192.168.10.1:3129 intercept ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/etc/squid/myCA.pem sslcrtd_program /usr/lib/squid3/ssl_crtd -s /var/lib/squid3/ssl_db -M 4MB. sslcrtd_children 8 startup=1 idle=1 ssl_bump server-first all # ssl_bump none all Для проверки sslcrtd_program /usr/lib/squid3/ssl_crtd -s /var/lib/squid3/ssl_db -M 4MB. sslcrtd_children 8 startup=1 idle=1 перенаправление трафика сделано так -A PREROUTING -i br0 -p tcp -m tcp --dport 443 -j REDIRECT --to-ports 3129 -A PREROUTING -i br0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128 при этом если явно указать что прокси находится на ip:port все работает. -- Best regards, Alexander Gerasiov Contacts: e-mail: g...@cs.msu.su Homepage: http://gerasiov.net Skype: gerasiov PGP fingerprint: 04B5 9D90 DF7C C2AB CD49 BAEA CA87 E9E8 2AAC 33F1
Re: squid incept https
Hello Леонид, On Wed, 26 Aug 2015 10:38:35 +0600 Леонид Кальмаев kalmae...@gmail.com wrote: Нет сертификат не ставил на клиент. Ошибка безопасности пока не смущала, контент страницы должен был грузится. Проблема сохраняется если указать ssl_bump none all , с таким конфигом он просто должен сделать тунель и не подменять сертификаты. Туннель куда? Не подменив сертификат, он не узнает куда подключаться. 26 августа 2015 г., 10:29 пользователь Vasiliy P. Melnik ba...@vpm.net.ua написал: сертификат клиенту добавили ? http://roberts.bplaced.net/index.php/linux-guides/centos-6-guides/proxy-server/squid-transparent-proxy-http-https 26 августа 2015 г., 6:36 пользователь Леонид Кальмаев kalmae...@gmail.com написал: Доброго времени суток! Собрал скид с подержкой ssl и пытаюсь настроить прозрачный прокси. С http проблем нет все перехватывается и работает. А вот с https затык страничка загружается без наполнения т.е. нет картинок стилей и других вещей. В логах не нашел чего то подозрительного. Сквид собирался по этой инструкции http://codepoets.co.uk/2014/squid-3-4-x-with-ssl-for-debian-wheezy/ . Конфиг простейший http_access allow all dns_v4_first on shutdown_lifetime 1 seconds always_direct allow all http_port 192.168.10.1:3128 intercept http_port 3140 https_port 192.168.10.1:3129 intercept ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/etc/squid/myCA.pem sslcrtd_program /usr/lib/squid3/ssl_crtd -s /var/lib/squid3/ssl_db -M 4MB. sslcrtd_children 8 startup=1 idle=1 ssl_bump server-first all # ssl_bump none all Для проверки sslcrtd_program /usr/lib/squid3/ssl_crtd -s /var/lib/squid3/ssl_db -M 4MB. sslcrtd_children 8 startup=1 idle=1 перенаправление трафика сделано так -A PREROUTING -i br0 -p tcp -m tcp --dport 443 -j REDIRECT --to-ports 3129 -A PREROUTING -i br0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128 при этом если явно указать что прокси находится на ip:port все работает. -- Best regards, Alexander Gerasiov Contacts: e-mail: g...@cs.msu.su Homepage: http://gerasiov.net Skype: gerasiov PGP fingerprint: 04B5 9D90 DF7C C2AB CD49 BAEA CA87 E9E8 2AAC 33F1
Re: squid incept https
Hello Леонид, On Wed, 26 Aug 2015 13:53:56 +0600 Леонид Кальмаев kalmae...@gmail.com wrote: Как не знает? в заговке начального пакета все есть куда подключаться. Другое дело что сквид тогда не видит что происходит в нутри этого tcp соединения. И я не смогу порезать загрузку видео или музыки. 26 авг 2015 г. 13:42 пользователь Alexander Gerasiov g...@cs.msu.su написал: Hello Леонид, On Wed, 26 Aug 2015 10:38:35 +0600 Леонид Кальмаев kalmae...@gmail.com wrote: Нет сертификат не ставил на клиент. Ошибка безопасности пока не смущала, контент страницы должен был грузится. Проблема сохраняется если указать ssl_bump none all , с таким конфигом он просто должен сделать тунель и не подменять сертификаты. Туннель куда? Не подменив сертификат, он не узнает куда подключаться. 26 августа 2015 г., 10:29 пользователь Vasiliy P. Melnik ba...@vpm.net.ua написал: сертификат клиенту добавили ? http://roberts.bplaced.net/index.php/linux-guides/centos-6-guides/proxy-server/squid-transparent-proxy-http-https 26 августа 2015 г., 6:36 пользователь Леонид Кальмаев kalmae...@gmail.com написал: Доброго времени суток! Собрал скид с подержкой ssl и пытаюсь настроить прозрачный прокси. С http проблем нет все перехватывается и работает. А вот с https затык страничка загружается без наполнения т.е. нет картинок стилей и других вещей. В логах не нашел чего то подозрительного. Сквид собирался по этой инструкции http://codepoets.co.uk/2014/squid-3-4-x-with-ssl-for-debian-wheezy/ . Конфиг простейший http_access allow all dns_v4_first on shutdown_lifetime 1 seconds always_direct allow all http_port 192.168.10.1:3128 intercept http_port 3140 https_port 192.168.10.1:3129 intercept ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/etc/squid/myCA.pem sslcrtd_program /usr/lib/squid3/ssl_crtd -s /var/lib/squid3/ssl_db -M 4MB. sslcrtd_children 8 startup=1 idle=1 ssl_bump server-first all # ssl_bump none all Для проверки sslcrtd_program /usr/lib/squid3/ssl_crtd -s /var/lib/squid3/ssl_db -M 4MB. sslcrtd_children 8 startup=1 idle=1 перенаправление трафика сделано так -A PREROUTING -i br0 -p tcp -m tcp --dport 443 -j REDIRECT --to-ports 3129 -A PREROUTING -i br0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128 при этом если явно указать что прокси находится на ip:port все работает. -- Best regards, Alexander Gerasiov Contacts: e-mail: g...@cs.msu.su Homepage: http://gerasiov.net Skype: gerasiov PGP fingerprint: 04B5 9D90 DF7C C2AB CD49 BAEA CA87 E9E8 2AAC 33F1 -- Best regards, Alexander Gerasiov Contacts: e-mail: g...@cs.msu.su Homepage: http://gerasiov.net Skype: gerasiov PGP fingerprint: 04B5 9D90 DF7C C2AB CD49 BAEA CA87 E9E8 2AAC 33F1 В каком еще заголовке начального пакета? У тебя же прозрачный прокси и нет connect'а, почитай внимательно описание этой опции на http://www.squid-cache.org/Doc/config/ssl_bump/ и вообще разберись с тем что и как ты делаешь, у тебя путаница в голове.
Re: squid incept https
В сообщении от [Ср 2015-08-26 09:36 +0600] Леонид Кальмаев kalmae...@gmail.com пишет: Собрал скид с подержкой ssl и пытаюсь настроить прозрачный прокси. С http проблем нет все перехватывается и работает. А вот с https затык страничка загружается без наполнения т.е. нет картинок стилей и других вещей. В логах не нашел чего то подозрительного. Squid может прозрачно проксировать https-трафик через Squid-in-the-middle [1], но это по сути дыра в безопасности (man-in-the-middle). при этом если явно указать что прокси находится на ip:port все работает. Да, так и надо, лучше сделать обычный прокси (метод connect) и сказать пользователям, так надежнее и безопаснее. [1] http://wiki.squid-cache.org/Features/SslBump -- http://google.com/+РусланКоротаев
Re: squid incept https
Александр смотрите, при установке соединения tcp мы обращаемся на 80 или 443 порт, далее говорим что мы хотим получить, в случае хттп мы просто просим нужную нам странички и все методом гет. Если у нес используется https то перед этим мы создаем шифрованное соединение в котором сквид без ssl_bampа ничего не видит просто есть соединение и все. в случае если есть bamp то мы создаем 2 соединение одно от клиента до сквида второе от сквида до сервера. таким образом просматриваем содержимое . А проблема напомню в следующим что загружается голая страничка без стилей и картинок через https. Данная проблема есть как с ssl_bump так и без оного. Более подробно с работой и установкой соединения можно ознакомится тут http://habrahabr.ru/post/191954/
Re: squid incept https
Руслан, Я просил помощи в реализации именно этого решения. Есть поставленная задача резать всё что не угодно руководству. И это не дыра в безопасности а нормальное решение для ограничения трафика. 26 августа 2015 г., 15:45 пользователь Руслан Коротаев korot...@ufamail.ru написал: В сообщении от [Ср 2015-08-26 09:36 +0600] Леонид Кальмаев kalmae...@gmail.com пишет: Собрал скид с подержкой ssl и пытаюсь настроить прозрачный прокси. С http проблем нет все перехватывается и работает. А вот с https затык страничка загружается без наполнения т.е. нет картинок стилей и других вещей. В логах не нашел чего то подозрительного. Squid может прозрачно проксировать https-трафик через Squid-in-the-middle [1], но это по сути дыра в безопасности (man-in-the-middle). при этом если явно указать что прокси находится на ip:port все работает. Да, так и надо, лучше сделать обычный прокси (метод connect) и сказать пользователям, так надежнее и безопаснее. [1] http://wiki.squid-cache.org/Features/SslBump -- http://google.com/+РусланКоротаев http://google.com/+%D0%A0%D1%83%D1%81%D0%BB%D0%B0%D0%BD%D0%9A%D0%BE%D1%80%D0%BE%D1%82%D0%B0%D0%B5%D0%B2
Re: squid incept https
Нет сертификат не ставил на клиент. Ошибка безопасности пока не смущала, контент страницы должен был грузится. Проблема сохраняется если указать ssl_bump none all , с таким конфигом он просто должен сделать тунель и не подменять сертификаты. 26 августа 2015 г., 10:29 пользователь Vasiliy P. Melnik ba...@vpm.net.ua написал: сертификат клиенту добавили ? http://roberts.bplaced.net/index.php/linux-guides/centos-6-guides/proxy-server/squid-transparent-proxy-http-https 26 августа 2015 г., 6:36 пользователь Леонид Кальмаев kalmae...@gmail.com написал: Доброго времени суток! Собрал скид с подержкой ssl и пытаюсь настроить прозрачный прокси. С http проблем нет все перехватывается и работает. А вот с https затык страничка загружается без наполнения т.е. нет картинок стилей и других вещей. В логах не нашел чего то подозрительного. Сквид собирался по этой инструкции http://codepoets.co.uk/2014/squid-3-4-x-with-ssl-for-debian-wheezy/ . Конфиг простейший http_access allow all dns_v4_first on shutdown_lifetime 1 seconds always_direct allow all http_port 192.168.10.1:3128 intercept http_port 3140 https_port 192.168.10.1:3129 intercept ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/etc/squid/myCA.pem sslcrtd_program /usr/lib/squid3/ssl_crtd -s /var/lib/squid3/ssl_db -M 4MB. sslcrtd_children 8 startup=1 idle=1 ssl_bump server-first all # ssl_bump none all Для проверки sslcrtd_program /usr/lib/squid3/ssl_crtd -s /var/lib/squid3/ssl_db -M 4MB. sslcrtd_children 8 startup=1 idle=1 перенаправление трафика сделано так -A PREROUTING -i br0 -p tcp -m tcp --dport 443 -j REDIRECT --to-ports 3129 -A PREROUTING -i br0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128 при этом если явно указать что прокси находится на ip:port все работает.
Re: squid incept https
сертификат клиенту добавили ? http://roberts.bplaced.net/index.php/linux-guides/centos-6-guides/proxy-server/squid-transparent-proxy-http-https 26 августа 2015 г., 6:36 пользователь Леонид Кальмаев kalmae...@gmail.com написал: Доброго времени суток! Собрал скид с подержкой ssl и пытаюсь настроить прозрачный прокси. С http проблем нет все перехватывается и работает. А вот с https затык страничка загружается без наполнения т.е. нет картинок стилей и других вещей. В логах не нашел чего то подозрительного. Сквид собирался по этой инструкции http://codepoets.co.uk/2014/squid-3-4-x-with-ssl-for-debian-wheezy/ . Конфиг простейший http_access allow all dns_v4_first on shutdown_lifetime 1 seconds always_direct allow all http_port 192.168.10.1:3128 intercept http_port 3140 https_port 192.168.10.1:3129 intercept ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/etc/squid/myCA.pem sslcrtd_program /usr/lib/squid3/ssl_crtd -s /var/lib/squid3/ssl_db -M 4MB. sslcrtd_children 8 startup=1 idle=1 ssl_bump server-first all # ssl_bump none all Для проверки sslcrtd_program /usr/lib/squid3/ssl_crtd -s /var/lib/squid3/ssl_db -M 4MB. sslcrtd_children 8 startup=1 idle=1 перенаправление трафика сделано так -A PREROUTING -i br0 -p tcp -m tcp --dport 443 -j REDIRECT --to-ports 3129 -A PREROUTING -i br0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128 при этом если явно указать что прокси находится на ip:port все работает.
squid incept https
Доброго времени суток! Собрал скид с подержкой ssl и пытаюсь настроить прозрачный прокси. С http проблем нет все перехватывается и работает. А вот с https затык страничка загружается без наполнения т.е. нет картинок стилей и других вещей. В логах не нашел чего то подозрительного. Сквид собирался по этой инструкции http://codepoets.co.uk/2014/squid-3-4-x-with-ssl-for-debian-wheezy/ . Конфиг простейший http_access allow all dns_v4_first on shutdown_lifetime 1 seconds always_direct allow all http_port 192.168.10.1:3128 intercept http_port 3140 https_port 192.168.10.1:3129 intercept ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/etc/squid/myCA.pem sslcrtd_program /usr/lib/squid3/ssl_crtd -s /var/lib/squid3/ssl_db -M 4MB. sslcrtd_children 8 startup=1 idle=1 ssl_bump server-first all # ssl_bump none all Для проверки sslcrtd_program /usr/lib/squid3/ssl_crtd -s /var/lib/squid3/ssl_db -M 4MB. sslcrtd_children 8 startup=1 idle=1 перенаправление трафика сделано так -A PREROUTING -i br0 -p tcp -m tcp --dport 443 -j REDIRECT --to-ports 3129 -A PREROUTING -i br0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128 при этом если явно указать что прокси находится на ip:port все работает.