сквид прозрачный прокси https
я надеюсь, что кто-то может помочь мне. у меня есть эта проблема:
сквид работает как ssl прозрачный прокси, и в данный момент он получает весь трафик с этими двумя правилами iptables:
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 443 -j REDIRECT --to-port 3130
до сих пор без проблем вообще. все работает прекрасное..., но когда я добавляю любой простой acl для блокирования ssl веб-сайта, я получаю ошибку этого браузера: ошибка соединения ssl (ERR_SSL_PROTOCOL_ERROR) также, если я пытаюсь выполнить сквид со строкой, в настоящее время комментируемой в conf, вставляемом ниже, я получаю ошибку сертификата (доменное несоответствие) от клиента.
http_port 3128 intercept https_port 3130 intercept ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/usr/local/squid/ssl_cert/proxy_matrix-test_com.crt key=/usr/local/squid/ssl_cert/squid.key acl broken_sites dstdomain .example.com ssl_bump none localhost ssl_bump none broken_sites
#ssl_bump server-first all ssl_bump none sslcrtd_program /usr/local/squid/libexec/ssl_crtd -s /usr/local/squid/var/lib/ssl_db
-M 4MB sslcrtd_children 5
(cert.crt подписывается признанным центром сертификации), какие-либо идеи?спасибо.
Ou ap toujou jwenn yon erè sètifika lè w ap itilize kalma sou SSL. Rezon ki fè la se ke gen ke gen yon koneksyon SSL separe soti nan kalma sou sit entènèt la sib ak soti nan kalma navigatè a. Se konsa, lè se navigatè a prezante ak yon sètifika soti nan kalma, menm si li ka siyen, domèn nan pa matche ak.
+-----------+ +-------+ +---------+
| gmail.com |<----Cert1---->| Squid |<----Cert2---->| Browser |
+-----------+ +-------+ +---------+
Gen yon fason alantou sa a nan kèk sitiyasyon. Ou ka itilize Dynamic SSL Cert jenerasyon ki jenere yon sètifika pou domèn nan sib, egzanp, gmail.com, epi siyen li ak yon pwòp tèt ou siyen rasin CA ke ou te kreye. Trape an se ke pwòp tèt ou siyen rasin CA sèt la dwe fè konfyans sou chak navigatè / kliyan ki pral jwenn aksè nan entènèt la nan prokurasyon an. Li pa bezwen siyen pa yon otorite sètifika aktyèl, an reyalite, li pa kapab. Si nan yon anviwònman fenèt ou ka pwobableman pouse pwòp tèt ou siyen rasin CA a nan Manadjè Policy Group.