Вопросы Теги

Невозможно получить доступ к HTTP-сайтам через HTTPS-прокси-сервер Squid

У меня есть рабочая конфигурация для SSL bumping на Squid 4.4 и RHEL8. Однако я обнаружил, что несколько сайтов, на которых не настроен SSL (например, http://squidguard.org ), не работают.

Мне пришлось собрать свою конфигурацию, используя несколько разных источников, поскольку ни один из них, похоже, не предлагает окончательного подхода к настройке SSL bumping. Возможно, я пропустил что-то, что позволило бы Squid обрабатывать трафик HTTP и HTTPS?

Вот что я вижу в журнале: 

1624658033.150  59887 10.108.0.18 TCP_MISS/503 4300 GET http://squidguard.com/favicon.ico - HIER_DIRECT/3.223.115.185 text/html
1624658042.966  60608 10.108.0.18 TCP_MISS/503 4392 GET http://squidguard.com/ - HIER_DIRECT/3.223.115.185 text/html

Ошибка на странице браузера говорит: 

The following error was encountered while trying to retrieve the URL: http://squidguard.com/
Connection to 3.223.115.185 failed.
The system returned: (110) Connection timed out
The remote host or network may be down. Please try the request again.

Удаленный хост или сеть не отключена. Я могу добраться до него, когда не прохожу через прокси.

Мой squid.conf: 

acl vdi src 10.108.0.0/20

acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT

acl intermediate_fetching transaction_initiator certificate-fetching
http_access allow intermediate_fetching

http_access deny !Safe_ports

http_access allow localhost manager
http_access deny manager

http_access allow vdi

http_access deny all

http_port 0.0.0.0:3128
http_port 0.0.0.0:3129 ssl-bump cert=/etc/squid/ssl_cert/myCA.pem generate-host-certificates=on
https_port 0.0.0.0:3130 intercept ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=20MB cert=/etc/squid/ssl_cert/myCA.pem

sslcrtd_program /usr/lib64/squid/security_file_certgen -s /var/lib/squid/ssl_db -M 20MB
ssl_bump stare all
ssl_bump bump all

cache_dir ufs /var/spool/squid 100 16 256

coredump_dir /var/spool/squid

refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern .               0       20%     4320

shutdown_lifetime 1 second

У меня нет запущенных iptables, поэтому у меня нет правил ПЕРЕНАПРАВЛЕНИЯ. Я подозреваю, что это проблема.

1
задан 8 July 2021 в 15:09
1 ответ

Вопрос спорный. Источник проблемы находился за пределами Squid или даже сервера, на котором он запущен. Порт 80 был заблокирован на брандмауэре.

0
ответ дан 28 July 2021 в 13:23

Теги

Похожие вопросы