Wpis z mikrobloga

Skopiuj link

 Skopiuj link
Iceash
Iceash
  • 1

Mirki, mam zbudowany router ktory dziala, przekazuje internety na LAN tak jak ma byc. Chce sobie do tego dolozyc SQUIDa, ale mam problem z SSL. Zrobilem tak jak pisalo tutaj:

http://roberts.bplaced.net/index.php/linux-guides/centos-6-guides/proxy-server/squid-transparent-proxy-http-https

I tutaj:

https://forums.freebsd.org/threads/squid-redirect-and-your-connection-is-not-secure.62656/#post-361942

Ale dalej wywala blad taki o: https://www.wykop.pl/cdn/c3201142/comment_fEMusFVJVLJBWM4ckBwAGHlbt8X2vTLP.jpg

Ktos wie co robie nie tak? Place plusami.

Moj config SQUIDa.

cache deny all
http_access allow all
http_port 3127 intercept
https_port 127.0.0.1:3128 intercept ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/usr/local/etc/squid/proxyCA.pem key=/usr/local/etc/squid/proxyCA.pem
#ssl_bump server-first all
#sslcrtd_program /usr/lib/squid/ssl_crtd -c -s /var/lib/ssl_db -M 4MB
#sslcrtd_children 8 startup=1 idle=1
sslproxy_options NO_SSLv2
sslproxy_cipher HIGH:!aNULL:!AES128:!SSLv2:!SSLv3
sslproxy_cafile /etc/ssl/cert.pem
#ssl_bump peek all
#ssl_bump splice all
#ssl_bump bump all
server_persistent_connections off
cache_peer localhost parent 20001 0 round-robin
#cache_peer localhost_2 parent 20002 0 round-robin no-query
#cache_peer localhost_3 parent 20003 0 round-robin
#cache_peer localhost_4 parent 20004 0 round-robin no-query
#cache_peer localhost_5 parent 20005 0 round-robin
#cache_peer localhost_6 parent 20006 0 round-robin
#cache_peer localhost_7 parent 20007 0 round-robin
#cache_peer localhost_8 parent 20008 0 round-robin
never_direct allow all
  • 30
  • Odpowiedz
mrooczilla
mrooczilla
  • 1
@Iceash: szczegoly rozwin. obstawiam ze powienienes zainstalowac certyfikat swojego CA w przegladarce, bo domyslam sie ze to co robisz to terminiowanie SSLa zeby dostac sie do srodka tranmisji. potem pewnie zawijasz to na nowo w SSLA na swoim cercie
  • Odpowiedz
Iceash
Iceash
  • 0
@Jurigag: Nie da sie zrobic tego, tak zebym nie musial wgrywac tego certyfikatu do klientow? W sensie dodawac do przegladarki, albo chociaz zeby sie dodawal sam?
  • Odpowiedz
Jurigag
Jurigag
  • 1
@Iceash: pewnie się da, ale wciąż - musisz coś zrobić na kliencie, tj wgrać jakiś program do synchronizacji tych certyfikatów np jeśli takie coś jest, samo z siebie nie zadziała od tak, że sobie weźmie sobie certyfikat z tego proxy nagle klient pobierze i uzna go za zaufanego xD
  • Odpowiedz
Iceash
Iceash
  • 0
@mrooczilla:

ogolnie to 8 TORow, potem Privoxy na HTTP, potem SQUID round-robin i do LANa. Ogolnie to tak.

obstawiam ze powienienes zainstalowac certyfikat swojego CA w
  • Odpowiedz
Jurigag
Jurigag
  • 1
@Iceash: w tym 1 linku masz STEP 6 - Client Configuration chyba pominąłeś, nie no strzelam że pewnie da się to ogarnąć jakimś oprogramowaniem, ale nadal - musi ono byc na kliencie
  • Odpowiedz
mrooczilla
mrooczilla
  • 1
@Iceash: no ale tak sie robi. kontrola ruchu na kompach userow dokladnie tak jest realizowana. zaplacone za rozwiazanie pudelkowe jest najczesciej ale nadal to jest tylko obrandowany squid ;)
  • Odpowiedz
zaslav
zaslav
  • 1
@Iceash: Po to wymyślono ścieżki certyfikacji żeby się nie dało. Inaczej nie maiłbyś pewności czy sesja na stronie banku jest prawilna.
Może nie przepuszczaj 443 przez squida?
  • Odpowiedz
zaslav
zaslav
  • 1
@Iceash: po to właśnie żeby można bylo https przepuszczać bez dekryptowania na squidzie - dla banków nie wyobrażam sobie inaczej. Ale to chyba naprawdę lepiej puścić całość bez 'grzebania' w transmisji. Pytanie zasadnicze - po co stawiasz squida? Co chcesz osiągnąć? Jaka skala - ilu użytkowników? sieć domowa/firmowa?
  • Odpowiedz
Iceash
Iceash
  • 0
po to właśnie żeby można bylo https przepuszczać bez dekryptowania na squidzie


@zaslav: Dobra, jak to ustawic, wszystko bez dekryptowania?
  • Odpowiedz
Iceash
Iceash
  • 0
Chce schowac LAN 3komputery calkowicie za TORami. Router dziala. Jeden tor przeszedl, ale ze SQUIDem sa problemy.
  • Odpowiedz
zaslav
zaslav
  • 1
@Iceash: jak masz trzy komputery to zgaduje ze siec domowa. To wrzuc im certyfikat główny i z głowy
Wyłaczenie przekazywania https - wywal te regułe z fw
iptables -t nat -A PREROUTING -p tcp -s 192.168.201.0/24 --dport 443 -j DNAT --to 192.168.201.250:3129
(odpal iptables z -D zamiast -A)
  • Odpowiedz
zaslav
zaslav
  • 1
@Iceash: no to pozostaje ci jedno: wypytaj z jakich banków korzystają, zrób Splice SSL a dla pozostałych stron rozwiązuj na bieżąco - zainstaluj swój root certyfikat w systemie, jak będą problemy ze stronami to dodawaj do Splice SSL i tyle
  • Odpowiedz
Iceash
Iceash
  • 0
@zaslav: Czyli chodzi o ten pliczek costam.txt? Nie da sie jakos zrobic ze zamiast ,,white list" bedzie ,,black list" czy tam wszystko wrzucic jakos. NIe wiem, DNSa w to wpiac czy cos
  • Odpowiedz
zaslav
zaslav
  • 1
Dało by się. Ale trzeba przy tym pogrzebać. Troche jednak mnie zastanawia, że chcesz tylko określone adresy przechwytywac i filtrowac bez wiedzy użytkowników - tak więc nie oczekuj ode mnie pomocy...
  • Odpowiedz

Aktywne Wpisy

Piospi
Piospi
Piospi +419
Jak ja mam dosyć tych sk*******w w tych głośnych samochodach, które co chwila w okolicy ryczą tymi swoimi wydechami. Nie da się siedzieć przy otwartym oknie.
Jestem petrolheadem i lubię dźwięk silników samochodów, ale mam nadzieję, że w przyszłości będą radary mierzące głośność samochodów bananowych oskarków i będą się sypały solidne mandaty. Swoją drogą trzymam kciuki, żeby UE coś z tym zrobiła nakazując producentom samochodów i motorów montaż cichych wydechów.

#warszawa

57 odpowiedzi

Itslilianka
Itslilianka
Pamiętacie tą grę? Jezus ale to na tamte czasy było super! Fajne, kolorowe mapy, doskonała grywalność o tryb dla kilku graczy. Aż sobie kupię by złożyć hołd twórcom. Dodam że studio odpowiedzialne za produkcję jest dziś znane jako Epic Games #gry
Itslilianka - Pamiętacie tą grę? Jezus ale to na tamte czasy było super! Fajne, kolor...

źródło: JAZZ-JACKRABBIT-2-COLLECTION-PL-PC-GOG-KLUCZ-GRATIS

Pobierz

21 odpowiedzi

Aktywne Znaleziska

Prezydent Ukrainy Wołodymyr Zełenski przybył do Warszawy
Prezydent Ukrainy Wołodymyr Zełenski przybył do Warszawy
104
Łyna spływ kajakowy największą rzeką Warmii
Łyna spływ kajakowy największą rzeką Warmii
143
Ceny mieszkań i lokali znów wzrosły. GUS podał najnowsze dane
Ceny mieszkań i lokali znów wzrosły. GUS podał najnowsze dane
140
Zełenski i Tusk podpisali umowę w dziedzinie bezpieczeństwa
Zełenski i Tusk podpisali umowę w dziedzinie bezpieczeństwa
150
Dep. Obrony USA: rosyjskie straty na Ukrainie wynoszą od 1/2 do 3/4 miliona
Dep. Obrony USA: rosyjskie straty na Ukrainie wynoszą od 1/2 do 3/4 miliona
109

Popularne tagi