Mirki, mam zbudowany router ktory dziala, przekazuje internety na LAN tak jak ma byc. Chce sobie do tego dolozyc SQUIDa, ale mam problem z SSL. Zrobilem tak jak pisalo tutaj:
@Iceash: gość generuje własny certyfikat, certyfiakt głownny bedzie musiał wrzucić na kompy klientów. NIE DA SIE zrobic inspekcji ruchu ssl bez wgrania własnego certyfikatu lub namówienia ludzi żeby klikali 'wyjątek bezpieczenstwa" - w innym przypadku ktokolwiek (na przykład twój dostawca internetu) mógłby postawić swojego squida i zrobić inspekcję tego co przesyłasz do np. banku. Nie chcesz tego.
Mirki, mam zbudowany router ktory dziala, przekazuje internety na LAN tak jak ma byc. Chce sobie do tego dolozyc SQUIDa, ale mam problem z SSL. Zrobilem tak jak pisalo tutaj:
http://roberts.bplaced.net/index.php/linux-guides/centos-6-guides/proxy-server/squid-transparent-proxy-http-https
I tutaj:
https://forums.freebsd.org/threads/squid-redirect-and-your-connection-is-not-secure.62656/#post-361942
Ale dalej wywala blad taki o: https://www.wykop.pl/cdn/c3201142/comment_fEMusFVJVLJBWM4ckBwAGHlbt8X2vTLP.jpg
Ktos wie co robie nie tak? Place plusami.
Moj config SQUIDa.
cache deny allhttp_access allow allhttp_port 3127 intercepthttps_port 127.0.0.1:3128 intercept ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MBcert=/usr/local/etc/squid/proxyCA.pem key=/usr/local/etc/squid/proxyCA.pem#ssl_bump server-first all#sslcrtd_program /usr/lib/squid/ssl_crtd -c -s /var/lib/ssl_db -M 4MB#sslcrtd_children 8 startup=1 idle=1sslproxy_options NO_SSLv2sslproxy_cipher HIGH:!aNULL:!AES128:!SSLv2:!SSLv3sslproxy_cafile /etc/ssl/cert.pem#ssl_bump peek all#ssl_bump splice all#ssl_bump bump allserver_persistent_connections offcache_peer localhost parent 20001 0 round-robin#cache_peer localhost_2 parent 20002 0 round-robin no-query#cache_peer localhost_3 parent 20003 0 round-robin#cache_peer localhost_4 parent 20004 0 round-robin no-query#cache_peer localhost_5 parent 20005 0 round-robin#cache_peer localhost_6 parent 20006 0 round-robin#cache_peer localhost_7 parent 20007 0 round-robin#cache_peer localhost_8 parent 20008 0 round-robinnever_direct allow allNIE DA SIE zrobic inspekcji ruchu ssl bez wgrania własnego certyfikatu lub namówienia ludzi żeby klikali 'wyjątek bezpieczenstwa" - w innym przypadku ktokolwiek (na przykład twój dostawca internetu) mógłby postawić swojego squida i zrobić inspekcję tego co przesyłasz do np. banku. Nie chcesz tego.
Before authority od After authority? ( ͡° ͜ʖ ͡°)
w sensie, konfig czytany jest od gory do dolu?
Komentarz usunięty przez autora
Komentarz usunięty przez autora