Mirki, mam zbudowany router ktory dziala, przekazuje internety na LAN tak jak ma byc. Chce sobie do tego dolozyc SQUIDa, ale mam problem z SSL. Zrobilem tak jak pisalo tutaj:
@Iceash: gość generuje własny certyfikat, certyfiakt głownny bedzie musiał wrzucić na kompy klientów. NIE DA SIE zrobic inspekcji ruchu ssl bez wgrania własnego certyfikatu lub namówienia ludzi żeby klikali 'wyjątek bezpieczenstwa" - w innym przypadku ktokolwiek (na przykład twój dostawca internetu) mógłby postawić swojego squida i zrobić inspekcję tego co przesyłasz do np. banku. Nie chcesz tego.
Mirki, mam zbudowany router ktory dziala, przekazuje internety na LAN tak jak ma byc. Chce sobie do tego dolozyc SQUIDa, ale mam problem z SSL. Zrobilem tak jak pisalo tutaj:
http://roberts.bplaced.net/index.php/linux-guides/centos-6-guides/proxy-server/squid-transparent-proxy-http-https
I tutaj:
https://forums.freebsd.org/threads/squid-redirect-and-your-connection-is-not-secure.62656/#post-361942
Ale dalej wywala blad taki o: https://www.wykop.pl/cdn/c3201142/comment_fEMusFVJVLJBWM4ckBwAGHlbt8X2vTLP.jpg
Ktos wie co robie nie tak? Place plusami.
Moj config SQUIDa.
cache deny all
http_access allow all
http_port 3127 intercept
https_port 127.0.0.1:3128 intercept ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB
cert=/usr/local/etc/squid/proxyCA.pem key=/usr/local/etc/squid/proxyCA.pem
#ssl_bump server-first all
#sslcrtd_program /usr/lib/squid/ssl_crtd -c -s /var/lib/ssl_db -M 4MB
#sslcrtd_children 8 startup=1 idle=1
sslproxy_options NO_SSLv2
sslproxy_cipher HIGH:!aNULL:!AES128:!SSLv2:!SSLv3
sslproxy_cafile /etc/ssl/cert.pem
#ssl_bump peek all
#ssl_bump splice all
#ssl_bump bump all
server_persistent_connections off
cache_peer localhost parent 20001 0 round-robin
#cache_peer localhost_2 parent 20002 0 round-robin no-query
#cache_peer localhost_3 parent 20003 0 round-robin
#cache_peer localhost_4 parent 20004 0 round-robin no-query
#cache_peer localhost_5 parent 20005 0 round-robin
#cache_peer localhost_6 parent 20006 0 round-robin
#cache_peer localhost_7 parent 20007 0 round-robin
#cache_peer localhost_8 parent 20008 0 round-robin
never_direct allow all
NIE DA SIE zrobic inspekcji ruchu ssl bez wgrania własnego certyfikatu lub namówienia ludzi żeby klikali 'wyjątek bezpieczenstwa" - w innym przypadku ktokolwiek (na przykład twój dostawca internetu) mógłby postawić swojego squida i zrobić inspekcję tego co przesyłasz do np. banku. Nie chcesz tego.
Before authority od After authority? ( ͡° ͜ʖ ͡°)
w sensie, konfig czytany jest od gory do dolu?
Komentarz usunięty przez autora
Komentarz usunięty przez autora