На что ругается Squid?

Question

[Алексей]

Всем привет. Имеем Debian 9.13, а так же поднятый на нём squid. До создания сертификата и правки конфигурационного файла служба работала нормально. Сгенерировал сертификат, подправил файл конфига и всё накрылось п... ну вы поняли. Полный конфиг прикладываю (собирал по мануалу, не ругайтесь)

#
# Recommended minimum configuration:
#

error_directory /usr/share/squid/errors/ru
# Example rule allowing access from your local networks.
# Adapt to list your (internal) IP networks from where browsing
# should be allowed
acl localnet src 0.0.0.1-0.255.255.255 # RFC 1122 "this" network (LAN)
acl localnet src 10.0.0.0/8 # RFC 1918 local private network (LAN)
acl localnet src 100.64.0.0/10 # RFC 6598 shared address space (CGN)
acl localnet src 169.254.0.0/16 # RFC 3927 link-local (directly plugged) machines
acl localnet src 172.16.0.0/12 # RFC 1918 local private network (LAN)
acl localnet src 192.168.0.0/16 # RFC 1918 local private network (LAN)
acl localnet src fc00::/7 # RFC 4193 local private network range
acl localnet src fe80::/10 # RFC 4291 link-local (directly plugged) machines

acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

#
# Recommended minimum Access Permission configuration:
#
# Deny requests to certain unsafe ports
http_access deny !Safe_ports

# Deny CONNECT to other than secure SSL ports
http_access deny CONNECT !SSL_ports

# Only allow cachemgr access from localhost
http_access allow localhost manager
http_access deny manager

# We strongly recommend the following be uncommented to protect innocent
# web applications running on the proxy server who think the only
# one who can access services on "localhost" is a local user
#http_access deny to_localhost

#
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
#

# Example rule allowing access from your local networks.
# Adapt localnet in the ACL section to list your (internal) IP networks
# from where browsing should be allowed
http_access allow localnet
http_access allow localhost

# And finally deny all other access to this proxy
http_access deny all

# Squid normally listens to port 3128
http_port 3128 ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/etc/squid/ssl/squidca.pem

acl step1 at_step SslBump1

ssl_bump peek step1
ssl_bump bump all

sslcrtd_program /usr/lib/squid/security_file_certgen -s /var/lib/ssl_db -M 4MB

# Uncomment and adjust the following to add a disk cache directory.
#cache_dir ufs /var/cache/squid 100 16 256

# Leave coredumps in the first cache dir
coredump_dir /var/cache/squid

#
# Add any of your own refresh_pattern entries above these.
#
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320

Что я сделал не так и что нужно поправить? Заранее благодарю!

Comments

[Алексей]

Стоит отметить, что с дефолтным конфигом всё работает

[Дмитрий]

что с логах? /var/log/squid/cache.log

[Алексей]

Дмитрий, Всё, что есть прикрепляю

2021/07/06 11:07:29| Created PID file (/var/run/squid.pid)
2021/07/06 11:07:29 kid1| Set Current Directory to /var/cache/squid
2021/07/06 11:07:29 kid1| Starting Squid Cache version 4.6 for x86_64-pc-linux-gnu...
2021/07/06 11:07:29 kid1| Service Name: squid
2021/07/06 11:07:29 kid1| Process ID 9450
2021/07/06 11:07:29 kid1| Process Roles: worker
2021/07/06 11:07:29 kid1| With 65535 file descriptors available
2021/07/06 11:07:29 kid1| Initializing IP Cache...
2021/07/06 11:07:29 kid1| DNS Socket created at [::], FD 5
2021/07/06 11:07:29 kid1| DNS Socket created at 0.0.0.0, FD 8
2021/07/06 11:07:29 kid1| Adding domain kb-modul.local from /etc/resolv.conf
2021/07/06 11:07:29 kid1| Adding domain kb-modul.local from /etc/resolv.conf
2021/07/06 11:07:29 kid1| Adding nameserver 192.168.150.2 from /etc/resolv.conf
2021/07/06 11:07:29 kid1| Adding nameserver 192.168.150.3 from /etc/resolv.conf
2021/07/06 11:07:29 kid1| Logfile: opening log daemon:/var/log/squid/access.log
2021/07/06 11:07:29 kid1| Logfile Daemon: opening log /var/log/squid/access.log
2021/07/06 11:07:29 kid1| Store logging disabled
2021/07/06 11:07:29 kid1| Swap maxSize 0 + 262144 KB, estimated 20164 objects
2021/07/06 11:07:29 kid1| Target number of buckets: 1008
2021/07/06 11:07:29 kid1| Using 8192 Store buckets
2021/07/06 11:07:29 kid1| Max Mem size: 262144 KB
2021/07/06 11:07:29 kid1| Max Swap size: 0 KB
2021/07/06 11:07:29 kid1| Using Least Load store dir selection
2021/07/06 11:07:29 kid1| Set Current Directory to /var/cache/squid
2021/07/06 11:07:29 kid1| Finished loading MIME types and icons.
2021/07/06 11:07:29 kid1| HTCP Disabled.
2021/07/06 11:07:29 kid1| Pinger socket opened on FD 13
2021/07/06 11:07:29 kid1| Squid plugin modules loaded: 0
2021/07/06 11:07:29 kid1| Adaptation support is off.
2021/07/06 11:07:29 kid1| Accepting HTTP Socket connections at local=[::]:3128 remote=[::] FD 11 flags=9
2021/07/06 11:07:29| pinger: Initialising ICMP pinger ...
2021/07/06 11:07:29| Open icmp_sock: (1) Operation not permitted
2021/07/06 11:07:29| pinger: Unable to start ICMP pinger.
2021/07/06 11:07:29| Open icmp_sock: (1) Operation not permitted
2021/07/06 11:07:29| pinger: Unable to start ICMPv6 pinger.
2021/07/06 11:07:29| FATAL: pinger: Unable to open any ICMP sockets.
2021/07/06 11:07:30 kid1| storeLateRelease: released 0 objects
2021/07/06 11:11:28 kid1| Preparing for shutdown after 0 requests
2021/07/06 11:11:28 kid1| Waiting 30 seconds for active connections to finish
2021/07/06 11:11:28 kid1| Closing HTTP(S) port [::]:3128
2021/07/06 11:11:28 kid1| Closing Pinger socket on FD 13
2021/07/06 11:11:59 kid1| Shutdown: NTLM authentication.
2021/07/06 11:11:59 kid1| Shutdown: Negotiate authentication.
2021/07/06 11:11:59 kid1| Shutdown: Digest authentication.
2021/07/06 11:11:59 kid1| Shutdown: Basic authentication.
2021/07/06 11:12:00 kid1| Shutting down...
2021/07/06 11:12:00 kid1| storeDirWriteCleanLogs: Starting...
2021/07/06 11:12:00 kid1| Finished. Wrote 0 entries.
2021/07/06 11:12:00 kid1| Took 0.00 seconds ( 0.00 entries/sec).
CPU Usage: 0.184 seconds = 0.148 user + 0.036 sys
Maximum Resident Size: 123808 KB
Page faults with physical i/o: 0
2021/07/06 11:12:00 kid1| Logfile: closing log daemon:/var/log/squid/access.log
2021/07/06 11:12:00 kid1| Logfile Daemon: closing log daemon:/var/log/squid/access.log
2021/07/06 11:12:00 kid1| Open FD UNSTARTED 9 IPC UNIX STREAM Parent
2021/07/06 11:12:00 kid1| Squid Cache (Version 4.6): Exiting normally.
2021/07/06 11:12:00| Removing PID file (/var/run/squid.pid)
2021/07/06 11:12:11| Created PID file (/var/run/squid.pid)

[Алексей]

Дмитрий, Сам сквид при запуске вот на что ругается

[Дмитрий]

а права до сертификата есть?

[Алексей]

Дмитрий, Не уверен. Как проверить? Я не очень силен в данной теме, прошу извинить за тупость))

[Алексей]

Дмитрий, На данный момент права следующие

Answer 1

[Дмитрий]

а вот что написано в конфиге - cert=/etc/squid/ssl/squidca.pem

Comments

[Алексей]

Дмитрий неужели дело в банальном пути?…
Завтра проверю. Спасибо!

[Алексей]

Дмитрий эту беду победили, но куда уж без еще одной. Выгрузил сертификат на рабочую машину, установил в доверенные корневые центры сертификации, но трафик не перехватывает((
Может что-то забыл сделать?

[Алексей]

Дмитрий если кратко, то схема сети следующая: Микрот->коммутаторы->ПК
Может на микроте что-то подкрутить нужно?

[Дмитрий]

вопрос:
каким образом трафик клиентов должен принудительно заворачиваться в порт squid-а ?
Если для компьютера со сквидом этот трафик транзитный, то надо на нем крутить iptables , если клиентский трафик - транзитный трафик для микротика, то микротик должен заворачивать определенный трафик на squid.

[Алексей]

Дмитрий, требуется просто понимать кто куда ходит из локальной сети в мир. Для этого просто перенаправляю 80 и 443 порты на 3128 и 3129 порты сквида?

[Дмитрий]

да, надо транзитный трафик перенаправлять на соответсвующие порты squid-а, те которые intercept .

[Алексей]

Дмитрий, Получается, в параметрах NAT на микротике прописываю chain: dstnat, src.address -> свой ип (так как пока только на себе пробую), src.port -> 443. protocol 6(tcp). А на вкладке Action прописываю action -> dst-nat, to addresses -> адрес сквида и to ports 3129
И то же самое для 80 и 3128 порта соответсвенно
Ничего не упустил?

[Дмитрий]

только порт не src , а dst - 443

[Алексей]

Дмитрий, хм, а почему он сертификат так и не подставляет? Вроде добавил в коневые доверенные центры сертификации...

[Дмитрий]

потому что в прозрачном режиме он будет бампать соединение, а подмена сертификата будет только в обычном режиме, когда вы клиенту явно указываете адрес прокси сервера.
но вот тут я могу ошибаться, потому что не работал со сквидом уже много лет, уже просто не помню.
И да, последние мои эксперименты как я помню - прозрачный режим + ssl bump = боль (особенно на облачных ресурсах типа ютуба.. ).

[Алексей]

Дмитрий, я даже не могу разобрать куда он в теории должен писать логи посещений тех или иных ресурсов)

[Дмитрий]

/var/log/squid/access.log

Я на этом прекращаю консультации по сквиду, вопрос был почему сквид не запускается - мы проблему решили.
Построение решения по фильтрации трафика - отдельная и приличная такая тема.