Squid 4.13 прозрачный прокси без подмены сертификата, ssl_error_rx_record_too_long, что_я_делаю_не _так?

Question

[Андрей]

Squid в режиме прозрачного прокси без подмены сертификата по https нормально открывает gosuslugi.ru и кучи других сайтов, но одноклассники, вконтакте, ютуб и еще куча других дают отлуп с ошибкой в FF: ssl_error_rx_record_too_long. C http проблем не имею. На кальмаре 3.5.8 приготовленом по рецепту на хабре проблем таких нет, пробую использовать современный Debian11 и там версия 4.13-10 в репах, но я пересобрал ее с опциями под https. Для имеющих возможность мне помочь выложу упрощенный конфиг с минимумом фильтрации.

workers 2
dns_nameservers 127.0.0.1

acl localnet src 10.15.0.0/24

acl SSL_ports port 443
acl Safe_ports port 80		# http
acl Safe_ports port 21		# ftp
acl Safe_ports port 443		# https
acl Safe_ports port 70		# gopher
acl Safe_ports port 210		# wais
acl Safe_ports port 1025-65535	# unregistered ports
acl Safe_ports port 280		# http-mgmt
acl Safe_ports port 488		# gss-http
acl Safe_ports port 591		# filemaker
acl Safe_ports port 777		# multiling http
acl CONNECT method CONNECT

http_access deny !Safe_ports

http_access deny CONNECT !SSL_ports

http_access allow localhost manager
http_access deny manager

http_access allow localnet
http_access allow localhost
http_access deny all

http_port 3128 intercept
http_port 3130
https_port 3129 intercept ssl-bump connection-auth=off cert=/etc/squid/squidca_dron.pem

cache deny all
always_direct allow all
sslproxy_cert_error allow all

#укажем правило со списком блокируемых ресурсов (в файле домены вида .domain.com)
acl blocked ssl::server_name  "/etc/squid/blocked_https.txt"
acl step1 at_step SslBump1
ssl_bump peek step1

#терминируем соединение, если клиент заходит на запрещенный ресурс
ssl_bump terminate blocked 
ssl_bump splice all

#openssl req -new -newkey rsa:2048 -days 3650 -nodes -x509 -keyout squidca_dron.pem -out squidca_dron.pem
sslcrtd_program /usr/lib/squid/security_file_certgen -s /var/lib/squid/ssl_db -M 20MB

coredump_dir /var/spool/squid
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern .               0       20%     4320
cache_dir aufs /var/spool/squid 20000 49 256
maximum_object_size 61440 KB
minimum_object_size 3 KB

cache_swap_low 90
cache_swap_high 95
maximum_object_size_in_memory 512 KB
memory_replacement_policy lru
logfile_rotate 4

dns_v4_first on

Comments

[Drno]

если я правильно думаю что это за статья, то там писалось, что лазейка может в дальнейшем прикрыться... я про squid...
возможно это связано с недавними обновлениями корневых сертификатов... но это не точно
А проблема во всех браузерах?

[Андрей]

Drno, хром и ff аналогично

Answer 1

[Zeitgeber]

О, люди, хоть кто нибудь скажите как победить Squid в 2022? Уже замучился, пытаюсь настроить именно прозрачный прокси. Если не прозрачный всё достаточно просто, только нужно указать прокси сервер в браузере. На ютубе и в некоторых мануалах видел, что настраивают всё, всего лишь добавляя transperent к http (причём именно к http) в конфиге squid и сделав проброс на этот порт и ip проксисервера 80 & 443 порты, то есть так
-A PREROUTING -i ens19 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.0.1:3128
-A PREROUTING -i ens19 -p tcp -m tcp --dport 443 -j DNAT --to-destination 192.168.0.1:3128.
И типа всё работает, у меня вылетает ошибка в браузере SSL_ERROR_RX_RECORD_TOO_LONG.
На сам сквид тоже ошибки в /var/log/squid/access.log по типу CONNECT realtime-services-chat-1.carrotquest.app:443 - HIER_NONE/- text/html и ещё error:invalid-request - HIER_NONE/- text/html
Вобщем люди добрые, подскажите кто чем может. Кто как настраивал, на каких версиях?

Answer 2

[inve22]

Приветствую!
Кальмар 5, заработал с таким конфигом в транспарент прокси:

acl localnet src 10.0.0.0/8
acl localnet src 100.64.0.0/10
acl localnet src 169.254.0.0/16
acl localnet src 172.16.0.0/12
acl localnet src 192.168.0.0/16
acl SSL_ports port 443
acl Safe_ports port 80
acl Safe_ports port 21
acl Safe_ports port 443
acl Safe_ports port 70
acl Safe_ports port 210
acl Safe_ports port 1025-65535
acl Safe_ports port 280
acl Safe_ports port 488
acl Safe_ports port 591
acl Safe_ports port 777
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager
http_access deny to_localhost
http_access allow localnet
http_access allow localhost
http_access deny all
http_port 3128 intercept
visible_hostname 127.0.0.1:80
https_port 3129 intercept ssl-bump options=ALL:NO_SSLv3:NO_SSLv2 connection-auth=off cert=/etc/squid/squidCA.pem
sslproxy_cert_error allow all
ssl_bump splice all
sslcrtd_program /usr/lib/squid/security_file_certgen -s /var/lib/squid/ssl_db -M 10MB
coredump_dir /var/cache/squid
refresh_pattern ^ftp:		1440	20%	10080
refresh_pattern ^gopher:	1440	0%	1440
refresh_pattern -i (/cgi-bin/|\?) 0	0%	0
refresh_pattern .		0	20%	4320

Comments

[Zeitgeber]

Приветствую.
Надо будет попробовать, спасибо )

[inve22]

Да я вот тоже озадачился прокси и с той же ошибкой наткнулся на ваш вопрос.
В итоге не стал заморачиваться с чисто прозрачным прокси, т.к. нужны логи нормальные, сделал по сертификату. Еще пришлось по ходу дела заново собирать сквид поверх стоящего - отключал ipv6.

Конфиг по портам и SSL получился такой:
http_port 3128 intercept
visible_hostname 127.0.0.1:80
https_port 3129 intercept ssl-bump tcpkeepalive=60,30,3 ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=20MB tls-cert=/etc/squid/ssl/bump.crt tls-key=/etc/squid/ssl/bump.key cipher=HIGH:MEDIUM:!LOW:!RC4:!SEED:!IDEA:!3DES:!MD5:!EXP:!PSK:!DSS options=NO_TLSv1,NO_SSLv3,SINGLE_DH_USE,SINGLE_ECDH_USE tls-dh=prime256v1:/etc/squid/ssl/bump_dhparam.pem
ssl_bump stare all
sslproxy_cert_error deny all
sslcrtd_children 32 startup=5 idle=1
sslcrtd_program /usr/lib/squid/security_file_certgen -s /var/lib/squid/ssl_db -M 20MB

Если поменять ssl_bump stare all на ssl_bump splice all будет работать прозрачно без подмены сертификата, но тогда с логами беда.