Как настроить прозрачное проксирование в sqiud методом SSL Peek and Splice?

Question

[Максим]

Пытаюсь настроить проксирование https методом SSL Peek and Splice, как показано в статье Сатья
Но когда, я перенаправляю весь трафик на сквид никакой сайт https не открывается. в логах тишина.

конфиг.

acl terminals src 10.214.2.128/25
acl localnet src 192.168.1.0/24
acl vpnnet src 192.168.3.0/24

acl SSL_ports port 443
acl Safe_ports port 80		# http
acl Safe_ports port 21		# ftp
acl Safe_ports port 443		# https
acl Safe_ports port 70		# gopher
acl Safe_ports port 210		# wais
acl Safe_ports port 1025-65535	# unregistered ports
acl Safe_ports port 280		# http-mgmt
acl Safe_ports port 488		# gss-http
acl Safe_ports port 591		# filemaker
acl Safe_ports port 777		# multiling http
acl CONNECT method CONNECT

visible_hostname gateway
dns_nameservers 10.214.2.137

http_port 3128 intercept options=NO_SSLv3:NO_SSLv2
http_port 3130 options=NO_SSLv3:NO_SSLv2

https_port 3129 intercept ssl-bump options=ALL:NO_SSLv3:NO_SSLv2 connection-auth=off cert=/etc/squid/squidCA.pem
always_direct allow all
sslproxy_cert_error allow all
sslproxy_flags DONT_VERIFY_PEER

acl break time MTWHF 12:00-13:00
acl night time MTWHF 08:00-17:00

acl anonymizers url_regex "/etc/squid/rules/anonymizers.acl"
acl dating url_regex "/etc/squid/rules/dating.acl"
acl fileshare url_regex "/etc/squid/rules/fileshare.acl"
acl porn url_regex "/etc/squid/rules/porn.acl"
acl social url_regex "/etc/squid/rules/social.acl"
acl umor url_regex "/etc/squid/rules/umor.acl"
acl open-win url_regex "/etc/squid/rules/open-win.acl"
acl js url_regex "/etc/squid/rules/js.acl"
acl games url_regex "/etc/squid/rules/games.acl"
acl fake url_regex "/etc/squid/rules/fake.acl"
acl 451 url_regex "/etc/squid/rules/451.acl"

acl test ssl::server_name .2ip.ru

acl step1 at_step SslBump1

sslcrtd_program /usr/lib/squid/ssl_crtd -s /var/lib/ssl_db -M 4MB

http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

http_access allow localhost manager
http_access deny manager

#######################
http_access allow all

#ssl
ssl_bump peek step1
ssl_bump terminate test
ssl_bump splice all

#no ssl

http_access deny open-win
http_access deny js
http_access deny fake
http_access deny 451
http_access deny anonymizers 
http_access deny dating !break night
http_access deny fileshare !break night
http_access deny porn
http_access deny social !break night
http_access deny umor !break night
http_access deny games !break night

http_access allow localhost
http_access allow localnet
http_access allow terminals
http_access allow vpnnet

http_access deny all

##########################

cache_dir ufs /var/spool/squid 6249 16 256
maximum_object_size 10240 KB
cache_mgr admin@admin.ru

coredump_dir /var/spool/squid

refresh_pattern ^ftp:		1440	20%	10080
refresh_pattern ^gopher:	1440	0%	1440
refresh_pattern -i (/cgi-bin/|\?) 0	0%	0
refresh_pattern .		0	20%	4320

"http_access allow all" перед всеми правилами на время теста, с обычным http проблем нет.

Comments

[AntohaRomaha]

На какую ось пилишь и какую версию сквида?

[Максим]

AntohaRomaha: Centos 6.7 squid 3.5.8

Answer 1

[Никита Парфенович]

Раз вы делали по моей статье, то должны были заметить, что написано в конце нее. Я написал, что в версиях выше, чем 3.5.8 есть баги, которые присутствуют вплоть до 4.0.1 (ее пока не тестировал). Ставьте версию 3.5.8 с Libressl 2.1.6. И все заработает как надо.

Comments

[AntohaRomaha]

Вышла 3.5.11 - интересно, как она себя поведет...

[Thug]

да сам мучился с версиями только 3.5.8

[Никита Парфенович]

AntohaRomaha: так же, как 3.5.10 =)

[AntohaRomaha]

Никита Парфенович: На неделю гдето перенесли на оф. сайте сквид 4.0 из теста на стейбл. - Удалось запилить его на фряху.. С ошибками, но кэш по http Заработал, https настроить так и не смог (да не особо долго занимался, в итоге снес), там другие настройки в конфе для https. Сейчас 4.0 опять в тесты убрали.. Уже бы без танцев запилить проксю блин.. чтоб все как я хочу и из коробки:))

[Никита Парфенович]

AntohaRomaha: значит там куча багов=)

Answer 2

[Thug]

Сам заюзал инфу с этой статьи, иптаблес покажи.
У меня все ок-работает:)

Comments

[Максим]

iptables тоже с этой статьи. поставил версию 3.5.9 теперь оишибка в файрфоксе

SSL получило запись, длинна которой превышает максимально допустимую

Конфиг я полностью содрал из статьи. Ругается на всех https сайтах

[Максим]

может у меня openssl глючный?

[Thug]

openssl version
LibreSSL 2.1.6
у меня так

#cache_dir ufs /var/spool/squid 6249 16 256
тут закоментил - интернет отваливался переодически у юзеров шлюз не переваривал трафик с кешированием на диск

[Максим]

Thug: OpenSSL 1.0.1e-fips 11 Feb 2013 и как бы обновить?

[Thug]

у той стати внизу есть ссилочки бери любую там есть готовий пакет просто установиви))) или сам собери

[Максим]

Thug: буду пробовать)

[Максим]

Thug: ну сразу созрел еще вопрос, особенности установки на centos есть? на debian есть патчи, в моем случае они нужны? на каком дистрибутиве у вас установлено?

[Thug]

Максим: Debian 8 у меня squid 3.5.10 with all pathces and bugfixes

[Максим]

Thug: вероятно, что на мой дистр патчи тоже нужны

[Thug]

да может, тут у меня еще трабл с https, периодическы отваливается и кеш ни прычом походу