mikes: pastebin.com/LYRcziQ6
Отлично работает. Проверял пока только через firefox, links и curl. Без нагрузки. Осталось протестировать на других браузерах и мобильных клиентах, и посмотреть как будет себя вести squid под нагрузкой.
mikes: проблему решили.. проблема с ssl3 не в системе.. Хотя у Никиты были проблемы с сегфолтом на дебиан.. Видимо проблемы со сборкой. Проблема на самом деле в ssl_bump peek all.
Рабочий вариант:
https_port 192.168.15.237:3129 intercept ssl-bump options=ALL:NO_SSLv3:NO_SSLv2 connection-auth=off cert=/etc/squid/squidCA.pem
always_direct allow all
sslproxy_cert_error allow all
sslproxy_flags DONT_VERIFY_PEER
Я поделился своим решением с товарищем, и он поставил его себе на шлюз.. У него большой разброс в ОС, от XP до Win10, так же есть линуксы.. Так вот, часть клиентов на 10ке не работала. (Не уточнял какие браузеры). Squid выдавал ошибку приведенную выше.. Начал гуглить и пробовать. Оказалось, что проблема в ssl3.
Я не столько надеялся найти решение здесь, сколько привлечь внимание.. SSL можно фильтровать не вставая по середине, а фильтруя соединения по server name в SNI Info. Может кто доведет до ума и поделится с сообеществом, а то что ни статья о squid + ssl - то MitM атака на пользователя.
В моём случае это прекрасно работает, только не со всеми клиентами.
Squid, по сути, смотрит в поле server_name в TLS Client Hello, а потом рвёт нежелательные соединения, либо позволяет клиенту установить соединение, не вмешиваясь в него. Я выбрал этот способ потому, что это не является атакой на пользователя, и позволяет гибко настроить правила доступа для разных клиентов.
Написано
Войдите на сайт
Чтобы задать вопрос и получить на него квалифицированный ответ.
Отлично работает. Проверял пока только через firefox, links и curl. Без нагрузки. Осталось протестировать на других браузерах и мобильных клиентах, и посмотреть как будет себя вести squid под нагрузкой.