CityCat4

Видимо не Вы его ставили...

Английским по белому написано, что squid не может открыть порт, прописанный в конфиге. Почему - а фиг его знает. Например, при конвертации машины в новой конфигурации отсутствует сетевуха :)

Когда решался вопрос с новым прокси с бампингом, статистикой, (блэкджеком и девочками с выдающимися ... достоинствами), то я решил не терминировать соединение на шаге бампа, а выдать старый знакомый access denied, благо пользователи приучены распознавать именно эту фразу :D

Поэтому рулите доступом, как обычно, в правилах бампинга пропишите только исключения для банков

Большую часть конфига с описанием групп доступа я опущу - они однотипные

acl full_acl    proxy_auth -i "/etc/squid/policy/full.acl"
acl noporno_acl proxy_auth -i "/etc/squid/policy/noporno.acl"
acl porno url_regex -i "/etc/squid/policy/porno.url"
http_access allow full_acl
http_access deny noporno_acl porno
http_access allow noporno_acl
http_port 10.1.1.1:8080 ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/etc/pki
/tls/certs/logsrv_subca-sha256.crt key=/etc/pki/tls/private/logsrv_subca-sha256.key cafile=/etc/
pki/tls/certs/squid-cafile.pem capath=/etc/ssl/certs cipher=kEECDH+AES:kEDH+AES:kRSA+AES:!aNULL:!DSS:!SSLv2 op
tions=NO_SSLv2,NO_SSLv3,SINGLE_DH_USE,SINGLE_ECDH_USE dhparams=/etc/pki/tls/private/dhparams.pem tls-dh=prime256v1:/etc/pki/tls/private/dhparams.pem
sslproxy_client_certificate /etc/pki/tls/certs/logsrv_client-sha256.crt
sslproxy_client_key /etc/pki/tls/private/logsrv_client-sha256.key
sslproxy_options NO_SSLv2,NO_SSLv3,SINGLE_DH_USE
sslproxy_cipher kEECDH+AES:kEDH+AES:kRSA+AES:!aNULL:!DSS:!SSLv2
sslproxy_cafile /etc/pki/tls/certs/squid-cafile.pem
sslproxy_capath /etc/ssl/certs
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
acl nobumpSites ssl::server_name "/etc/squid/policy/ssl_nobump.url"
ssl_bump peek step1 all
ssl_bump peek step2 nobumpSites
ssl_bump splice step3 nobumpSites
ssl_bump bump all
acl domainMismatchList dstdom_regex -i "/etc/squid/policy/domain_mismatch.url"
acl certMismatch all-of domainMismatchList ssl::certDomainMismatch
sslproxy_cert_error allow certMismatch
sslproxy_cert_error deny all
sslcrtd_program /usr/lib64/squid/ssl_crtd -s /var/lib/ssl_db -M 4MB
sslcrtd_children 32 startup=5 idle=1

Запрещенные домены, в данном случае порносайты, заносятся в файл porno.url. в файле noporno.acl - логины в формате login@WINDOWS.DOMAIN. Сайты, которые не надо бампить - в файле ssl_nobump.url. Сайты, у которых ошибка сертификата, связанная с ленью админа и тем, что сертификат выдан на другое имя - в файле domain_mismatch.url
JFYI: Не стоит отключать обработку ошибок сертификата. Если словите настоящий MitM - то вас с отключенной обработкой уже ничего не спасет.

Перенаправление на сайт-заглушку делается не сквидом. Обычно оно делается DNS-ом. Нужно иметь список заблокированных ресурсов и уметь потрошить DNS-запросы. Разумеется, все должны ходить только через конторский DNS без шифрования. Увидев запрос к заблокированному ресурсу, нужно подменять IP в ответе на 127.0.0.1 (ну или там где лежит заглушка).

Так делают провайдеры.

Ну, в общем, как обычно отвечаю сам себе :)

1. ssl_bump позволяет видеть URL так, как это было бы по HTTP - так что биться за что есть.
2. Почему не работал вариант выше - я так и не понял, но вот рабочий конфиг

http_port 10.87.1.39:8080 ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/etc/pki/tls/certs/logsrv_subca.crt key=/etc/pki/tls/private/logsrv_subca.key cafile=/etc/pki/tls/rootca/dc3-CA.crt cipher=kEECDH+AES:kEDH+AES:kRSA+AES:!aNULL:!DSS:!SSLv2 options=NO_SSLv2,NO_SSLv3,SINGLE_DH_USE,SINGLE_ECDH_USE dhparams=/etc/pki/tls/private/dhparams.pem tls-dh=prime256v1:/etc/pki/tls/private/dhparams.pem
sslproxy_client_certificate /etc/pki/tls/certs/logsrv_client.crt
sslproxy_client_key /etc/pki/tls/private/logsrv_client.key
sslproxy_options NO_SSLv2,NO_SSLv3,SINGLE_DH_USE
sslproxy_cipher kEECDH+AES:kEDH+AES:kRSA+AES:!aNULL:!DSS:!SSLv2
sslproxy_cafile /etc/pki/tls/rootca/dc3-CA.crt
acl step1 at_step SslBump1
ssl_bump peek step1
ssl_bump bump all
sslcrtd_program /usr/lib64/squid/ssl_crtd -s /var/lib/ssl_db -M 4MB
sslcrtd_children 32 startup=5 idle=1

Сертификат logsrv_subca.crt - это на самом деле subCA, то есть

X509v3 Basic Constraints: critical
                CA:TRUE
            X509v3 Key Usage: critical
                Digital Signature, Certificate Sign, CRL Sign

Сертификат dc3-CA.crt - сертификат корневого СA, в котором выпущен logsrv_subca.crt. Его нужно добавить в доверенные корневые сертификаты - и предупреждений о несоответствии сертификатов не будет. Ну, по крайней мере в FF уже проверено (54.0.1).
Еще одно очень важно замечание - параметры в строке http_port предназначены для стороны, работающей в сторону клиента. Параметры sslproxy_* - для стороны, работающей в сторону сервера

Задача сразу же распадается как минимум на три.

- Как "идентифицировать" детей - ведь в сети есть не только дети, но и взрослые?
- Как сделать так, чтобы "дети" не обходили ограничения?
- Как собственно реализовать ограничения?

Только squid понятно, эти вопросы не решает. Это типовые задачи корпоративного админа :)

Вопрос первый решается либо доменом, либо локальными учетками на прокси. Либо привязкой по макам к определенным IP - здесь уже вопрос, как у Вас IP раздаются.
Вопрос второй решается блокировкой на прокси анонимайзеров, а также блокировкой выхода в Сеть без прокси. Разумеется, на компах "детей" не должно быть тора, friGate, оперы и других "относительно легальных" средств обхода блокировки
Вопрос третий решается списком сайтов и соответствующей настройкой squid. Списком порносайтов могу поделиться :)

Еще есть squidguard, не знаю насколько жив проект, но списки там есть.

Он похоже конфиг как конфиг не воспринимает. Нужно скачать готовый пакет или самому собрать и подсунуть конфиг от старого сервера или даже вручную откорректировать. Это не так сложно как кажется - главное секции аутентификаторов и ACL.

1. Нет. Squid - это прокси-сервер, апач к нему никакого отношения не имеет
2. Нет. Ниоткуда. Squid ничего не знает про отчеты - это прокси-сервер. Все отчеты делаются сторонними средствами, например sarg, sams.
3. Не знаю, никогда не использовал lightsquid, использовал сильно перепиленный sarg + собственные скрипты (кривые, косые, но рабочие)
4. Есть. И даже не одна - есть множество вариантов интеграции с AD.

На хосте:
cd /etc
tar -cvf squid.tar squid

На виртуалке
Поставить squid (как ставятся пакеты в бубунте не знаю, у меня центос)
скопировать архив squid.tar в /etc
tar -xvf squid.tar

Сквид обычно хранит все в каталоге /etc/squid. Но есть один момент. Если аутентификация доменная или еще какая - нужно обязательно, чтобы стояли те же хелперы, что использовались, то есть устанавливать желательно тот же пакет, что ставился на хостовую бубунту.