服务器 Gind.cn
  1. 服务器 Gind.cn
  3. HTTPS内容过滤,而不使用鱿鱼去stream量?
Intereting Posts
为什么这个发球台输掉stdout? 我怎样才能使用iptables将通过网桥进入的数据包返回到源代码? Linux服务器空间不足 禁用apache的日志轮转或移动文件位置 复杂的软件安装文档程序或工具 远程计算机上的虚拟光驱也是可启动的 Ubuntu 16.04:nginx:零大小共享内存区“one” 在RHEL7.1上自定义一个虚拟NIC? 迁移服务器后台服务器hack:移动之前我们应该清理数据? SQL Management Studio的凭证在哪里保存? 将Cisco Aironet 1100重置为出厂默认设置 我如何创build一个用户在EC2实例中的密码? 给用户的pipe理员访问公司PC是否正常? 在一个主机上部署多个django实例 如何解决intodns网站中的recursion查询错误?

HTTPS内容过滤,而不使用鱿鱼去stream量?

我正在尝试使用ssl_bumping基于ACL终止httpsstream量,而无需在拦截/透明模式下对stream量进行解密。 有没有人得到这个工作之前? 我已经复制了我的configuration和我的iptables nat规则的样子。

我正在使用squid 3.5.13以下编译选项:
Squidcaching:版本3.5.12
服务名称:鱿鱼
configuration选项:'–prefix = / usr''–localstatedir = / var''–libexecdir = / lib / squid3''–datadir = / share / squid3''–sysconfdir = / etc / squid3'' –with-default-user = proxy''–with-logdir = / var / log / squid3''–with-pidfile = / var / run / squid3.pid''–with-openssl''-enable -ssl-crtd'–enable-icap-client''–with-large-files'–enable-ltdl-convenience

squid.conf中:
acl social dstdomain .google.com .facebook.com .reddit.com
acl step1 at_step SslBump1
acl step2 at_step SslBump2
ssl_bump凝视step2全部
ssl_bump终止社交ssl_bump拼接全部
acl localnet src 192.168.50.0/24
acl SSL_ports端口443
acl Safe_ports端口80#http
acl Safe_ports端口21#ftp
acl Safe_ports端口443#https
acl Safe_ports port 70#gopher
acl Safe_ports端口210#wais
acl Safe_ports端口1025-65535#未注册的端口
acl Safe_ports port 280#http-mgmt
acl Safe_ports port 488#gss-http
acl Safe_ports端口591#filemaker
acl Safe_ports端口777#multiling http
acl CONNECT方法CONNECT
http_access允许pipe理本地主机
http_access拒绝经理
http_access拒绝!Safe_ports
http_access拒绝CONNECT!SSL_ports
http_access允许localnet
http_access允许localhost
允许所有的http_access
http_port 3128透明
https_port 3129拦截ssl-bump cert = / etc / squid3 / ssl_cert / squidSSL.pem
cache_dir ufs / cache / squid3 / spool 100 16 256
access_log syslog:local5.info squid
coredump_dir / var / spool / squid3
url_rewrite_program / usr / bin / squidGuard -c /cache/config/daemons/squidguard/squidGuard.conf
url_rewrite_children 15
允许所有的url_rewrite_access
refresh_pattern ^ ftp:1440 20%10080
refresh_pattern ^ gopher:1440 0%1440
refresh_pattern -i(/ cgi-bin / | \?)0 0%0
refresh_pattern。 0 20%4320
icap_enable on
icap_send_client_ip on
icap_send_client_username
icap_client_username_encodeclosures
icap_client_username_header X-Authenticated-User
icap_preview_enable on
icap_preview_size 1024
icap_service service_req reqmod_precache bypass = 1 icap://127.0.0.1:1344 / squidclamav adaptation_access service_req allow all
icap_service service_resp respmod_precache bypass = 1 icap://127.0.0.1:1344 / squidclamav
adaptation_access service_resp允许所有

iptables -L -v -t nat(只有相关规则):
链PREROUTING(策略接受1083包,233K字节)
pkts字节目标人选退出源目的地
157 9420 DNAT tcp – eth1任意位置tcp dpt:https:192.168.11.1:3129

链PREROUTING-daemon-tcp(1个引用)
pkts字节目标人选退出源目的地
443 26580 DNAT tcp – eth1任何地方任何地方tcp dpt:http到:192.168.11.1:3128
0 0 DNAT tcp – eth2任何地方任何地方tcp dpt:http到:172.17.0.1:3128

现在我不能让它终止任何httpsstream量。 它所做的就是让它通过。
任何和所有的帮助将不胜感激!

〜非常困惑的鱿鱼用户〜