相当长一段时间以来,我一直在尝试使用DrWeb防病毒软件制作一个透明的HTTPS squid代理。 我已经成功地使所有的东西都能用自己的证书工作,而且我可以看到HTTPS中的stream量正在被防病毒软件检测,因为它阻止了我要求阻止的内容。 但对于一些网站,如Gmail或9gag,该网站只是永远加载,永远不会进一步。 有没有人有鱿鱼和HTTPS的经验? Squid.conf: dns_v4_first on connect_timeout 2.0 acl localnet src 10.0.0.0/8 # RFC1918 possible internal network acl localnet src 172.16.0.0/12 # RFC1918 possible internal network acl localnet src 192.168.0.0/16 # RFC1918 possible internal network acl localnet src fc00::/7 # RFC 4193 local private network range acl localnet src fe80::/10 # RFC 4291 […]
我有一个在Debian Stretch上运行的Squid 3.5.23,从deb源文件重新编译并configuration为透明代理。 我改变了configuration,以便允许SSL代理,并且当我将生成的Squid证书安装为受信任的根权限时,似乎运行正常。 Facebook,Google,Kernel.org和其他大多数HTTPS站点都通过OK,浏览器正确认为这些站点的证书权限是代理的。 现在,有些网站给我一个证书警告,然后错误,如果我接受它作为例外。 https://elpais.com – > The following error was encountered while trying to retrieve the URL: https://2.16.189.72/* Failed to establish a secure connection to 2.16.189.72 The system returned: (71) Protocol error (TLS code: SQUID_ERR_SSL_HANDSHAKE) Handshake with SSL server failed: error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure This proxy and the remote host failed […]
我对pfSense相当陌生,请耐心等待。 总结一下,我有: 启用了拆分DNS的networking。 一个单一的IISnetworking服务器与单一的IP,不同的网站运行使用不同的主机头绑定通过端口80,所有网站正常工作的内部用户。 pfSense 2.3.4-RELEASE-p1在networking边缘安装了Squid 0.4.40。 我看起来像下面的图片: 我正在努力实现的是: 使用相同的内部URL发布外部用户的内部网站。 透明代理(用于内部caching和CalmAV)和HTTPS是不需要的。 我读过pfSense可以使用反向代理来实现这个function,我按照这里提到的步骤启用它(除了使用相同的80端口作为内部站点): https : //www.reddit.com/r/homelab/评论/ 2vyiiy / til_reverse_proxy_via_squid_in_pfsense / 问题: 当外部用户input站点URL并回车时,浏览器开始尝试连接,但是几秒钟后,如果没有加载页面,就会失败,更奇怪的是,他们键入的URL从HTTPredirect到HTTPS。 故障排除: 禁用透明HTTP代理进行内部通信。 Squid日志没有显示任何与URLredirect相关的内容。 pfSense防火墙日志显示外部用户能够使用HTTP连接一次,然后所有通信都使用HTTPS进行通信 问题: 这种情况下甚至有效的pfSense /鱿鱼? 如果是的话,我错过了什么? 如果不是,还有什么select? 我是否必须通过在IIS上使用不同的端口来发布站点,并在Pfsense上启用端口redirect? (这是我试图避免的事情) 任何额外的步骤或故障排除的build议非常感谢。
根据维基百科 : HTTP连接隧道 在HTTP代理服务器之后的HTTP隧道的变体是使用“CONNECT”HTTP方法。 1 [2]在这种机制中,客户端请求HTTP代理服务器将TCP连接转发到所需的目的地。 服务器然后继续代表客户端进行连接。 一旦服务器build立了连接,代理服务器继续代理与客户端之间的TCPstream。 请注意,只有初始连接请求是HTTP – 之后,服务器只是代理build立的TCP连接。 这种机制是HTTP代理的客户端如何使用SSL或TLS(即HTTPS)访问网站。 并非所有HTTP代理服务器都支持此function,甚至可能会限制这些function(例如,只允许连接到默认的HTTPS端口443,或阻止似乎不是SSL的stream量)。 我的问题是: 即使(稍后)的访问和stream量是HTTPS,但是有最初的HTTP请求,我是否可以阻止访问网站? 我试图做这样的事情,但它不工作: acl social_networks dstdomain "/etc/squid3/acls/social_networks.acl" http_access deny CONNECT social_networks all 尽pipe我正在考虑CONNECT方法,但是访问此ACL中的网站仍然有效。
有可能,与Squid,使用URLpath正则expression式的反向代理显示后端服务器应用程序,而无需修改原来的url? 例如:我有一个带有squid的外部域名服务器(www.example.com),并希望显示一个运行在内部服务器上的glassfish应用程序,并且这个例子的地址是: http://192.168.1.8:9090/application1/ : http://192.168.1.8:9090/application1/ :9090/application1/ http://192.168.1.8:9090/application1/像http://www.example.com/service1这样的http://www.example.com/service1但没有修改原来的url。 客户端 – > http://www.example.com/service1 < – > [Squid] < – > http://192.168.1.8:9090/application1/ 这是我的例子squidconfiguration: http_port 80 accel defaultsite=webserver.mio acl all src all acl localnet src 0.0.0.0/8 192.168.1.0/24 acl foo urlpath_regex -i ^/foo cache_peer 192.168.1.8 parent 81 0 proxy-only name=locale cache_peer_access locale deny foo cache_peer_access locale allow all cache_peer 192.168.1.9 […]
刚刚编译鱿鱼3.5.25与: configure options: '–with-openssl' '–enable-ssl' '–enable-ssl-crtd' 我用openssl创build了.pem文件,在squid.conf中我有: http_port 3128 ssl-bump cert=/etc/squid3/myCA.pem generate-host-certificates=on dynamic_cert_mem_cache_size=4MB 到目前为止,一切工作正常,HTTP请求加载罚款,我只是得到This Connection is Untrusted消息在Firefox中的https,但我想这是因为我没有创build和添加.der文件到浏览器。 我遇到的问题是,当我尝试使用url_rewrite_program ,我将其添加到squid.conf中: url_rewrite_program /etc/squid3/rewrite.php rewrite.php看起来像这样: #!/usr/bin/php <?php $temp = array(); stream_set_timeout(STDIN, 86400); while ( $input = fgets(STDIN) ) { $temp = split(' ', $input); $output = $temp[0] . "\n"; if( stristr($temp[0], "192.168.0.123" ) == false ) { $output […]
我build立一个ipv6唯一的代理服务器。 所以我在一台服务器上设置了一个squid代理,在eth0上有一对ipv6地址,我在eth1上使用1个ipv4地址来访问代理。 然后,我修改了ip6tables以随机化一组IPv6地址作为POSTROUTING SNAT。 当我使用代理访问支持ipv6的站点时,代理将根据需要使用随机IPv6地址。 但是,对于不支持IPv6的站点,它使用IPv4地址(我用来连接到代理服务器的地址)。 我想阻止它使用ipv4地址,只是在网站不支持IPv4的情况下丢弃请求。 任何人有任何想法如何做到这一点?
就像标题所说的,我在本地执行cat /etc/resolv.conf看到 domain domain.net nameserver 10.68.10.15 nameserver 10.68.10.16 但在我的鱿鱼代理容器相同的命令显示 # Generated by dhcpcd from eth0.dhcp # /etc/resolv.conf.head can replace this line domain domain.net nameserver 192.167.63.1 # /etc/resolv.conf.tail can replace this line 我似乎无法curldomain.net的内部主机,但我可以curlgoogle.com和其他人。 resolv.conf应该和我的本地一样吗? 谢谢!
我们遇到了这个问题:我们的一名员工正在与供应商合作,他需要在供应商主站点上托pipe的Sharepoint站点上传文档。 在我们的环境中,我们使用Squid代理来允许人们在网上导航(我们有NTLM身份validation,用户在使用IE和FF时透明地进行身份validation)。 看来,这个特定的Sharepoint站点只使用集成的Windows身份validation,并根据一些在networking上的研究似乎这可能有麻烦与代理。 更具体地说,我们尝试了两个Squid版本: 与Squid 3.0我们无法login到网站(浏览器加载一个空的页面) 与Squid 2.7(支持“ 连接钉 ”),我们可以login到网站,移动不同部分BUT .. 当我们尝试上传比KiloBytes(即10KB)更大的文件时,浏览器会加载一个错误页面(我认为这是一个401未经授权但我必须validation的页面) 我们已经尝试了更改一些Squid选项(2.7),我们得到的是,当你尝试上传文件时,你有一个validation框(就像初始login一样),即使你进入相同的authentication凭证。 真奇怪的是,当你尝试上传一个小文件(即文本或二进制1KB文件)时,上传成功。 我最初认为,也许在他们的Sharepoint网站上有一些错误的configuration,但我也试过这个网站:www.xsolive.com(这是一个共享点2007演示网站),我也遇到了同样的问题。 你们有没有经历过这种行为? 谢谢! 当然,我们build议供应商也启动基本+ SSL,我们正在等待他们的答复..
我已经在Mac mini上安装了鱿鱼,并希望将其configuration为代理 任何想法,我将开始,特别是设置ACL,使用webmin作为configuration鱿鱼的GUI工具