Tham gia Đăng nhập
Điểm:1
avatar Server

Unable to access HTTP sites through HTTPS Squid proxy

lá cờ bm
theillien

I have working configuration for SSL bumping on Squid 4.4 and RHEL8. I'm finding though, that a handful of sites that don't have SSL set up (e.g., http://squidguard.org) are not working.

I've had to cobble together my configuration using several different sources since none seem to offer a definitive approach to setting up SSL bumping. It's possible that I've missed something that would allow Squid to handle both HTTP and HTTPS traffic?

This is what I'm seeing in the log:

1624658033.150  59887 10.108.0.18 TCP_MISS/503 4300 GET http://squidguard.com/favicon.ico - HIER_DIRECT/3.223.115.185 text/html
1624658042.966  60608 10.108.0.18 TCP_MISS/503 4392 GET http://squidguard.com/ - HIER_DIRECT/3.223.115.185 text/html

The error on the browser page says

The following error was encountered while trying to retrieve the URL: http://squidguard.com/
Connection to 3.223.115.185 failed.
The system returned: (110) Connection timed out
The remote host or network may be down. Please try the request again.

The remote host or network isn't down, though. I can reach it when not going through the proxy.

My squid.conf:

acl vdi src 10.108.0.0/20

acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT

acl intermediate_fetching transaction_initiator certificate-fetching
http_access allow intermediate_fetching

http_access deny !Safe_ports

http_access allow localhost manager
http_access deny manager

http_access allow vdi

http_access deny all

http_port 0.0.0.0:3128
http_port 0.0.0.0:3129 ssl-bump cert=/etc/squid/ssl_cert/myCA.pem generate-host-certificates=on
https_port 0.0.0.0:3130 intercept ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=20MB cert=/etc/squid/ssl_cert/myCA.pem

sslcrtd_program /usr/lib64/squid/security_file_certgen -s /var/lib/squid/ssl_db -M 20MB
ssl_bump stare all
ssl_bump bump all

cache_dir ufs /var/spool/squid 100 16 256

coredump_dir /var/spool/squid

refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern .               0       20%     4320

shutdown_lifetime 1 second

I don't have iptables running so I don't have any REDIRECT rules. I do suspect this to be the problem.

1503
1 + 5
roelvanmeer avatar
lá cờ ie
roelvanmeer
Nếu bạn không có quy tắc REDIRECT, làm thế nào để bạn truy cập proxy? Nếu bạn đã định cấu hình proxy trong trình duyệt của mình, thì proxy sẽ không trong suốt và khi đó bạn hoàn toàn không cần hỗ trợ SSL.
0
Hồi đáp
mandza avatar
lá cờ rs
mandza
Bạn có thể thêm cấu hình iptables của mình không? Bạn có thể kiểm tra nó bằng: Sudo iptables -S
0
Hồi đáp
lá cờ cn
chutz
Tôi nghĩ rằng SSL va chạm là dành cho MITM truy cập các trang web HTTPS để có thể kiểm tra lưu lượng. Các trang web HTTP đã không được mã hóa, vì vậy SSL va chạm không liên quan.
1
Hồi đáp
lá cờ bm
theillien
@roelvanmeer Đây là một sự hiểu lầm từ phía tôi; Tôi nghĩ "SSL Bumping" và "Proxy trong suốt" có thể hoán đổi cho nhau.Tôi đoán rằng việc định cấu hình thủ công proxy trên máy khách khiến các quy tắc REDIRECT không cần thiết vì nó hoạt động mà không có chúng. Cuối cùng, vấn đề nằm ngoài proxy, máy chủ và máy khách. Điều kỳ lạ là tường lửa mà tôi không kiểm soát đã được định cấu hình để cho phép cổng 443 nhưng không cho phép cổng 80. Điều này đã được khắc phục và bây giờ tất cả các luồng lưu lượng truy cập như mong đợi.
0
Hồi đáp
lá cờ bm
theillien
@chutz Vấn đề là (xem nhận xét của tôi ở trên) mà tôi không thể truy cập các trang web chỉ được định cấu hình cho HTTP; ví dụ: http://www.squidguard.org. Khi tôi cố gắng truy cập các trang web này, kết nối sẽ hết thời gian chờ. Nhìn bề ngoài, đây có vẻ không phải là một vấn đề nghiêm trọng vì hầu hết Internet đã chuyển sang HTTPS. Có một số trường hợp gây ra vấn đề, mặc dù. Cụ thể, CRL thường được cung cấp qua HTTP. Chúng đã bị chặn.
0
Hồi đáp
Điểm:0
avatar Server
lá cờ bm
theillien

Vấn đề là tranh luận. Nguồn gốc của vấn đề nằm ngoài phạm vi của Squid hoặc thậm chí là máy chủ mà nó đang chạy. Cổng 80 đã bị chặn tại tường lửa.

0 + 0
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.