Proxy Server con filtraggio dei contenuti della navigazione

Discussioni relative alla Gestione del wiki Guide@Debianizzati.Org

Proxy Server con filtraggio dei contenuti della navigazione

Messaggioda miralcuore » 11/03/2015, 13:29

Ho seguito questa bella guida e l'altrettanto bel prerequisito "Un server DNS e DHCP su Debian" con facilità e senza trovare refusi, forse senza la dovuta attenzione perchè al termine di tutta la configurazione quando mi aspettavo che nessuno potesse navigare, poichè avevo inibito internet a tutta la rete, ho trovato utenti in google, su youtube e forse anche su facebook. Il motivo è presto detto utilizzavano il protocollo https. Volevo chiedere come mai questo aspetto non è stato affrontato, o forse mi è sfuggita una nota da qualche parte? Ad ogni modo complimenti a ferdybassi per il lavoro svolto, grazie mille, ciao.

N.B.:
Di seguito riporto cosa ho fatto per ovviare a questo problema con articoli tratti dalla rete.

apt-get update
apt-get install -y openssl devscripts build-essential libssl-dev
apt-get source -y squid3
apt-get build-dep -y squid3

# reconfigure
cd squid3-3.4.8/
nano debian/rules

sostituire
--with-default-user=proxy

con
--with-default-user=proxy \
--enable-ssl \
--with-open-ssl="/etc/ssl/openssl.cnf"

# build package
debuild -us -uc

# install
cd ..
apt-get install logrotate
dpkg -i *.deb
apt-get install -f

Dobbiamo generare il certificato:
openssl genrsa -out squid.key 2048
openssl req -new -key squid.key -out squid.csr
openssl x509 -req -days 3650 -in squid.csr -signkey squid.key -out squid.crt
cat squid.key squid.crt > squid.pem

In /etc/squid3/squid.conf inserire:

https_port 3130 intercept ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/etc/squid3/ssl/squid.pem

e di seguito

always_direct allow all
ssl_bump none localhost
ssl_bump server-first all
sslproxy_cert_error allow all
sslproxy_flags DONT_VERIFY_PEER

Regole di iptables :
/sbin/iptables -t nat -A PREROUTING -p TCP -s 172.30.0.0/16 --dport 443 -j REDIRECT --to-port 3130
Avatar utente
miralcuore
Jr. Member
Jr. Member
 
Messaggi: 63
Iscritto il: 11/01/2009, 9:57

Re: Proxy Server con filtraggio dei contenuti della navigazi

Messaggioda s3v » 11/03/2015, 14:40

E questo è il bug in cui viene segnalato il mancato supporto di Squid a OpenSSL: https://bugs.debian.org/cgi-bin/bugrepo ... bug=180886
Sembra assurdo avere un proxy non compilato per SSL ma in Debian capitano anche queste cose :(
Grazie di aver descritto la procedura per attivare il supporto.

EDIT
Infatti sembrava impossibile :)
Il supporto c'è attraverso gnutls: http://bugs.squid-cache.org/show_bug.cgi?id=2741 e non è necessario ricompilarsi i pacchetto.
In ogni caso non ho capito da quale versione in poi è avvenuto il cambiamento.

EDIT2
Dalla versione 3.5 che oggi non è presente nei repository.
Serve ancora la ricompilazione.
Avatar utente
s3v
Global Moderator
Global Moderator
 
Messaggi: 5611
Iscritto il: 31/12/2008, 11:54

Re: Proxy Server con filtraggio dei contenuti della navigazi

Messaggioda ferdybassi » 11/03/2015, 19:52

Grazie per la procedura.
Provvederò a inserirla nella guida :)

Ciao ciao!
Immagine  Immagine
Avatar utente
ferdybassi
Administrator
Administrator
 
Messaggi: 3285
Iscritto il: 28/12/2006, 4:22
Località: S. Angelo Lodigiano (LO)

Re: Proxy Server con filtraggio dei contenuti della navigazi

Messaggioda Damiandd » 19/11/2015, 15:35

miralcuore ha scritto:Ho seguito questa bella guida e l'altrettanto bel prerequisito "Un server DNS e DHCP su Debian" con facilità e senza trovare refusi, forse senza la dovuta attenzione perchè al termine di tutta la configurazione quando mi aspettavo che nessuno potesse navigare, poichè avevo inibito internet a tutta la rete, ho trovato utenti in google, su youtube e forse anche su facebook. Il motivo è presto detto utilizzavano il protocollo https. Volevo chiedere come mai questo aspetto non è stato affrontato, o forse mi è sfuggita una nota da qualche parte? Ad ogni modo complimenti a ferdybassi per il lavoro svolto, grazie mille, ciao.

N.B.:
Di seguito riporto cosa ho fatto per ovviare a questo problema con articoli tratti dalla rete.

apt-get update
apt-get install -y openssl devscripts build-essential libssl-dev
apt-get source -y squid3
apt-get build-dep -y squid3

# reconfigure
cd squid3-3.4.8/
nano debian/rules

sostituire
--with-default-user=proxy

con
--with-default-user=proxy \
--enable-ssl \
--with-open-ssl="/etc/ssl/openssl.cnf"

# build package
debuild -us -uc

# install
cd ..
apt-get install logrotate
dpkg -i *.deb
apt-get install -f

Dobbiamo generare il certificato:
openssl genrsa -out squid.key 2048
openssl req -new -key squid.key -out squid.csr
openssl x509 -req -days 3650 -in squid.csr -signkey squid.key -out squid.crt
cat squid.key squid.crt > squid.pem

In /etc/squid3/squid.conf inserire:

https_port 3130 intercept ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/etc/squid3/ssl/squid.pem

e di seguito

always_direct allow all
ssl_bump none localhost
ssl_bump server-first all
sslproxy_cert_error allow all
sslproxy_flags DONT_VERIFY_PEER

Regole di iptables :
/sbin/iptables -t nat -A PREROUTING -p TCP -s 172.30.0.0/16 --dport 443 -j REDIRECT --to-port 3130


Salve, posso utilizzare questa guida per i simulare che un client si colleghi ad internet con il browser e il proxy server ne blocchi certi contenuti?
Damiandd
Newbie
Newbie
 
Messaggi: 6
Iscritto il: 18/11/2015, 15:22


Torna a Guide@Debianizzati.Org

Chi c’è in linea

Visitano il forum: Nessuno e 3 ospiti