Ho seguito questa bella guida e l'altrettanto bel prerequisito "Un server DNS e DHCP su Debian" con facilità e senza trovare refusi, forse senza la dovuta attenzione perchè al termine di tutta la configurazione quando mi aspettavo che nessuno potesse navigare, poichè avevo inibito internet a tutta la rete, ho trovato utenti in google, su youtube e forse anche su facebook. Il motivo è presto detto utilizzavano il protocollo https. Volevo chiedere come mai questo aspetto non è stato affrontato, o forse mi è sfuggita una nota da qualche parte? Ad ogni modo complimenti a ferdybassi per il lavoro svolto, grazie mille, ciao.
N.B.:
Di seguito riporto cosa ho fatto per ovviare a questo problema con articoli tratti dalla rete.
apt-get update
apt-get install -y openssl devscripts build-essential libssl-dev
apt-get source -y squid3
apt-get build-dep -y squid3
# reconfigure
cd squid3-3.4.8/
nano debian/rules
sostituire
--with-default-user=proxy
con
--with-default-user=proxy \
--enable-ssl \
--with-open-ssl="/etc/ssl/openssl.cnf"
# build package
debuild -us -uc
# install
cd ..
apt-get install logrotate
dpkg -i *.deb
apt-get install -f
Dobbiamo generare il certificato:
openssl genrsa -out squid.key 2048
openssl req -new -key squid.key -out squid.csr
openssl x509 -req -days 3650 -in squid.csr -signkey squid.key -out squid.crt
cat squid.key squid.crt > squid.pem
In /etc/squid3/squid.conf inserire:
https_port 3130 intercept ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/etc/squid3/ssl/squid.pem
e di seguito
always_direct allow all
ssl_bump none localhost
ssl_bump server-first all
sslproxy_cert_error allow all
sslproxy_flags DONT_VERIFY_PEER
Regole di iptables :
/sbin/iptables -t nat -A PREROUTING -p TCP -s 172.30.0.0/16 --dport 443 -j REDIRECT --to-port 3130
Proxy Server con filtraggio dei contenuti della navigazione
-
miralcuore
- Jr. Member
- Messaggi: 65
- Iscritto il: 11/01/2009, 9:57
Re: Proxy Server con filtraggio dei contenuti della navigazi
E questo è il bug in cui viene segnalato il mancato supporto di Squid a OpenSSL: https://bugs.debian.org/cgi-bin/bugrepo ... bug=180886
Sembra assurdo avere un proxy non compilato per SSL ma in Debian capitano anche queste cose
Grazie di aver descritto la procedura per attivare il supporto.
EDIT
Infatti sembrava impossibile
Il supporto c'è attraverso gnutls: http://bugs.squid-cache.org/show_bug.cgi?id=2741 e non è necessario ricompilarsi i pacchetto.
In ogni caso non ho capito da quale versione in poi è avvenuto il cambiamento.
EDIT2
Dalla versione 3.5 che oggi non è presente nei repository.
Serve ancora la ricompilazione.
Sembra assurdo avere un proxy non compilato per SSL ma in Debian capitano anche queste cose
Grazie di aver descritto la procedura per attivare il supporto.
EDIT
Infatti sembrava impossibile
Il supporto c'è attraverso gnutls: http://bugs.squid-cache.org/show_bug.cgi?id=2741 e non è necessario ricompilarsi i pacchetto.
In ogni caso non ho capito da quale versione in poi è avvenuto il cambiamento.
EDIT2
Dalla versione 3.5 che oggi non è presente nei repository.
Serve ancora la ricompilazione.
-
ferdybassi
- Administrator
- Messaggi: 3319
- Iscritto il: 28/12/2006, 4:22
- Località: S. Angelo Lodigiano (LO)
Re: Proxy Server con filtraggio dei contenuti della navigazi
Grazie per la procedura.
Provvederò a inserirla nella guida
Ciao ciao!
Provvederò a inserirla nella guida
Ciao ciao!
Re: Proxy Server con filtraggio dei contenuti della navigazi
Salve, posso utilizzare questa guida per i simulare che un client si colleghi ad internet con il browser e il proxy server ne blocchi certi contenuti?miralcuore ha scritto:Ho seguito questa bella guida e l'altrettanto bel prerequisito "Un server DNS e DHCP su Debian" con facilità e senza trovare refusi, forse senza la dovuta attenzione perchè al termine di tutta la configurazione quando mi aspettavo che nessuno potesse navigare, poichè avevo inibito internet a tutta la rete, ho trovato utenti in google, su youtube e forse anche su facebook. Il motivo è presto detto utilizzavano il protocollo https. Volevo chiedere come mai questo aspetto non è stato affrontato, o forse mi è sfuggita una nota da qualche parte? Ad ogni modo complimenti a ferdybassi per il lavoro svolto, grazie mille, ciao.
N.B.:
Di seguito riporto cosa ho fatto per ovviare a questo problema con articoli tratti dalla rete.
apt-get update
apt-get install -y openssl devscripts build-essential libssl-dev
apt-get source -y squid3
apt-get build-dep -y squid3
# reconfigure
cd squid3-3.4.8/
nano debian/rules
sostituire
--with-default-user=proxy
con
--with-default-user=proxy \
--enable-ssl \
--with-open-ssl="/etc/ssl/openssl.cnf"
# build package
debuild -us -uc
# install
cd ..
apt-get install logrotate
dpkg -i *.deb
apt-get install -f
Dobbiamo generare il certificato:
openssl genrsa -out squid.key 2048
openssl req -new -key squid.key -out squid.csr
openssl x509 -req -days 3650 -in squid.csr -signkey squid.key -out squid.crt
cat squid.key squid.crt > squid.pem
In /etc/squid3/squid.conf inserire:
https_port 3130 intercept ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/etc/squid3/ssl/squid.pem
e di seguito
always_direct allow all
ssl_bump none localhost
ssl_bump server-first all
sslproxy_cert_error allow all
sslproxy_flags DONT_VERIFY_PEER
Regole di iptables :
/sbin/iptables -t nat -A PREROUTING -p TCP -s 172.30.0.0/16 --dport 443 -j REDIRECT --to-port 3130