>[оверквотинг удален]
>         rdr on $vlan10if inet
> proto tcp from 192.168.0.28 to any port { https } ->
> 127.0.0.1 port 3129
> В SQUID:
>         http_port 127.0.0.1:3128 transparent
>         https_port 127.0.0.1:3129 transparent cert=/usr/local/etc/squid/squid.pem
> key=/usr/local/etc/squid/squid.key
> подставляет для соединения с сайтом указанный сертификат, и говорит что не может
> установить соединение с сервером.
> что не так? у кто еще пробовал?

наверняка нетак:
во-первых нужно глянуть syslog и messages типа grep -i squid /var/log/FOO
во-вторых покажите squid -v |grep ssl
по результатам ответа буду помогать дальше.

>[оверквотинг удален]
>>         http_port 127.0.0.1:3128 transparent
>>         https_port 127.0.0.1:3129 transparent cert=/usr/local/etc/squid/squid.pem
>> key=/usr/local/etc/squid/squid.key
>> подставляет для соединения с сайтом указанный сертификат, и говорит что не может
>> установить соединение с сервером.
>> что не так? у кто еще пробовал?
> наверняка нетак:
> во-первых нужно глянуть syslog и messages типа grep -i squid /var/log/FOO
> во-вторых покажите squid -v |grep ssl
> по результатам ответа буду помогать дальше.

unix# squid -v | grep ssl
configure options:  '--with-default-user=squid' '--bindir=/usr/local/sbin' '--sbindir=/usr/local/sbin' '--datadir=/usr/local/etc/squid' '--libexecdir=/usr/local/libexec/squid' '--localstatedir=/var/squid' '--sysconfdir=/usr/local/etc/squid' '--with-logdir=/var/log/squid' '--with-pidfile=/var/run/squid/squid.pid' '--enable-removal-policies=lru heap' '--disable-linux-netfilter' '--disable-linux-tproxy' '--disable-epoll' '--disable-translation' '--enable-auth=basic digest negotiate ntlm' '--enable-basic-auth-helpers=DB NCSA PAM MSNT SMB squid_radius_auth YP' '--enable-digest-auth-helpers=password' '--enable-external-acl-helpers=ip_user session unix_group wbinfo_group' '--enable-ntlm-auth-helpers=smb_lm' '--enable-storeio=ufs diskd aufs' '--enable-disk-io=AIO Blocking DiskDaemon DiskThreads' '--disable-ipv6' '--enable-delay-pools' '--enable-ssl' '--with-openssl=/usr' '--enable-pf-transparent' '--disable-ecap' '--disable-loadable-modules' '--enable-kqueue' '--prefix=/usr/local' '--mandir=/usr/local/man' '--infodir=/usr/local/info/' '--build=i386-portbld-freebsd9.0' 'build_alias=i386-portbld-freebsd9.0' 'CC=cc' 'CFLAGS=-O2 -pipe  -I/usr/include -fno-strict-aliasing' 'LDFLAGS= -rpath=/usr/lib:/usr/local/lib -L/usr/lib' 'CPPFLAGS=' 'CXX=c++' 'CXXFLAGS=-O2 -pipe -I/usr/include -fno-strict-aliasing' 'CPP=cpp' --with-squid=/usr/ports/www/squid31/work/squid-3.1.15 --enable-ltdl-convenience

>[оверквотинг удален]
>         rdr on $vlan10if inet
> proto tcp from 192.168.0.28 to any port { https } ->
> 127.0.0.1 port 3129
> В SQUID:
>         http_port 127.0.0.1:3128 transparent
>         https_port 127.0.0.1:3129 transparent cert=/usr/local/etc/squid/squid.pem
> key=/usr/local/etc/squid/squid.key
> подставляет для соединения с сайтом указанный сертификат, и говорит что не может
> установить соединение с сервером.
> что не так? у кто еще пробовал?

Получилось завести?

Доброе время суток всем!
Прочел данный пост, и мне стало тоже интересно сделать transparent-proxy, для HTTPS-SSL.
Ранее успешно реализовывал без особого усилия transparent HTTP и всегда хотел реализовать для HTTPS.
В общем я сделал все, по выше описанным рекомендациям, и у меня получилось без боков запустить squid.

http_port 192.168.0.254:3128 transparent
https_port 192.168.0.254:3129 transparent key=/usr/local/etc/squid/ssl/squid.key cert=/usr/local/etc/squid/ssl/squid.pem

rdr em1 0.0.0.0/0 port 80 -> 192.168.0.254 port 3128 tcp
rdr em1 0.0.0.0/0 port 443 -> 192.168.0.254 port 3129 tcp

Короче говоря, все запустилось и на первый взгляд заработало. HTTP transparent так точно. Но вот когда захожу на ресурс HTTPS - например gmail.com, с начала выбивает табличка о принятии сертификата, который я принимаю и после этого выбивает такая ошибка:

=============================================================
ОШИБКА
Запрошенный URL не может быть доставлен.

Во время доставки URL: https://www.google.com/accounts/ServiceLogin?

Произошла следующая ошибка:

    Не удалось установить соединение.

Был получен ответ:

    (92) Protocol error

Удалённый сервер либо сеть не отвечают. Пожалуйста, повторите запрос.

Generated Thu, 20 Oct 2011 09:02:00 GMT by Proxy (squid)
=============================================================

Подскажите, направление куда взглянуть и где искать проблему?
И реально ли вообще transparent-proxy для HTTPS, есть ли работающий пример?

>[оверквотинг удален]
> Во время доставки URL: https://www.google.com/accounts/ServiceLogin?
> Произошла следующая ошибка:
>     Не удалось установить соединение.
> Был получен ответ:
>     (92) Protocol error
> Удалённый сервер либо сеть не отвечают. Пожалуйста, повторите запрос.
> Generated Thu, 20 Oct 2011 09:02:00 GMT by Proxy (squid)
> =============================================================
> Подскажите, направление куда взглянуть и где искать проблему?
> И реально ли вообще transparent-proxy для HTTPS, есть ли работающий пример?

Спасибо за помощь, разобрался сам.
необходимо в конфиге добавить єто:
===============================
sslproxy_flags DONT_VERIFY_PEER
===============================
после чего все работает.

>[оверквотинг удален]
>> Generated Thu, 20 Oct 2011 09:02:00 GMT by Proxy (squid)
>> =============================================================
>> Подскажите, направление куда взглянуть и где искать проблему?
>> И реально ли вообще transparent-proxy для HTTPS, есть ли работающий пример?
> Спасибо за помощь, разобрался сам.
> необходимо в конфиге добавить єто:
> ===============================
> sslproxy_flags DONT_VERIFY_PEER
> ===============================
> после чего все работает.

Насколько я понял из приведенной конфигурации, сквид расшифровывает запросы, подсовывая клиенту свой сертификат, т.е. реализут классическую MitM атаку. Костыль хороший, но теряется почти весь смысл ssl. Или я что-то упустил.

>[оверквотинг удален]
>>> И реально ли вообще transparent-proxy для HTTPS, есть ли работающий пример?
>> Спасибо за помощь, разобрался сам.
>> необходимо в конфиге добавить єто:
>> ===============================
>> sslproxy_flags DONT_VERIFY_PEER
>> ===============================
>> после чего все работает.
> Насколько я понял из приведенной конфигурации, сквид расшифровывает запросы, подсовывая
> клиенту свой сертификат, т.е. реализут классическую MitM атаку. Костыль хороший, но
> теряется почти весь смысл ssl. Или я что-то упустил.

Каждый преследуют свою цель, применяя данный прием.
Все зависит од того, какую цель преследуете вы!
Возможно вам необходимо контролировать метод CONNECT, не пропуская ни чего кроме SSL.
Или возможно Вам необходимо проверять антивирусом контент внутри SSL, добавление ICAP, это позволяет.
Для анализа и контроля трафика внутри SSL соединения, так же ICAP в помощь.
Перехват и анализ POST внутри SSL, или модификация запросов, и т.д.
Все варианты применения данного приема, писать не буду...

> Каждый преследуют свою цель, применяя данный прием.
> Все зависит од того, какую цель преследуете вы!
> Возможно вам необходимо контролировать метод CONNECT, не пропуская ни чего кроме SSL.
> Или возможно Вам необходимо проверять антивирусом контент внутри SSL, добавление ICAP,
> это позволяет.
> Для анализа и контроля трафика внутри SSL соединения, так же ICAP в
> помощь.
> Перехват и анализ POST внутри SSL, или модификация запросов, и т.д.
> Все варианты применения данного приема, писать не буду...

Понял. Спасибо за разъяснение.

Не мешало бы клиентам в браузер мигающую надпись вывести "Внимание, Вас прослушивают" :)))

>[оверквотинг удален]
>> Generated Thu, 20 Oct 2011 09:02:00 GMT by Proxy (squid)
>> =============================================================
>> Подскажите, направление куда взглянуть и где искать проблему?
>> И реально ли вообще transparent-proxy для HTTPS, есть ли работающий пример?
> Спасибо за помощь, разобрался сам.
> необходимо в конфиге добавить єто:
> ===============================
> sslproxy_flags DONT_VERIFY_PEER
> ===============================
> после чего все работает.

мучаюсь с кальмаром уже месяц( нифига не получается заставить его работать прозрачно с ссл, ключи генерил, iptables настраивал, sslproxy_flags DONT_VERIFY_PEER добавлял, а в ответ с сервера с хттпс страницей получаю 302 found ((
дистр арч
сквид 3.1.14, собран с флагом --enable-ssl
openssl 1.0.0.e

что я делаю не так? помогите пожалуйста, а то пиво уже не помогает...

>[оверквотинг удален]
>> после чего все работает.
> мучаюсь с кальмаром уже месяц( нифига не получается заставить его работать прозрачно
> с ссл, ключи генерил, iptables настраивал, sslproxy_flags DONT_VERIFY_PEER добавлял,
> а в ответ с сервера с хттпс страницей получаю 302 found
> ((
> дистр арч
> сквид 3.1.14, собран с флагом --enable-ssl
> openssl 1.0.0.e
> что я делаю не так? помогите пожалуйста, а то пиво уже не
> помогает...

Прочитав статью у меня вроди все запахало...
Но теперь в браузере постоянно выскакивают запросы на прием сертификата... причем тыкнув на ссылку мне сразу выскакивает несколько запросов на прием нескольких сертов... после того как все приму, (штуки 3) я могу ходить по сайту и ничего не выскакивает...
Как бы это отключить?

Доброго времени суток всем!
Похожая ситуация, но немного сложнее:
Есть сервер с тремя сетевыми картами,на нём squid прозрачный и iptables.
eth0 смотрит в локалку
eth1 в быстрый инет
eth2 в медленный инет, но с белыми адресами
Необходимо, чтобы компы с адресами хх.хх.хх.хх попадали через этот сервер в инет напрямую через eth2, минуя squid, не натясь айпишником сервера, а своими реальным адресами.
Остальные компы должны ходить в инет через squid, через eth1.

листинг iptables следующий:
iptables --list-rules
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 2049 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 53 -j ACCEPT
-A INPUT -p udp -m state --state NEW -m udp --dport 53 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 3128 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 10000 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A INPUT -s 66.6.6.0/24 -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -p icmp -j ACCEPT
-A FORWARD -i lo -j ACCEPT
-A FORWARD -i eth+ -j ACCEPT
-A FORWARD -o eth+ -j ACCEPT
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -s xx.xx.xx.xx -j ACCEPT
[root@inetguard ~]#

Однако это не работает, юзеры с айпи xx.xx.xx.xx не идут через eth0, а идут через прокси, если обращаться например по 80 порту на сервак. По другим портам (не указанным в iptables всё ок, идут напрямую).

Подскажите куда копать?

Копай в сторону tcp_outgoing_address (айпишник провайдера) (ACL со списком клиентов)

>[оверквотинг удален]
> -A FORWARD -i eth+ -j ACCEPT
> -A FORWARD -o eth+ -j ACCEPT
> -A FORWARD -j REJECT --reject-with icmp-host-prohibited
> -A FORWARD -s xx.xx.xx.xx -j ACCEPT
> [root@inetguard ~]#
> Однако это не работает, юзеры с айпи xx.xx.xx.xx не идут через eth0,
> а идут через прокси, если обращаться например по 80 порту на
> сервак. По другим портам (не указанным в iptables всё ок, идут
> напрямую).
> Подскажите куда копать?

1е на что идёт ругань конфига "https_port 192.168.0.254:3129 transparent"
WARNING: transparent proxying not supported

quid -v
Squid Cache: Version 3.1.19
...configure options:  '--enable-ssl' '--with-openssl=/usr/local' '--enable-ssl-crtd'...

> 1е на что идёт ругань конфига "https_port 192.168.0.254:3129 transparent"
> WARNING: transparent proxying not supported
> quid -v
> Squid Cache: Version 3.1.19
> ...configure options:  '--enable-ssl' '--with-openssl=/usr/local' '--enable-ssl-crtd'...

а где:
--enable-linux-netfilter
                        Enable Transparent Proxy support for Linux        
                        (Netfilter)
--enable-linux-tproxy   Enable real Transparent Proxy support for Netfilter
                        TPROXY (version 2).

>[оверквотинг удален]
>            
>            
>  Enable Transparent Proxy support for Linux
>            
>            
>  (Netfilter)
> --enable-linux-tproxy   Enable real Transparent Proxy support for Netfilter
>            
>            
>  TPROXY (version 2).

Народ как пересобрать  squid 3  на debian6 c флагом  --enable-ssl,, не могу осилить данную инструкцию: на шаге  
6 - ./configure
7 - debuild -us -uc -b

Пересобрался дистрибутив

dpkg-source --after-build squid3-3.1.6
dpkg-buildpackage: закачка только двоичных пакетов (без пакетов исходного кода)
Now running lintian...
warning: lintian's authors do not recommend running it with root privileges!
E: squid3: possible-gpl-code-linked-with-openssl
Finished running lintian.

На сквида так и нет !!!! Что нужно ёщё сделать !!!!

download squid sources:

apt-get source squid

download squid build dependencies:

apt-get build-dep squid

download sources for openssh:

apt-get build-dep openssh

download sources for openssl:

apt-get build-dep openssl

download and install necessary stuff for build process:

apt-get install devscripts build-essential fakeroot

change directory:

cd squid-<version>

edit the build rules and add the –enable-ssl option to the configure section:

vim debian/rules

configure the new options (don’t do a make or make install !!!) :

./configure

compile and build package:

debuild -us -uc -b

> На сквида так и нет !!!! Что нужно ёщё сделать !!!!

Здесь подробно написано - все собралось без проблем.
http://www.d90.us/toolbox/2009/05/26/adding-ssl-support-to-s.../

>[оверквотинг удален]
> -A PREROUTING -s 192.168.0.0/24 -i eth0 -p tcp -m tcp --sport 1024:65535
> --dport 80 -j REDIRECT --to-ports 3128
> -A PREROUTING -s 192.168.0.0/24 -i eth0 -p tcp -m tcp --sport 1024:65535
> --dport 443 -j REDIRECT --to-ports 3129
> * Проверено на Ubuntu 10.04 LTS
> * Работает даже на одном порту
> * Спасибо за статью - вдохновляет.
> Объясните пожалуйста, какие параметры нужно указывать при создании сертификата. Ни в какую
> не получается пробиться к сайтам https. Трафик заварчивается, выскакивают предупреждения
> о сертификации и всё - дальше не пускеат!

Поддерживаю, такая же песня. Народ удалось решить проблему?