ssl-bump

DNATルールによってリダイレクトされたHTTPSリクエストのためのSquid透明プロキシ
ssl-bump

DNATルールによってリダイレクトされたHTTPSリクエストのためのSquid透明プロキシ

ネットワーク上の潜在的に感染する可能性があるWebアプリケーションで疑わしい活動を調査したいと思います。https_portディレクティブでhttpsリクエストを傍受するためにイカを使用したいと思います。 私のネットワーク設定:http / https要求は通常、クライアント側にプロキシを設定せずにゲートウェイホストに送信されます。ゲートウェイでは、iptablesルールを介して元の宛先IP /ポートからプロキシホストにリダイレクトされます。 iptables -t nat -A PREROUTING -p tcp --dport 80 -s CLIENT_...

Admin

自己署名証明書を使用したSquid Peek/Bump/Splice
ssl-bump

自己署名証明書を使用したSquid Peek/Bump/Splice

TL:Ph.D.、Squid v5.7は、生成された証明書に発行者を含めません。 過去には、次の方法でHTTPSデータキャッシュを実行できました。 イカを作る: VERSION='4.11' ./configure --with-openssl --enable-ssl-crtd' ... 自己署名証明書を生成します。 sudo openssl req -new -newkey rsa:2048 -nodes \ -x509 -sha256 -extensions v3_ca -days 365 \ -keyout squid-ca-key.pem...

Admin

外部認証とICAPを使用するadjust_send_usernameのSQUIDブロックモードは機能しません。
ssl-bump

外部認証とICAPを使用するadjust_send_usernameのSQUIDブロックモードは機能しません。

私の目標は、外部ACLタイプから取得したユーザー名に基づいてHTTPおよびHTTPS URLを透過的にフィルタリングすることです。 私はインターセプトモードでSquid 3.5.23を実行していますが、調査した後はインターセプトモードでexternal_acl_typeを使用できるようです(間違っている可能性があります)。その後、OK / ERR応答の一部としてOK user = testuserを返すと、SQUIDはそれを使用します。ユーザー名は認証されたユーザーです。 私はstdinを読む簡単なPythonスクリプトを書いてから、すぐにSQUIDのs...

Admin

SSL Bump証明書を正しく登録する方法は?
ssl-bump

SSL Bump証明書を正しく登録する方法は?

squid3SSL衝突を設定して設定しました。この目的のために、3つのファイルに表示される証明書を生成しました。 myserver.cert myserver.csr myserver.private 私が正しく理解した場合、Squidはこの証明書を使用してサイト証明書を動的に生成して署名します。それで、この証明書をWindowsに追加して信頼します。 残念ながら、私はこれを行う正確な方法を見つけることができませんでした。あるコンピュータでは満足していますが、別のコンピュータでは設定できません。証明書を追加するには、WindowsまたはChrome用...

Admin

証明書エラーのため、イカから画像とスタイルシートが読み込まれませんか?
ssl-bump

証明書エラーのため、イカから画像とスタイルシートが読み込まれませんか?

設定しました。ドアマン中ラズベリーパイ3であり、プロキシチェーンの一部としてSquid 3が含まれています。 また、SSL競合を利用し、SSLを使用する一部のサイト(通常、FacebookやYoutubeなどの大規模サイト)では、この証明書の使用を許可していません。ページ自体がロードされると、通常静的CDNサーバー上のイメージやスタイルシートはロードされません。 たとえば、Facebookを読み込むと、ブラウザに次のエラーが表示されます。 リソースをロードできません。サーバーの証明書が無効です。 「static.xx.fbcdn.net」...

Admin

Squid 3のどの機能を使用してすべてのトラフィックをブロックし、通過を許可されているホワイトリストにサーバーを追加できますか?
ssl-bump

Squid 3のどの機能を使用してすべてのトラフィックをブロックし、通過を許可されているホワイトリストにサーバーを追加できますか?

ただインストールしました。ドアマンRaspberry PI 3では、ポート8080でプロキシと証明書を使用するようにブラウザを設定した場合、https facebookをブロックできました。その後、素晴らしいコンテンツブロックページが表示されました。 設定を見た結果、ポート8080でDansguardianプロキシを使用し、ポート3127からSquid 3に転送し、すべてが順調に進むと、ルータのインターネット接続に転送されます。 しかし、私はこれをより排他的にし、アクセスのみを許可するサーバーのリストを作成したいと思います。 それでは、ユーザーがアクセ...

Admin