Убунту 20.04; Squid 4.10 (сборка с ssl); общий dns-сервер для клиентов и сервер 192.168.15.1
я не могу настроить кальмар4 прокси только с белым списком (с SSL) разрешить политику для всех. Я собираю squid по источникам с поддержкой ssl и генерирую сертификат, все работает (когда разрешаю все для всех), но когда я настраиваю squid на разрешение только белого списка, он не работает: все пользователи имеют разрешения для всех сайтов, а не только белый список. Я не могу решить эту проблему.
Мой squid.conf
¯ кошка squid.conf
параметры отладки 28,9
dns_nameservers 192.168.15.1
logformat squid-host %tl %6tr %>a %Ss/%03>Hs %<st %rm %ru %un %Sh/%<A %mt
демон access_log:/var/log/squid/access.log squid-хост
acl localnet src 192.168.15.0/24 # RFC 1918 локальная частная сеть (LAN)
#=======================НАЧАТЬ СТАНДАРТНЫЙ БЛОК=======================
acl SSL_ports порт 443
acl Safe_ports порт 80 # http
acl Safe_ports порт 21 # ftp
acl Safe_ports порт 443 # https
acl Safe_ports порт 70 # суслик
acl Safe_ports порт 210 # wais
acl Safe_ports port 1025-65535 # незарегистрированные порты
acl Safe_ports порт 280 # http-mgmt
acl Safe_ports порт 488 # gss-http
acl Safe_ports порт 591 # файлмейкер
acl Safe_ports порт 777 # мультилинк http
acl метод CONNECT CONNECT
http_access запретить !Safe_ports
http_access запретить ПОДКЛЮЧЕНИЕ !SSL_ports
http_access разрешить диспетчеру локального хоста
http_access менеджер запрета доступа
#========================КОНЕЦ СТАНДАРТНОГО БЛОКА=======================
белый список acl url_regex -i "/etc/squid/lists/whitelist"
http_access разрешить белый список локальной сети
http_access запретить всем
http_порт 3128
http_port 3129 перехват
https_port 3130 перехват ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=20MB tls-cert=/etc/squid/ssl/proxyCA.pem tls-key=/etc/squid/ssl/proxyCA.pem cipher=HIGH:MEDIUM: !LOW:!RC4:!SEED:!IDEA:!3DES:!MD5:!EXP:!PSK:!DSS options=NO_TLSv1,NO_SSLv3 tls-dh=prime256v1:/etc/squid/bump_dhparam.pem
always_direct разрешить все
sslproxy_cert_error разрешить все
acl whitelist_ssl ssl::server_name_regex "/etc/squid/lists/whitelist"
acl step1 at_step SslBump1
ssl_bump заглянуть шаг 1
ssl_bump поднять все
sslcrtd_program /usr/lib/squid/security_file_certgen -s /var/lib/squid/ssl_db -M 4MB
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^ суслик: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern \/(Пакеты|Источники)(|\.bz2|\.gz|\.xz)$ 0 0% 0 refresh-ims
refresh_pattern \/Release(|\.gpg)$ 0 0% 0 Refresh-ims
refresh_pattern \/InRelease$ 0 0% 0 Refresh-ims
refresh_pattern \/(Translation-.*)(|\.bz2|\.gz|\.xz)$ 0 0% 0 refresh-ims
# пример шаблона для пакетов deb
#refresh_pattern (\.deb|\.udeb)$ 129600 100% 129600
шаблон_обновления . 0 20% 4320%
белый список
✓ списки котов/белый список
я\.ру
^([A-Za-z0-9.-]*\.)?ok\.ru
