Hi,
ich versuche privat einen transparenten Proxy aufzusetzen zum Beispiel unerwünschte Seiten oder Links zu blocken. Fürs Erste habe ich mich an folgender Anleitung orientiert: https://obsigna.com/articles/1563917142.html. Squid habe ich aus den Ports und auch schon per pkg install squid installiert. Die rc.conf habe ich um den gateway_enable="YES" ergänzt um die IP-Weiterleitung zu ermöglichen.
Nach Anpassung der Konfiguration und dem Starten von Squid lief der http-Verkehr einwandfrei. Allerdings als https-Seiten aufgerufen werden lässt squid den kompletten Speicher volllaufen und die Log-Dateien füllen sich auch. In der cache.log steht:
Auszug aus der squid.conf
Das System ist auf dem Stand FreeBSD 12.2-RELEASE-p6, squid 4.14, alle Updates installiert.
Das Problem tritt nicht auf wenn der Eintrag unter http(s)_port intercept entfernt wird.
Michael
ich versuche privat einen transparenten Proxy aufzusetzen zum Beispiel unerwünschte Seiten oder Links zu blocken. Fürs Erste habe ich mich an folgender Anleitung orientiert: https://obsigna.com/articles/1563917142.html. Squid habe ich aus den Ports und auch schon per pkg install squid installiert. Die rc.conf habe ich um den gateway_enable="YES" ergänzt um die IP-Weiterleitung zu ermöglichen.
Nach Anpassung der Konfiguration und dem Starten von Squid lief der http-Verkehr einwandfrei. Allerdings als https-Seiten aufgerufen werden lässt squid den kompletten Speicher volllaufen und die Log-Dateien füllen sich auch. In der cache.log steht:
...
2021/04/20 06:35:38 kid1| ERROR: negotiating TLS on FD 294287: error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed (1/-1/0)
2021/04/20 06:35:38 kid1| ERROR: negotiating TLS on FD 294295: error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed (1/-1/0)
2021/04/20 06:35:38 kid1| Error negotiating SSL connection on FD 294300: error:00000001:lib(0):func(0):reason(1) (1/-1)
2021/04/20 06:35:38 kid1| Error negotiating SSL connection on FD 294308: error:00000001:lib(0):func(0):reason(1) (1/-1)
2021/04/20 06:35:39 kid1| ERROR: negotiating TLS on FD 294271: error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed (1/-1/0)
2021/04/20 06:35:39 kid1| ERROR: negotiating TLS on FD 294279: error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed (1/-1/0)
...
Auszug aus der squid.conf
Die Zertifikate wurden so erzeugt:acl manager proto cache_object
acl localnet src 192.168.2.0/24
acl port_443 port 443
acl ports_80_443 port 80 443
acl CONNECT method CONNECT
http_access allow localhost manager
http_access deny manager
http_access deny !ports_80_443
http_access deny CONNECT !port_443
http_access deny to_localhost
http_access allow localnet
http_access deny all
http_port localhost:3127
http_port 192.168.2.209:3127
http_port 127.0.0.1:3128 intercept
https_port 127.0.0.1:3129 intercept ssl-bump generate-host-certificates=on cert=/usr/local/etc/squid/proxy-certs/proxy-ca.pem tls-dh=/usr/local/etc/squid/proxy-certs/dhparam.pem
acl step1 at_step SslBump1
ssl_bump peek step1
ssl_bump bump port_443
sslcrtd_program /usr/local/libexec/squid/security_file_certgen -s /usr/local/etc/squid/dyn-certs -M 4MB
sslcrtd_children 4 startup=1 idle=1
refresh_pattern -i (/cgi-bin/|\?|\|.*\|) 0 0% 0
refresh_pattern . 0 20% 4320
tls_outgoing_options cipher=HIGH:!aNULL:!AES128:!SSLv2:!SSLv3:!TLSv1
tls_outgoing_options cafile=/etc/ssl/cert.pem
tls_outgoing_options options=NO_SSLv3
visible_hostname proxy06.local
undopenssl req -new -newkey rsa:2048 -sha256 -days 8766 -nodes -x509 -extensions v3_ca -keyout proxy-ca.pem -out proxy-ca.pem
openssl dhparam -out dhparam.pem -2 2048
Das System ist auf dem Stand FreeBSD 12.2-RELEASE-p6, squid 4.14, alle Updates installiert.
Das Problem tritt nicht auf wenn der Eintrag unter http(s)_port intercept entfernt wird.
Michael