Debian 10에서 SSL 범핑을 사용하여 Squid 투명 프록시 설정

Question 1

나는 오징어를 로컬 캐싱 프록시로 사용하고 있으므로 이것은 귀하의 질문에 대한 직접적인 대답이 아닙니다. 어쨌든, 귀하의 문제가 제가 필요로 했던 문제와 가장 가까웠기 때문에 여기에 게시했으며 이제 문제를 해결했으므로 공유하고 싶습니다.

Debian 11/Bullseye에서 설치하려는 패키지는 다음과 같습니다.오징어 openssl(Squid v4.x 컴파일 --with-openssl).

apt install -y squid-openssl

그런 다음 (자체 서명된) 신뢰할 수 있는 CA 인증서를 설정합니다.

CERT_D=/etc/squid/cert
CERT=$CERT_D/squid_proxyCA.pem
rm -rf $CERT
mkdir -p $CERT_D
# Generate local self-signed CA certificate/key (in the same file)
openssl req -new -newkey rsa:4096 -sha256 -days 365 -nodes -x509 -keyout $CERT -out $CERT
chown -R proxy:proxy $CERT_D
chmod 0400 $CERT

# add squid_proxyCA cert to system so it's trusted by default
CA_CERT_D=/usr/local/share/ca-certificates
rm -rf $CA_CERT_D/*
mkdir -p $CA_CERT_D
openssl x509 -inform PEM -in $CERT -out $CA_CERT_D/squid_proxyCA.crt
update-ca-certificates

인증서를 동적으로 생성하도록 Squid를 구성합니다.

/usr/lib/squid/security_file_certgen -c -s /var/spool/squid/ssl_db -M 4MB
chown -R proxy:proxy /var/spool/squid

그런 다음 내가 가진 것은 다음과 같습니다 /etc/squid/squid.conf(매우 최소한이며 localhost의 연결만 허용하고 IPv4에서만 수신 대기합니다).

acl SSL_ports port 443

acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 1025-65535  # unregistered ports

acl purge method PURGE
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager

http_access allow purge localhost
http_access deny purge

http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

http_access allow localhost
http_access deny all

http_port 127.0.0.1:3128 ssl-bump cert=/etc/squid/cert/squid_proxyCA.pem generate-host-certificates=on options=NO_SSLv3,NO_TLSv1,NO_TLSv1_1,SINGLE_DH_USE,SINGLE_ECDH_USE
ssl_bump bump all

coredump_dir /var/spool/squid
logfile_rotate 0

refresh_pattern -i (/cgi-bin/|\?) 0 0%  0
refresh_pattern .       0   20% 4320

cache_dir ufs /var/spool/squid 200 16 256

마지막으로 오징어를 다시 시작하세요.

systemctl reload squid

언급할 가치가 있는 또 다른 사항은 프록시 URL을 http://127.0.0.1:3028다음 용도로 사용해야 한다는 것입니다.둘 다이것 http_proxy,그리고( https_proxy알아채다http-아니요; https 프록시로 사용되는 경우에도 마찬가지입니다. Squid는 https와 함께 사용되는 경우 TLS/SSL을 사용하도록 연결을 업그레이드합니다.

Answer

나는 오징어를 로컬 캐싱 프록시로 사용하고 있으므로 이것은 귀하의 질문에 대한 직접적인 대답이 아닙니다. 어쨌든, 귀하의 문제가 제가 필요로 했던 문제와 가장 가까웠기 때문에 여기에 게시했으며 이제 문제를 해결했으므로 공유하고 싶습니다.

Debian 11/Bullseye에서 설치하려는 패키지는 다음과 같습니다.오징어 openssl(Squid v4.x 컴파일 --with-openssl).

apt install -y squid-openssl

그런 다음 (자체 서명된) 신뢰할 수 있는 CA 인증서를 설정합니다.

CERT_D=/etc/squid/cert
CERT=$CERT_D/squid_proxyCA.pem
rm -rf $CERT
mkdir -p $CERT_D
# Generate local self-signed CA certificate/key (in the same file)
openssl req -new -newkey rsa:4096 -sha256 -days 365 -nodes -x509 -keyout $CERT -out $CERT
chown -R proxy:proxy $CERT_D
chmod 0400 $CERT

# add squid_proxyCA cert to system so it's trusted by default
CA_CERT_D=/usr/local/share/ca-certificates
rm -rf $CA_CERT_D/*
mkdir -p $CA_CERT_D
openssl x509 -inform PEM -in $CERT -out $CA_CERT_D/squid_proxyCA.crt
update-ca-certificates

인증서를 동적으로 생성하도록 Squid를 구성합니다.

/usr/lib/squid/security_file_certgen -c -s /var/spool/squid/ssl_db -M 4MB
chown -R proxy:proxy /var/spool/squid

그런 다음 내가 가진 것은 다음과 같습니다 /etc/squid/squid.conf(매우 최소한이며 localhost의 연결만 허용하고 IPv4에서만 수신 대기합니다).

acl SSL_ports port 443

acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 1025-65535  # unregistered ports

acl purge method PURGE
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager

http_access allow purge localhost
http_access deny purge

http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

http_access allow localhost
http_access deny all

http_port 127.0.0.1:3128 ssl-bump cert=/etc/squid/cert/squid_proxyCA.pem generate-host-certificates=on options=NO_SSLv3,NO_TLSv1,NO_TLSv1_1,SINGLE_DH_USE,SINGLE_ECDH_USE
ssl_bump bump all

coredump_dir /var/spool/squid
logfile_rotate 0

refresh_pattern -i (/cgi-bin/|\?) 0 0%  0
refresh_pattern .       0   20% 4320

cache_dir ufs /var/spool/squid 200 16 256

마지막으로 오징어를 다시 시작하세요.

systemctl reload squid

언급할 가치가 있는 또 다른 사항은 프록시 URL을 http://127.0.0.1:3028다음 용도로 사용해야 한다는 것입니다.둘 다이것 http_proxy,그리고( https_proxy알아채다http-아니요; https 프록시로 사용되는 경우에도 마찬가지입니다. Squid는 https와 함께 사용되는 경우 TLS/SSL을 사용하도록 연결을 업그레이드합니다.

Question 2

# apt-get install openssl
# mkdir -p /etc/squid/cert
# cd /etc/squid/cert
# openssl req -new -newkey rsa:4096 -sha256 -days 365 -nodes -x509 -keyout myCA.pem -out myCA.pem
# openssl x509 -in myCA.pem -outform DER -out myCA.der
# chown -R proxy:proxy /etc/squid/cert
# chmod 700 /etc/squid/cert

# /usr/lib/squid/security_file_certgen -c -s /var/spool/squid/ssl_db -M 4MB
# chown -R proxy:proxy /var/spool/squid/ssl_db/

그리고 squid.conf:

https_port 3129 intercept ssl-bump cert=/etc/squid/cert/myCA.pem generate-host-certificates=on dynamic_cert_mem_cache_si
ze=4MB
ssl_bump peek all
ssl_bump splice all

가로채기의 경우:

iptables -t nat -A PREROUTING -i br0 -p tcp --dport 443 -j DNAT --to 192.168.1.51:3129
iptables -t nat -A PREROUTING -i br0 -p tcp --dport 443 -j REDIRECT --to-port 3129

(이것은 br0내 내부 네트워크입니다.)

다음은 가장 일반적으로 캐시된 도메인을 보는 명령입니다. SSL이 비어 있는 것으로 나타납니다.

awk 'BEGIN {FS="[ ]+"}; {print $7}' < /var/log/squid/access.log | awk 'BEGIN {FS="/"}; {print $3}' | sort | uniq -c |sort -k1,1nr -k2,2 | head

Answer

# apt-get install openssl
# mkdir -p /etc/squid/cert
# cd /etc/squid/cert
# openssl req -new -newkey rsa:4096 -sha256 -days 365 -nodes -x509 -keyout myCA.pem -out myCA.pem
# openssl x509 -in myCA.pem -outform DER -out myCA.der
# chown -R proxy:proxy /etc/squid/cert
# chmod 700 /etc/squid/cert

# /usr/lib/squid/security_file_certgen -c -s /var/spool/squid/ssl_db -M 4MB
# chown -R proxy:proxy /var/spool/squid/ssl_db/