Tema: Squid-ssl https transparente
Ver Mensaje Individual
  #3 (permalink)  
Antiguo 22/09/2015, 10:46
Avatar de Melecio
Melecio
 
Fecha de Ingreso: julio-2011
Ubicación: Coahuila
Mensajes: 320
Antigüedad: 12 años, 9 meses
Puntos: 8
Respuesta: Squid-ssl https transparente
Hola a todos pues despues de tiempo porfin logre usar https con certificados ssl ya puedo navegar a cualquier pagina https y mi access.log puede ver toda las conexiones http y https este es la configuracion final

instalar desde el princio intenta hacerlo en una pc recien fotmateada para que no te cause problemas con las configuraciones que tienen

iniciamos paso a paso

nano /etc/apt/sources.list
//AGREGAR ESTA LIENA PARA PODER DESCARGAR SQUID3-SSL
deb ftp://ftp.linux.org.tr/mydlp/ubuntu precise main

guardamos y ejecutamos los comandos

1.- apt-get update
2.- apt-get install squid3-ssl
3.- crear este dorectorio /etc/mydlp/ssl/home
copiar y pegar en la terminal

(echo -e "TR\nAnkara\nTechnopolis\nMyDLP\nMyDLP\n*\nsupport @mydlp.com\n"| openssl req -x509 -nodes -sha256 -days 365 -newkey rsa:2048 -keyout techglimpse.com.key -out techglimpse.com.crt)

openssl x509 -noout -text -in techglimpse.com.crt

4.- nano /etc/squid3/squid.conf
vaciar el squid.conf y agrgarle esto

acl REGEL src 192.168.1.0/24
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

acl ip_list_access src "/etc/squid/ip_can_access"
acl noper url_regex "/etc/squid/sitios"
http_access deny noper !ip_list_access

http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager
http_access allow localhost
http_access allow REGEL
http_access allow all

http_port 3127 ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB key=/etc/mydlp/ssl/home/techglimpse.com.key cert=/etc/mydlp/ssl/home/techglimpse.com.crt
http_port 3128 transparent

ssl_bump allow all
sslproxy_flags DONT_VERIFY_PEER
sslproxy_cert_error allow all
sslcrtd_program /usr/lib/squid3/ssl_crtd -s /var/lib/ssl_db -M 4MB
sslcrtd_children 5

#ssl_bump ssl-server-first all


coredump_dir /var/spool/squid3
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320
always_direct allow all

despues creamos otro directorio
mkdir /etc/squid/
y agregamos estos archivos
ip_can_access agreguen el contenido de alguna ip
sitios agregar akgun sitio que quieran bloquear
deben de tener algo o sino les dara error

ejecutamos en la terminal
squid3 -k reconfigure
si les dan algun error verifiquen bien el squid.conf
al ejecutar ese compando no les debe aparecer ningun mensaje eso significa que funciona

configuraremos nuestras interfaces
cambien las direcciones por las suyas
nano /etc/network/interfaces
auto eth0
iface eth0 inet static
address 192.168.4.243
netmask 255.255.255.0
gateway 192.168.4.254
network 192.168.4.0
broadcast 192.168.4.255
dns-nameservers 8.8.8.8 8.8.4.4

auto eth1
iface eth1 inet static
address 192.168.1.1
netmask 255.255.255.0
network 192.168.1.0
broadcast 192.168.1.255

instalaremos el dhcp
sudo apt-get -y install dhcp3-server

despues agregamos nuestra configuracion
nano /etc/dhcp/dhcpd.conf
ddns-update-style none;
option domain-name "SEVER";
option domain-name-servers 8.8.8.8, 8.8.4.4;
default-lease-time 3600;
max-lease-time 7200;
authoritative;
log-facility local7;
subnet 192.168.1.0 netmask 255.255.255.0{
range 192.168.1.2 192.168.1.19;
option subnet-mask 255.255.255.0;
option broadcast-address 192.168.1.255;
option routers 192.168.1.1;
}

editamos el archivo
nano /etc/sysctl.conf
y descomentaremos esta liena
#net.ipv4.ip_forward=1
debe de quedar asi
net.ipv4.ip_forward=1

despues configuramos nuestra interface dhcp
nano /etc/default/isc-dhcp-server
en mi caso es la eth1 ustedes cambienla por la suya
INTERFACES="eth1"

ejecutamos en la terminal
echo 1 > /proc/sys/net/ipv4/ip_forward
reiniciamos el servidor
despues copiaremos el archivo
techglimpse.com.crt
y lo instalaremos en la pc remota para que empieze a navegar
configurar el proxy en la pc en mi caso es la 192.168.1.1 puerto 3128
y eso seria todo les debera funcionar su servidor en https
solo lo puede hacer asi en transparente aun no lo he podido configurar

Gracias.