[Sysadmins] Squid и https

[Sysadmins] Squid и https

[kae]

Здравствуйте.

Имеется сервер на P7, он же шлюз в Инет, на нём настроен прозрачный http-прокси squid. Очень нужно бы ещё и https фильтровать (школа, однако). Посоветуйте, пожалуйста, методу как это организовать, (с подменой сертификата?) чтобы не нарваться на ALT-специфичные особенности.

-- 
С уважением, Анатолий

Re: [Sysadmins] Squid и https

[Michael Shigorin]

On Tue, Mar 26, 2019 at 02:29:58PM +0300, kae@tut.by wrote:
> Имеется сервер на P7, он же шлюз в Инет, на нём настроен
> прозрачный http-прокси squid. Очень нужно бы ещё и https
> фильтровать (школа, однако). Посоветуйте, пожалуйста, методу
> как это организовать, (с подменой сертификата?) чтобы не
> нарваться на ALT-специфичные особенности.

А они там должны быть?  Он же не чрутится вроде.
Я бы отталкивался от:
http://wiki.squid-cache.org/Features/SslBump
http://wiki.opennet.ru/Перехват_и_раскрытие_HTTPS-запросов_на_прокси-сервере_Squid_при_помощи_SSL-Bump
http://habr.com/ru/post/168515/
...возможно, с поправкой на пути.

-- 
 ---- WBR, Michael Shigorin / http://altlinux.org
  ------ http://opennet.ru / http://anna-news.info

Re: [Sysadmins] Squid и https

[Sergey]

On Tuesday 26 March 2019, kae@tut.by wrote:

> Имеется сервер на P7, он же шлюз в Инет, на нём настроен прозрачный
> http-прокси squid. Очень нужно бы ещё и https фильтровать (школа,
> однако). Посоветуйте, пожалуйста, методу как это организовать,
> (с подменой сертификата?) чтобы не нарваться на ALT-специфичные
> особенности.   

Вот тут, на сколько я понимаю, было желание добиться того
же: https://forum.altlinux.org/index.php?topic=42419.0

Но про результат тут не написано.

-- 
С уважением, Сергей.

Re: [Sysadmins] Squid и https

[kae]

26.03.2019, 16:20, "Sergey" <a_s_y@sama.ru>:
> On Tuesday 26 March 2019, kae@tut.by wrote:
>
>>  Имеется сервер на P7, он же шлюз в Инет, на нём настроен прозрачный
>>  http-прокси squid. Очень нужно бы ещё и https фильтровать (школа,
>>  однако). Посоветуйте, пожалуйста, методу как это организовать,
>>  (с подменой сертификата?) чтобы не нарваться на ALT-специфичные
>>  особенности.
>
> Вот тут, на сколько я понимаю, было желание добиться того
> же: https://forum.altlinux.org/index.php?topic=42419.0
>
> Но про результат тут не написано.
>
> --
> С уважением, Сергей.

Т.е. squid  собран без опции --enable-ssl...  Грустно, однако...

Re: [Sysadmins] Squid и https

[Sergey]

On Tuesday 26 March 2019, kae@tut.by wrote:

> Т.е. squid  собран без опции --enable-ssl...  Грустно, однако...

Что-то я посмотрел и вовсе не обнаружил такой опции (ни у 3.5.19 из p8,
ни у 4.5 из Sisyphus). Есть --enable-ssl-crtd и --with-openssl. Последняя
в сборке и в p8, и в Sisyphus используется. Что касается --enable-ssl, то
это, вероятно, или какая-то опция от устаревшей версии, или кто-то просто
ошибся, и её рстиражировали. 

-- 
С уважением, Сергей
a_s_y@sama.ru

Re: [Sysadmins] Squid и https

[kae]

26.03.2019, 22:06, "Sergey" <a_s_y@sama.ru>:
> On Tuesday 26 March 2019, kae@tut.by wrote:
>
>>  Т.е. squid  собран без опции --enable-ssl...  Грустно, однако...
>
> Что-то я посмотрел и вовсе не обнаружил такой опции (ни у 3.5.19 из p8,
> ни у 4.5 из Sisyphus). Есть --enable-ssl-crtd и --with-openssl. Последняя
> в сборке и в p8, и в Sisyphus используется. Что касается --enable-ssl, то
> это, вероятно, или какая-то опция от устаревшей версии, или кто-то просто
> ошибся, и её рстиражировали.
>

Если я вас правильно понял, то postxix в P8 собран с опциями --enable-ssl-crtd и --with-openssl и может фильтровать https. А как обстоит дело с P7?

-- 
С уважением, А.Куликовский

Re: [Sysadmins] Squid и https

[Sergey]

On Friday 29 March 2019, kae@tut.by wrote:

> > Что-то я посмотрел и вовсе не обнаружил такой опции (ни у 3.5.19 из p8,
> > ни у 4.5 из Sisyphus). Есть --enable-ssl-crtd и --with-openssl. Последняя
> > в сборке и в p8, и в Sisyphus используется. Что касается --enable-ssl, то
> > это, вероятно, или какая-то опция от устаревшей версии, или кто-то просто
> > ошибся, и её рстиражировали.
> > 
> 
> Если я вас правильно понял, то postxix 

Squid только. 

> в P8 собран с опциями --enable-ssl-crtd и --with-openssl

C --with-openssl и без --enable-ssl-crtd, в вышеотквоченном я Squid в принципе
имел ввиду.

> А как обстоит дело с P7? 

Вот тут написано: https://packages.altlinux.org/en/p7/specfiles/squid

%build
%define _localstatedir %_var
./bootstrap.sh
%configure \
        CPPFLAGS="$(pkg-config --cflags-only-I libxml-2.0)" \

И далее.

Работает ли Squid с ssl с тем набором опций, с каким собран - не знаю, у
меня так руки и не дошли посмотреть, хотя в принципе надо бы.

-- 
С уважением, Сергей.

Re: [Sysadmins] Squid и https

[Братякин Сергей Николаевич]

http://cheapkeys.net/klyuch_dlya_aktivacii_windows_10_pro_info.html?idd=1192735&codepage=1251&currency=WMR

http://el-store.biz/windows/windows-10/windows-10-pro

https://puzzle-movies.com/

________________________________________
От: sysadmins-bounces@lists.altlinux.org <sysadmins-bounces@lists.altlinux.org> от имени kae@tut.by <kae@tut.by>
Отправлено: 29 марта 2019 г. 9:08
Кому: ALT Linux sysadmins' discussion
Тема: Re: [Sysadmins] Squid и https

26.03.2019, 22:06, "Sergey" <a_s_y@sama.ru>:
> On Tuesday 26 March 2019, kae@tut.by wrote:
>
>>  Т.е. squid  собран без опции --enable-ssl...  Грустно, однако...
>
> Что-то я посмотрел и вовсе не обнаружил такой опции (ни у 3.5.19 из p8,
> ни у 4.5 из Sisyphus). Есть --enable-ssl-crtd и --with-openssl. Последняя
> в сборке и в p8, и в Sisyphus используется. Что касается --enable-ssl, то
> это, вероятно, или какая-то опция от устаревшей версии, или кто-то просто
> ошибся, и её рстиражировали.
>

Если я вас правильно понял, то postxix в P8 собран с опциями --enable-ssl-crtd и --with-openssl и может фильтровать https. А как обстоит дело с P7?

--
С уважением, А.Куликовский


_______________________________________________
Sysadmins mailing list
Sysadmins@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/sysadmins

Re: [Sysadmins] Squid и https

[Michael Shigorin]

On Tue, Mar 26, 2019 at 04:49:42PM +0300, kae@tut.by wrote:
> >>  Имеется сервер на P7, он же шлюз в Инет, на нём настроен прозрачный
> >>  http-прокси squid. Очень нужно бы ещё и https фильтровать (школа,
> >>  однако). Посоветуйте, пожалуйста, методу как это организовать,
> >>  (с подменой сертификата?) чтобы не нарваться на ALT-специфичные
> >>  особенности.
> > Вот тут, на сколько я понимаю, было желание добиться того
> > же: https://forum.altlinux.org/index.php?topic=42419.0
> > Но про результат тут не написано.
> Т.е. squid  собран без опции --enable-ssl...  Грустно, однако...

Как вариант, разберитесь, что именно за опция тогда была нужна,
да и соберите пакет как надо; возможно, затем захочется версию
подновить хотя бы в пределах ветки и поделиться в t7/branch.

Мой путь в team когда-то начался с предложения поправить путь
к апачевому логу "из коробки" в пакете webalizer, например :)

-- 
 ---- WBR, Michael Shigorin / http://altlinux.org
  ------ http://opennet.ru / http://anna-news.info

Re: [Sysadmins] Squid и https

[kae]

29.03.2019, 11:09, "Sergey" <a_s_y@sama.ru>:
> On Friday 29 March 2019, kae@tut.by wrote:
>
>>  > Что-то я посмотрел и вовсе не обнаружил такой опции (ни у 3.5.19 из p8,
>>  > ни у 4.5 из Sisyphus). Есть --enable-ssl-crtd и --with-openssl. Последняя
>>  > в сборке и в p8, и в Sisyphus используется. Что касается --enable-ssl, то
>>  > это, вероятно, или какая-то опция от устаревшей версии, или кто-то просто
>>  > ошибся, и её рстиражировали.
>>  >
>>
>>  Если я вас правильно понял, то postxix
>
> Squid только.
Упс... вылезло из подсознания :)

>
>>  в P8 собран с опциями --enable-ssl-crtd и --with-openssl
>
> C --with-openssl и без --enable-ssl-crtd, в вышеотквоченном я Squid в принципе
> имел ввиду.
>
>>  А как обстоит дело с P7?
>
> Вот тут написано: https://packages.altlinux.org/en/p7/specfiles/squid
>
> %build
> %define _localstatedir %_var
> ./bootstrap.sh
> %configure \
>         CPPFLAGS="$(pkg-config --cflags-only-I libxml-2.0)" \
>
> И далее.
>
> Работает ли Squid с ssl с тем набором опций, с каким собран - не знаю, у
> меня так руки и не дошли посмотреть, хотя в принципе надо бы.
Ну, как бы не исключено,    --with-openssl  и     --enable-ssl  есть,
надо пробовать.

>
> --
> С уважением, Сергей.
> _______________________________________________
> Sysadmins mailing list
> Sysadmins@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/sysadmins

-- 
С уважением, А.Куликовский 

Re: [Sysadmins] Squid и https

[kae]

29.03.2019, 11:58, "Michael Shigorin" <mike@altlinux.org>:
> On Tue, Mar 26, 2019 at 04:49:42PM +0300, kae@tut.by wrote:
>>  >>  Имеется сервер на P7, он же шлюз в Инет, на нём настроен прозрачный
>>  >>  http-прокси squid. Очень нужно бы ещё и https фильтровать (школа,
>>  >>  однако). Посоветуйте, пожалуйста, методу как это организовать,
>>  >>  (с подменой сертификата?) чтобы не нарваться на ALT-специфичные
>>  >>  особенности.
>>  > Вот тут, на сколько я понимаю, было желание добиться того
>>  > же: https://forum.altlinux.org/index.php?topic=42419.0
>>  > Но про результат тут не написано.
>>  Т.е. squid собран без опции --enable-ssl... Грустно, однако...
>
> Как вариант, разберитесь, что именно за опция тогда была нужна,
> да и соберите пакет как надо; возможно, затем захочется версию
> подновить хотя бы в пределах ветки и поделиться в t7/branch.
Это был бы самый верный путь к решению проблемы, но ...

>
> Мой путь в team когда-то начался с предложения поправить путь
> к апачевому логу "из коробки" в пакете webalizer, например :)
... мой путь в искусство сборки начался с "переезда" с sendmail на postfix то ли 
на slackware 3.х , то ли уже на RedHat 6.0-6.2 в процессе первых экспериментов. :)
Потом, кажется, ещё что-то собирал, но  что -- припомнить уже трудно.
С годами, увы, тяга к таким приключениям угасает, тем более, что это слегка за 
пределами основной работы.
Буду пробовать уговорить  существующий squid. Похоже, что нужные опции там есть.

И, да, пардон за оффтоп.

> --
>  ---- WBR, Michael Shigorin / http://altlinux.org
>   ------ http://opennet.ru / http://anna-news.info
> _______________________________________________
> Sysadmins mailing list
> Sysadmins@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/sysadmins

-- 
С уважением, А.Куликовский