Вопрос по SQUID SLL bump и сертификаты? — Хабр Q&A

Описание настроек squid.conf

Открываем файл настроек:

# sudo nano /etc/squid/squid.conf

Блок настроек «acl localnet src …» устанавливает правила доступа для вашей локальной сети, если в списке нет IP-адреса вашей сети, то его нужно добавить, например:

acl localnet src 10.9.1.0/24

или через файл:

acl localnet src "/etc/squid/acl_localnet"

* кавычки обязательны** после необходимо создать файл /etc/squid/acl_localnet и с каждой строчки перечислить разрешенные IP-адреса.

«прозрачный» squid с разграничением доступа

Вопрос по SQUID SLL bump и сертификаты? — Хабр Q&A

Как готовить кальмара, думаю что не я один сталкивался с задачей настройки Squid’а для разграничения доступа сотрудникам предприятия, но при этом он должен быть «прозрачным». Другими словами конфигурация показанная далее удовлетворяет трём условиям:

Хотелось бы уточнить по последнему пункту, так как шлюз «прозрачный», то использовать доменную авторизацию пользователей мы не можем, по данной причине выбрано разграничение именно по ip-адресам.

В качестве базовой конфигурации использовались материалы из статьи «Прозрачный» Squid с фильтрацией HTTPS ресурсов без подмены сертификатов (x86). Так как установка и настройка компонентов в данной статье описаны достаточно подробно, я пропущу данную информацию.

Программное обеспечение использованное мной для тестирование конфигурации:

Итак, файл

/etc/squid/squid.conf:

acl localnet src 192.168.0.0/16 # RFC1918 possible internal network

acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl Safe_ports port 901         # SWAT

acl CONNECT method CONNECT

#Добавление в acl трёх списков: запрещенные, разрешенные и группа расширенного доступа
acl denied_urls url_regex "/etc/squid/denied_urls"
acl allowed_urls url_regex "/etc/squid/allowed_urls"
acl extended_access_group src "/etc/squid/extended_access_group"

http_access deny !Safe_ports

http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager

#Ключевая строчка из-за которой долго ломали голову, так как без нее запрос сертификатов к сайтам 
# на https не осуществляется.
#Разрешаем осуществлять коннект к ресурсу, если https
http_access allow localnet CONNECT
#Запрещаем всем доступ на запрещенные сайты
http_access deny denied_urls
#Этим правилом разрешаем всем кто не в группе расширенного доступа ходить только на 
#разрешенные сайты
http_access deny !extended_access_group !allowed_urls

http_access allow localnet
http_access allow localhost
http_access deny all

#Обязательно один из портов должен быть в таком виде и являться заглушкой
http_port 3130
http_port 3128 intercept
https_port 3129 intercept ssl-bump options=ALL:NO_SSLv3:NO_SSLv2 connection-auth=off cert=/etc/squid/squidCA.pem

always_direct allow all
sslproxy_cert_error allow all
sslproxy_flags DONT_VERIFY_PEER

#Правила доступа для ssl
acl allowed_urls_ssl ssl::server_name_regex "/etc/squid/allowed_urls"
acl denied_urls_ssl ssl::server_name_regex "/etc/squid/denied_urls"
acl step1 at_step SslBump1
ssl_bump peek step1
ssl_bump terminate denied_urls_ssl
ssl_bump splice extended_access_group
ssl_bump terminate !allowed_urls_ssl
ssl_bump splice all
sslcrtd_program /usr/lib/squid/ssl_crtd -s /var/lib/ssl_db -M 4MB

#cache_dir ufs /var/cache/squid 100 16 256

coredump_dir /var/cache/squid

refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|?) 0     0%      0
refresh_pattern .               0       20%     4320

Перед запуском Squid’а не забываем создать три файла в

/etc/squid/

.

denied_urls

и

allowed_urls

вида:

geektimes.ru
habrahabr.ru
toster.ru
windowsupdate.microsoft.com

И

extended_access_group

вида:

192.168.1.5     #Иванов И.И.
192.168.1.87    #Петров П.П.
192.168.1.108   #Сидоров С.С.

При обращении по http на запрещенный сайт выдаст стандартную заглушку Squid’а, а по https — «ERR_SSL_PROTOCOL_ERROR».

Спасибо за прочтение статьи.

Техническое задание

Дано:

436-ФЗ и школа, в которой множество компьютеров, объединенных в сеть и подключенных к интернету через роутер MikroTik или любой другой.

Решение задачи


Был найден неиспользуемый стационарный компьютер с двух-ядерным Intel-ом, 1 Гб ОЗУ и жестким на 80 Gb.

Для решения будет сделано следующее:

1. Установка и настройка Ubuntu 18.04

Процесс установки прост. Качаем дистрибутив Ubuntu Server 18.04 с официального сайта. Рекомендую качать со старым установщиком, так как новый, лично у меня, ушел в бесконечную загрузку во время установки. Записываем образ на флешку/диск любым удобным способом.

Для записи на флешку рекомендую использовать Rufus и в начале записи выбрать «Запись DD-образа». Далее, следуя информации на экране, устанавливаем систему. Остановимся только на выборе компонентов, где можно выбрать сразу OpenSSH и всё. Нам много не нужно, а что нужно, установим сами.

Итак, Ubuntu установлена. Сеть, если у вас DHCP, уже настроена. Войдем в режим суперпользователя, чтобы каждый раз не добавлять sudo к командам.

sudo -s

Введем свой пароль и обновим систему.

apt-get update
apt-get upgrade


Установим текстовый редактор и файловый менеджер.

apt-get install nano mc

Чтобы сохранить файл в

nano

, необходимо нажать

Ctrl O

и следом

Y

. Выход из редактора осуществляется нажатием

Ctrl X

. Можно сохранить файл сразу перед выходом, нажав

Ctrl X

и следом

Y


Чтобы открыть файловый менеджер, введите

mc

. Откроется типичный DOS-овский NortonCommander или в Windows TotalCommander/FAR с двумя панелями. Хотя я привык работать с консолью, файловый менеджер тоже иногда помогает, например, найти нужный файл быстрее.

Если же у вас не DHCP или вы хотите отдельный IP-адрес для своего сервера, как этого захотел я, то перейдем к настройке.

Настройка статического IP-адреса

В отличии от предыдущих версий Ubuntu, в новой 18.04 сеть настраивается уже не в привычном всем нам

Про сертификаты:  «Прозрачный» Squid с разграничением доступа / Хабр

/etc/network/interfaces

, а через netplan в файле

/etc/netplan/*.yaml

. Файл может называться по разному, но он там один. Сам же /etc/network/interfaces пишет нам следующее:

Вопрос по SQUID SLL bump и сертификаты? — Хабр Q&A

Также, если вы захотите обновиться с версии старше до 18.04, настройки сети останутся там, где и были. Netplan актуален только для чистой установки 18.04.

Приступим, все-таки, к настройке сети.

Для начала посмотрим название сетевого интерфейса, присвоенное ОС, и запомним его.

ifconfig

Теперь откроем файл с настройками.

nano /etc/netplan/*.yaml

В нем уже должна быть настройка DHCP. Приведем файл к следующему виду.

# This file describes the network interfaces available on your system
# For more information, see netplan(5).
network:
  version: 2
  renderer: networkd
  ethernets:
    название сетевого интерфейса:
      dhcp4: no
      dhcp6: no
      addresses: [адрес/24]
      gateway4: шлюз
      nameservers:
        addresses: [77.88.8.7, 77.88.8.3]

Вписываем свои интерфейс, адрес и шлюз. DNS рекомендую оставить эти — Яндекс.DNS Детский будет как дополнительная защита. Такой же DNS настроен у меня в роутере. В любом случае, необходимо указывать тот DNS, который раздает роутер.

Здесь необходимо обратить внимание на пробелы (именно пробелы, а не табуляция). Каждый, своего рода, пункт отделяется от предыдущего пробелом. К примеру, если после nameservers строку addresses не отделить пробелом, а выровнять со строкой выше, то, при попытке применения настроек, netplan выдаст ошибку.

Применим настройки.

netplan apply

Перезагрузим сервер, на всякий случай.

reboot

Также, добавил альтернативный вариант настройки сети, как для DHCP, так и для статического IP, если не устраивает netplan.

Теперь необходимо включить прохождение пакетов сквозь наш сервер. Открываем файл /etc/sysctl.conf

nano /etc/sysctl.conf

Ищем в нем строку

net.ipv4.ip_forward=1

и раскомментируем ее. Если стоит значение

0

, то меняем на

1


Введем команду для применения настройки

sysctl -p /etc/sysctl.conf

После настройки сети, рекомендую перейти сразу в терминал, и продолжать работу уже в нем. Для этого, если вы не выбрали на этапе установки OpenSSH, установим его.

apt-get install ssh

По умолчанию SSH уже настроен на вход по пользователю/паролю на 22 порте, но вы можете настроить его для себя через, например, ключ авторизации и с другим портом в целях защиты сервера от атак извне. Как это сделать полно информации в интернете.

В качестве терминала я использую XShell. Вы можете использовать тот, который вам больше по душе.

DHCP-сервер и вторая сетевая карта нам не нужны, так как мы будем перенаправлять запросы пользователей на наш Proxy с помощью самого роутера.

Основа заложена. Теперь перейдем к установке и настройке Squid.

3. Мониторинг состояния сервера и настройка Firewall


Для мониторинга состояния нашего сервера установим утилиту

Webmin

, с помощью которой и настроим наш Firewall. Помимо этого, через нее можно следить за состоянием ЦП, ОЗУ и тд, обновлять пакеты, добавлять и настраивать компоненты и еще очень много всего. В ней есть свой терминал, правда корявый. Работает утилита через любой браузер, следовательно, можно подключиться к нашему серверу с любого компьютера внутри сети, что достаточно удобно, хоть и не безопасно. При желании, подключение можно ограничить только отдельными IP-адресами в «Управлении доступом по IP» в самом Webmin.

Перед началом установки, добавим репозиторий Webmin. Открываем sources.list.

nano /etc/apt/sources.list

И добавляем внизу строку.

4. Настройка роутера MikroTik для перенаправления трафика на Proxy


Будем считать, что вы уже скачали утилиту

WinBox

для удаленного управления, интернет и локальная сеть настроены, firewall на роутере чистый. вы знаете название интерфейса локальной сети (посмотреть можно в

IP — DHCP Server — DHCP

а) Заходим в WinBox, идем в IP — DHCP Server — Leases. В списке ищем IP компьютеров, для которых фильтрация не будет работать (директор, управление), жмем на них правой кнопкой и в меню выбираем Make Static.

Рядом с ними должна пропасть буква «D», что означает Dynamic. Теперь эти адреса будут сразу статически присваиваться данным компьютерам, вне зависимости от времени аренды, по MAC-адресу. Если ноутбук, который используется по Wi-Fi и по кабелю, то необходимо выбрать Make Static на оба MAC-адреса.

5. Альтернативная настройка для MikroTik и других роутеров

Данный вариант подойдет как для роутера MikroTik, так и для любого другого, даже самого простого (за исключением провайдерских арендованных кусков сами знаете чего). В этом случае мы реализуем разделение доступа в интернет не на роутере, а на самом Squid. Итак, начнем.

а)

Будем считать, что вы дошли до этого пункта, выполнив все вышестоящие, включая настройку перенаправления на Proxy в MikroTik. Для беспроблемной работы описываемого варианта, нам необходимо отменить подпункт

е)

пункта

3.4

настоящей статьи. Можно отменить весь пункт 3.4 (оставив, пожалуй, подпункт

а)

для того, чтобы наши IP не изменялись), но это по желанию — нам важно отменить саму маршрутизацию. Для этого идем в

IP — Routes

, ищем наш маршрут, выделяем его и жмем на

красный крестик

(не плюсик, а крестик, который рядом с галочкой). Маршрут станет серым => он отключен. Фильтрация также отключилась, теперь все клиенты идут в интернет напрямую через роутер.

б) Теперь заходим на наш сервер и переходим в папку со Squid

cd /etc/squid/


Открываем файл конфигурации

nano squid.conf

И добавляем в него по блокам:

В первый блок

сразу после строки с acl localnet…

Список источников


При создании статьи были использованы различные материалы с сайтов

Про сертификаты:  Бесплатный прокси-сервер для предприятия с доменной аутентификацией / Хабр

, а также личные знания и опыт.

При редактировании и дополнении статьи очень помогли следующие пользователи:

. Огромная благодарность им за содействие и помощь.

Примечания автора

  1. Любые работы с сервером нужно производить в режиме суперпользователя, добавляя sudo перед командой, или один раз введя команду sudo -s.
  2. Squid открываетзакрывает доступ ко всему ресурсу целиком, так что одну статью, например, на Википедии заблокировать не получится. Но никто не мешает вам изучить регулярные выражения и тестировать.
  3. Списки сайтов могу скинуть, обращайтесь. Сюда вписывать не стал, так как в одном белом списке более 1000 сайтов.
  4. К сожалению, данный вариант настройки не дает сделать раздельные списки для отдельных IP-адресов в Squid. В логах Squid только один IP-адрес — сам Mikrotik. Если хотите раздельные списки, то надо поднимать на сервере DHCP и делать его шлюзом, но это тема для другой статьи. Надеюсь, в комментариях гуру подскажут, что поправить в статье, чтобы в логах были IP компьютеров. — решено благодаря подсказке пользователя Barsook
  5. Для работы Squid с большим количеством клиентов (более 50) необходимо минимум 1 Гб ОЗУ. Желательно больше, так как Squid ест память. Вы можете проверить состояние памяти, введя команду top.
  6. Я рекомендую использовать оба варианта настройки роутера, так как, если в сетевых настройках явно указать другой шлюз (сам роутер), то обойти блокировку можно.

UPD1: добавил альтернативную настройку сети и FirewallUPD2: добавил альтернативный вариант настройки роутера, где исправлены проблемы с отображением адресов в логах Squid.UPD3: добавил исправление в 3.1 — включение прохождения пакетов сквозь сервер, которое забыл добавить изначально. Иначе не работает интернет. Спасибо Dmitry1986 за тестирование статьи.

Yandex browser

Откройте Настройки -> Системные -> Управление сертификатами -> Центры сертификации.

Затем нажмите кнопку Импорт и выберите файл squid.der. Отметьте галочки, что следует доверять этому сертификату.

Вопрос по squid sll bump и сертификаты?

Всем привет!

Вопрос наверное разжеванный миллион раз, но может я что упустил.

Суть вопроса в следующем:

Есть шлюз на котором поднят и настроен прозрачный SQUID (3.5.19) с поддержкой SSL.

Настраивал по

статье

. Все работает без проблем, прозрачность, https сайты, все ОК.

НО если я ограничиваю доступ (по mac адресам, без какой-либо фильтрации), то возникает проблема.

У меня настроена опция deny_info, которая при запрете выкидывает пользователя на определенную страницу. Если это сайт обычный (без HTTPS), то редирект происходит как нужно, но в случае с HTTPS в браузерах появляется сообщение о том, что сертификат не достоверный и дальнейшего редиректа на страницу deny_info не происходит. Как я понимаю если доступ в Интернет открыт, то клиент получает сертификат удаленного сервера, если доступа ограничен, то клиенту “прилетает” сертификат , который я генерировал через opensll и подставил в конфигурацию squid-а. Естественно он не достоверный. Насколько я понимаю можно купить достоверный сертификат и подсунуть сквиду.

А можно ли как-то обойти данную проблему, чтобы пользователь все таки попадал на страницу запрета?

Контроль доступа к сайтам

Открываем конфигурационный файл squid:

nano /etc/squid/squid.conf

После строки «acl CONNECT method CONNECT» прописываем:

Настройка dhcp и кеширующего dns

В наших решениях эту роль обычно исполняет dnsmasq, не будем отступать от традиций и в этот раз. Установим данный пакет:

apt install dnsmasq

Для настройки откроем файл /etc/dnsmasq.conf и внесем некоторые изменения. Прежде всего ограничим адреса, которые будут слушать наши службы:

listen-address=127.0.0.1, 192.168.187.1

Затем зададим пул для выдачи адресов через DHCP и срок аренды:

dhcp-range=192.168.187.120,192.168.187.199,255.255.255.0,12h

Для одноранговой сети будет неплохо указать DNS-суффикс, чтобы избежать сложностей с разрешением плоских имен:

local=/interface31.lab/

Перезапустим службу:

service dnsmasq restart

Теперь проверим получение адреса на клиенте и возможность доступа с него в интернет, если вы не допустили ошибок, то все должно работать.

squid-acl-ssl-002.pngПросмотреть список выданных в аренду адресов можно командой:

cat /var/lib/misc/dnsmasq.leases

Настройка nat и брандмауэра

Существуют разные взгляды на настройку брандмауэра, но общепринятой является схема с нормально открытым брандмауэром для внутренней сети (разрешено все, что не запрещено) и нормально закрытым для внешней (запрещено все, что не разрешено). Ниже будет приведена минимально достаточная конфигурация.

Откроем созданный нами файл /etc/nat и внесем в него следующие строки:

Настройка selinux для squid

Добавляем политики:

# sudo semanage fcontext -a -t squid_conf_t '/var/lib/ssl_db/index.txt'
# sudo semanage fcontext -a -t squid_conf_t '/var/lib/ssl_db/size'

Применяем политики:

# sudo /sbin/restorecon -v /var/lib/ssl_db/index.txt
# sudo /sbin/restorecon -v /var/lib/ssl_db/size

Перезагружаем систему и запускаем squid:

# sudo systemctl start squid

Проверяем работоспособность squid:

# sudo systemctl status squid

Squid должен быть активен.

Добавляем squid в автозагрузку:

# sudo systemctl enable squid

Настройка браузера

Сейчас большинство сайтов используют технологию HSTS для предотвращения MiTM-атак, поэтому если вы хотите настроить Squid для фильтрации трафика в своей организации, вам следует добавить сертификат .der. Рассмотрим на примере Chrome.

В меню браузера переходим по пути: Настройки->Конфиденциальность и безопасность->Безопасность->Настроить сертификаты->Центры сертификации->Импорт.

Добавляем созданный ранее сертификат для браузера по пути:

/etc/squid/sslcert/squid.pem

Устанавливаем все галочки и нажимаем «ОК».

Если все сделано правильно, то при входе на запрещенный сайт должна отобразиться такая страница:

Настройка кэширования

Настройте директорию для кэша в файле /etc/squid/squid.conf:

cache_dir ufs /var/spool/squid 4096 32 256

* где ufs – файловая система (ufs для SQUID является самой подходящей);/var/spool/squid — директория хранения кэша;4096 — объем пространства в мегабайтах, которое будет выделено под кэш;32 — количество каталогов первого уровня, которое будет создано для размещения кэша;256 — количество каталогов второго уровня, которое будет создано для размещения кэша.

Про сертификаты:  Прозрачный Squid 3.5 с контролем без подмены сертификатов –

Теперь создайте структуру папок под кэш следующей командой:

# sudo squid -z

Перезапускаем squid:

# sudo systemctl restart squid

Настройка прокси-сервера squid

Сделаем копию конфигурационного файла squid на всякий случай:

sudo cp /etc/squid/squid.conf /etc/squid/squid.conf.save

Очистим файл от дефолтной конфигурации

cp /dev/null /etc/squid/squid.conf

И поправим наш файл squid :

sudo nano /etc/squid/squid.conf

Настройка прокси-сервера squid3 с поддержкой ssl

К сожалению, в репозиториях нет пакета squid с поддержкой SSL, поэтому потребуется собрать его самому, как это сделать мы рассказывали в статье Сборка Squid 3.5 с поддержкой SSL из исходных кодов для Debian / Ubuntu, поэтому будем считать, что вы уже выполнили эту процедуру, либо используете уже собранные нами пакеты.

Будем считать, что собранные пакеты squid скачаны и располагаются в отдельной директории. Перейдем в нее и установим пакеты командой:

dpkg -i squid*.deb

В процессе установки вы получите сообщения о неудовлетворенных зависимостях, поэтому разрешим их командой:

apt install -f 

Чтобы наши пакеты не были перезаписаны пакетами из репозитория при обновлении их следует зафиксировать:

apt-mark hold squid
apt-mark hold squid-common
apt-mark hold squidclient

Если у вас был уже установлен squid, то просто удалите его и установите наши пакеты, все настройки при этом будут подхвачены автоматически, хотя на всякий случай сохраните куда-нибудь файл конфигурации:

cp /etc/squid/squid.conf /root/squid.conf.back

Установив пакеты с поддержкой SSL, перейдем к конфигурированию нашего прокси. Для этого откроем файл /etc/squid/squid.conf, все указанные ниже опции надо либо найти и раскомментировать, приведя к указанному виду, либо создать.

Следующий блок, задающий стандартные ACL-элементы присутствует по умолчанию:

Настройка сертификата в windows 7

Щелкаем два раза на сертификате и в появившемся окне нажимаем Установить сертификат.

Выбираем пункт Поместить все сертификаты в следующее хранилище.

Далее выбираем Доверенные центры сертификации

На предупреждение отвечаем Да

После импорта вашего сертификата сайты начнут открываться, но при просмотре сведенья о сертификате вы увидите что для всех сайтов установлен ваш личные сертификат.

Если есть вопросы, то пишем в комментариях.

Настройка сети

В данном примере у нас будет статическая настройка внешнего сетевого интерфейса, если же вы используете динамические подключение, такие как PPPoE или PPTP, то для их настройки обратитесь к соответствующим инструкциям (по ссылкам).

Для настройки сети откроем файл /etc/network/interfaces:

nano /etc/network/interfaces

И внесем в него следующие изменения (названия интерфейсов и адреса указаны только для примера):

auto ens33
iface ens33 inet static
address 172.18.0.106
netmask 255.255.240.0
gateway 172.18.0.1
dns-nameservers 172.18.0.1
auto ens34
iface ens34 inet static
address 192.168.187.1
netmask 255.255.255.0
post-up /etc/nat

Если внешний интерфейс получает настройки по DHCP, то используйте следующие настройки:

auto ens33
allow-hotplug ens33
iface ens33 inet dhcp

Сразу создадим файл для хранения настроек брандмауэра и сделаем его исполняемым:

touch /etc/nat
chmod x /etc/nat

Перезапустим сеть:

service networking restart

После чего у вас на сервере должен появиться интернет, сразу следует обновить систему и установить необходимый минимум утилит для администрирования:

apt update
apt upgrade
apt install mc ssh

Обновление системы

Первым делом обновим наш сервер:

sudo apt update && sudo apt dist-upgrade -y

Перенаправление трафика

Включаем ip_forwarding для разрешения проходящего трафика:

Подмена сертификатов

Сгенерируем свой сертификат… лет так на 10 🙂

proxyCA.pem — и сертификат и ключ в одном файле

cd /etc/squid/
sudo openssl req -new -newkey rsa:2048 -sha256 -days 3650 -nodes -x509 -extensions v3_ca -keyout proxyCA.pem  -out proxyCA.pem

Создадим сертификат для установки его на компьютеры пользователей (корневой)

sudo openssl x509 -in proxyCA.pem -outform DER -out squid.der

Скопируем squid.der на свой компьютер, это сертификат для установки его на клиентские компьютеры… Установим его либо руками, либо групповой политикой. Как это сделать будет описано далее.

Генерируем файл параметров

sudo openssl dhparam -outform PEM -out /etc/squid/bump_dhparam.pem 2048

Настроим права на использование файла SSL-сертификата и файла параметров

sudo chown proxy:proxy /etc/squid/bump_dhparam.pem
sudo chmod 400 /etc/squid/bump_dhparam.pem
sudo chown proxy:proxy /etc/squid/proxyCA.pem
sudo chmod 400 /etc/squid/proxyCA.pem

Выставляем права на /var/spool/squid/ и /var/log/squid/

sudo chown proxy:proxy -R /var/spool/squid
sudo chown proxy:proxy -R /var/log/squid/

Создаем каталог для базы данных сертификатов и инициализируем базу данных

sudo mkdir -p /var/lib/squid
sudo rm -rf /var/lib/squid/ssl_db
sudo /usr/lib/squid/security_file_certgen -c -s /var/lib/squid/ssl_db -M 4MB
sudo chown -R proxy:proxy /var/lib/squid

Следующим шагом включаем ip_forwarding для разрешения проходящего трафика через сервер:

Сборка squid из исходников.

Включим возможность использования исходников, для этого необходимо отредактировать файл /etc/apt/sources.list. Раскомментируем строки, которые начинаются на «deb-src»

sudo nano /etc/apt/sources.list

Посмотреть полный default source.list можно в данной статье.

После редактирования обновляемся еще раз:

sudo apt update

Далее установим необходимые для сборки пакеты:

sudo apt install openssl devscripts build-essential dpkg-dev libssl-dev libsasl2-modules-gssapi-mit

Чтобы не засорять систему, всю сборку я буду проводить из под новой директории. Для этого создадим её и перейдем в нашу директорию следующими командами:

mkdir /home/squid
cd /home/squid

Скачиваем все необходимое для SQUID:

sudo apt build-dep squid -y

Скачиваем сами исходники нашего прокси-сервера:

sudo apt source squid

В случае если появится предупреждение о прав, устанавливаем их на скачанный файл и повторяем предыдущее действие:

sudo chmod 777 squid_4.10-1ubuntu1.3.dsc
sudo apt source squid

Переходим в директорию с исходниками:

cd squid-4.10/

Установка

Установите прокси-сервер следующей командой:— для РЕД ОС версии 7.1 или 7.2:

# sudo yum install squid

— для РЕД ОС версии 7.3 и старше:

# sudo dnf install squid

Оцените статью
Мой сертификат
Добавить комментарий