[Squid]使用ssl_bump侦听https connect消息,实现url过滤

最新推荐文章于 2024-08-08 13:42:57 发布
最新推荐文章于 2024-08-08 13:42:57 发布
阅读量3.4k 收藏 5
点赞数
分类专栏: linux 文章标签: linux https squid
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ken6328/article/details/105730333
版权

HTTP通信,在Squid中可以正常识别method和详细urlpath
但是HTTPS通信时,method一律识别成CONNECT,并且只显示domain,不显示详细urlpath
所以,有关url_regex和urlpath_regex的过滤都无法生效
如果想让squid能获取详细urlpath和method的话
就需要把Squid设置成一个中间人
Squid与Client使用虚假证书建立https通信
将request解密
再与Server建立https通信,将解密的request重新加密送出

零,版本要求

必须Squid3.5以上版本才可以实现

一,ssl_bump设置

原文连接:
Intercept HTTPS CONNECT messages with SSL-Bump

https://wiki.squid-cache.org/ConfigExamples/Intercept/SslBumpExplicit#Features.2FDynamicSslCert.Create_Self-Signed_Root_CA_Certificate

1.创建自签名CA根证书

用于squid生成动态证书

cd /etc/squid
mkdir ssl_cert
chown squid:squid ./ssl_cert
chmod 700 ./ssl_cert
cd ssl_cert

使用openssl创建自签名证书

openssl req -new -newkey rsa:2048 -sha256 -days 365 -nodes -x509 -extensions v3_ca -keyout myCA.pem  -out myCA.pem

创建der编码证书,用来导入客户端浏览器

openssl x509 -in myCA.pem -outform DER -out myCA.der
2.修改Squid配置文件

Squid必须具备以下模块

–with-openssl
–enable-ssl-crtd

一般yum安装的,都默认会添加上这些模块

以下是配置信息,需要粘贴到squid.conf中

文件默认位置:

/etc/squid/squid.conf

指定代理端口,指定ssl-bump模式,指定证书
pem证书已经包含了私有key,所以不用再指定私有key
生成主机证书,定义动态证书缓存大小

http_port 3128 ssl-bump \
  cert=/etc/squid/ssl_cert/myCA.pem \
  generate-host-certificates=on \ 
  dynamic_cert_mem_cache_size=4MB

对于Squid 3.5版本,使用以下配置

# For squid 3.5.x
sslcrtd_program /usr/local/squid/libexec/ssl_crtd -s /var/lib/ssl_db -M 4MB

对于Squid 4.0以上版本

# For squid 4.x
sslcrtd_program /usr/local/squid/libexec/security_file_certgen -s /var/lib/ssl_db -M 4MB

注意: security_file_certgen的存放位置会有变化,centos8的存放位置是

/usr/lib64/squid/security_file_certgen

设定bump step

acl step1 at_step SslBump1
ssl_bump peek step1

设定ssl_bump的范围
全部request都ssl-bump

ssl_bump bump all

或者定义,只针对部分域名进行ssl-bump

acl bump_sites dstdomain "/etc/squid/ssl_cert/bump_sites.txt"
ssl_bump bump bump_sites
3.创建和初始化TLS证书缓存目录

Squid3.5

/usr/local/squid/libexec/ssl_crtd -c -s /var/lib/ssl_db -M 4MB
chown squid:squid -R /var/lib/ssl_db

Squid4.0以上

/usr/local/squid/libexec/security_file_certgen -c -s /var/lib/ssl_db -M 4MB
chown squid:squid -R /var/lib/ssl_db

注意: security_file_certgen的存放位置会有变化,Centos 8的存放位置是

/usr/lib64/squid/security_file_certgen

这样基本就可以监听https的connect消息了

二,过滤
1.URL过滤

将需要过滤的路径添加到path_banned.ws中

acl banned_files urlpath_regex -i "/etc/squid/path_banned.ws"
http_access deny banned_files
2.Method过滤

过滤request header大于30k的POST送信

acl UPLIMIT req_header Content-Length [3-9][0-9]{4,}
acl UPLOAD method post
http_access deny UPLIMIT UPLOAD
最后.补充
1.Squid和父级代理连接的时候无法使用https
cache_peer IP_xx.xx.xx.xx parent HTTPPort_xxxx ICPPort_xxxx no-query default tls sslcert=/etc/squid/ssl_cert/myCA.pem sslflags=DONT_VERIFY_PEER

会提示SSL连接协商失败

Error negotiating SSL connection on FD 24: error:00000001:lib(0):func(0):reason(1) (1/-1)

即使父级代理开通了https_port也无法建立连接

所以,暂时无法实现ssl-bump的Squid向上一级代理转发

2.根据url,选择cache_peer

cache_peer_access peer-name allow|deny [!]aclname …

acl domain1 dstdomain www.domain1.com

cache_peer IP1 Port1 ICPport1 default name=peer1
cache_peer IP2 Port2 ICPport2 default name=peer2
cache_peer_access peer1 allow domain1
cache_peer_access peer2 deny domain1
ken6328
关注
专栏目录
squid-sslbump
06-28
Squid ssl-bump 缓存代理 一个缓存代理服务器有选择地 MITM SSL 连接来缓存内容。 目标是加快交付速度,而不是监视人。 github repo @ 提供的示例配置 构建: docker build -t jamesyale/squid-sslbump . 由于squid 需要初始化它的缓存目录的方式以及我不愿意使用启动脚本,squid 配置/ SSL 密钥必须在构建时被推入,但可以在以后被覆盖。 跑步: docker run -d --name squid-sslbump -p 3128:3128 -v `pwd`/squid-config:/etc/squid jamesyale/squid-sslbump
实战ssl-bump实现squidurl过滤功能
robinspada的博客
09-14 3824
使用代理服务器squid,想实现url过滤,禁止访问某个url,我们自然就想到了使用url_regex,可以使用正则对url进行过滤 比如说我们要禁止使用百度搜索,可使用下面的过滤 acl deny_url  url_regex //www\.baidu\.com/s http_access deny deny_url 但是实际运行发现这个功能对https网站不起作用,对于https网站,u...
五大开源 Web 代理服务器横评:Squid、Privoxy、Varnish、Polipo、Tinyproxy
hebeind100的博客
04-02 1673
Web 代理软件转发 HTTP 请求时并不会改变数据流量。它们可以配置成透明代理,而无需客户端配置。它们还可以作为反向代理放在网站的前端;这样缓存服务器可以为一台或多台 web 服务器提供无限量的用户服务。 网站代理功能多样,有着宽泛的用途:从缓存页面、DNS 和其他查询,到加速 web 服务器响应、降低带宽消耗。代理软件广泛用于大型高访问量的网站,比如纽约时报、卫报, 以及社交媒体网站如 T...
Linux - 用 Squid 部署 http、https 代理服务器
最新发布
Cocktail_py的博客
08-08 342
替换 “用户名” 为你想要添加的实际用户名。同样,执行此命令后,会要求你输入密码并确认密码。1.初始化:在第一次启动之前或者修改了cache路径之后,需要重新初始化cache目录。替换 “用户名” 为你想要设置的实际用户名。执行此命令后,会要求你输入密码并确认密码。现在访问 Squid 代理时,将需要提供用户名和密码才能获得访问权限。4.Ps: 配置了这个之后如果要修改端口,有缓存问题,最下面删除缓存。这些配置将启用基本的 HTTP 身份验证,并将用户凭据保存在。
Http/https代理和抓包分析
喝醉的鱼博客
10-16 1555
浅谈Http/Https代理和用wireshark抓包分析
Squid实践日志
再见伍德
10-21 1946
一.基础篇1.下载源代码并解压cd /opt/softwarewget -c http://www.squid-cache.org...tar -zxvf squid-2.5.STABLE14.tar.gz2.安装Squid Proxy Servercd /opt/software/squid-2.5.STABLE14./configure --prefix=/usr/local/squid3.
squid配置https重定向
杨建飘雪的专栏
12-06 8755
因为某个业务需要,希望用squid作为用户的上网代理,并且将其中https类型的请求,符合某种规则的进行特殊转发。 网络上相关的http的转发重写倒是蛮多的,http的转发,squid可以获得到对应的get地址。但是https的默认是得不到的,因为加密了咯。 给个参考的连接,看这位大神的:http://blog.csdn.net/chinalinuxzend/article/details/1
squid介绍及其简单配置
weixin_33769125的博客
08-12 325
squid介绍及其简单配置 1.Squid是什么?   Squid是一种用来缓冲Internet数据的软件。它是这样实现其功能的,接受来自人 们需要下载的目标(object)的请求并适当地处理这些请求。也就是说,如果一个人想 下载一web页面,他请求Squid为他...
squid-alpine-ssl:在启用了SSLBump功能的docker镜像上的Alpine Linux使用Squid。 该图像的总大小为8MB。 您可以在一分钟左右的时间内启动并运行此功能齐全的Web代理
05-25
curl -s https://api.github.com/repos/alatas/squid-alpine-ssl/releases/latest | grep " browser_download_url.*docker.zip " | head -1 | cut -d : -f 2,3 | cut -d ' " ' -f 2 | xargs curl -L -o release.zip...
squid-ubuntu:重新编译了最新版本的Squid代理,在Ubuntu 18 LTS上支持HTTPS过滤SSL检查。 用于Squid的Web安全Web筛选器
02-06
ssl_bump splice all ``` 确保替换`cert=/path/to/cert.pem`和`key=/path/to/key.pem`为你的实际证书路径。 配置完成后,启动Squid服务: ``` sudo systemctl start squid ``` 并将其设置为开机启动: ``` sudo ...
squid中refresh_pattern的一些理解和建议
10-30
在IT领域,Squid是一个广泛使用的开源代理缓存服务器,它能够显著提高网络性能,减少网络带宽消耗。在Squid配置中,`refresh_pattern` 是一个至关重要的指令,用于控制缓存中的资源何时应该被刷新或更新。本文将深入...
squid_mysql_auth.rar_Sniffer_Squid!
09-21
标题中的"Squid_mysql_auth.rar_Sniffer_Squid!"提到了两个主要概念:Squid和MySQL认证,以及Sniffer工具。Squid是一个广泛使用的开源代理服务器和缓存系统,它在网络优化、访问控制和内容过滤等方面扮演着重要角色...
Squid学习笔记
newyf_cun的专栏
10-19 1162
A. ACL访问控制介绍:     格式: acl 名字 类型 内容     httpd_access all或deny     名字:这里的名字和ACL的名字是一致的方能生效     在acl中类型有这几种:src ,dst, port ,srcdomain, dstdomain, time, maxcom, url_regex,urlpath_regex     在acl里内容就自己
Squid代理服务器应用(二)
weixin_51725822的博客
03-10 555
Squid代理服务器应用(二)一、ACL访问控制1.访问控制列表格式环境配置Squid-Server(192.168.28.10)Web1 (192.168.28.20)、Web2 (192.168.28.30)浏览器访问web服务器二、Squid 日志分析1、安装图像处理软件包2、添加不计入站点文件,添加的域名将不被显示在排序中3、运行4、验证5、添加计划任务,执行每天生成报告三、Squid 反向代理环境配置Squid-Server(192.168.28.10)web1、web2web1(192.168.
squid SSL https
drrui520的博客
12-14 675
配置选项参数必须包含 --enable-ssl-crtd and --with-openssl 值。把 PEM 格式的 SSL 证书复制到文件 /etc/squid/bump.crt 中。证书文件 bump.crt 和私钥文件 bump.key 将按 PEM 格式进行创建。将证书文件转换为 DER 格式的受信任证书以便它可以被导入浏览器中。把 PEM 格式的私钥复制到文件 /etc/squid/bump.key 中。配置 SSL 证书文件使用权限。确定您的服务器上使用Squid 服务的版本。
Linux Squid安装配置指南
weixin_33693070的博客
08-31 271
一、Squid是什么    Squid是一种用来缓冲Internet数据的软件。它是这样实现其功能的,接受来自人们需要下载的目标(object)的请求并适当地处理这些请求。也就是说,如果一个人想下载一web页面,他请求Squid为他取得这个页面。Squid随之连接到远程服务器(比如:http://squid.nlanr.net/)并向这个页面发出请求。然后,Squid显式地聚集数据到客户端机器,而...
全网最细最全OLAP之clickhouse笔记|clickhouse文档|clickhouse揭秘文档(三)--clickhouse单机安装和clickhouse集群安装
HANG.NIAN
08-15 1309
免费视频教程https://www.51doit.com/或者联系博主微信 17710299606 1 单节点安装 1 安装curl工具 yum install -y curl 2 添加clickhouse的yum镜像 curl -s https://packagecloud.io/install/repositories/altinity/clickhouse/script.rpm.sh | sudo bash 3 检查镜像情况 [root@doit04 yum.repos.d]# yu...
Squid自编译快速安装指南-HTTPS&基础鉴权
T_C_XZYJS的博客
12-14 1086
由于ubuntu软件库安装的Squid没有编译SSL,所以无法代理HTTPS流量,所以需要自编译。依赖和编译配置文件是高度相关的,如果新增了配置,可能会需要新的依赖。安装系统:Ubuntu 22.04。然后等待很久很久编译完成就可以了。以下我使用的配置文件。
squid配置-cache_peer和cache_peer_domain详解
热门推荐
hjwang1的专栏
11-12 1万+
转自:http://zhumeng8337797.blog.163.com/blog/static/10076891420118954728980/ acl allowuser 192.168.1.1/32 cache_peer 192.168.1.50 parent 81 0 no-query originserver weight=1 name=a cache_peer 192.
ssl_bump(https://blog.csdn.net/ken6328/article/details/105730333)
09-16
2. 访问控制:使用ssl_bump功能可以对HTTPS流量进行访问控制,实现对特定网站和服务的过滤和限制。 3. 安全审计:使用ssl_bump功能可以对HTTPS流量进行安全审计,记录网络数据的使用情况和追踪安全事件。 4. 加密...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值