实战ssl-bump,实现squid的url过滤功能

最新推荐文章于 2023-10-16 01:20:42 发布
最新推荐文章于 2023-10-16 01:20:42 发布
阅读量3.6k 收藏 3
点赞数
文章标签: squid
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/robinspada/article/details/82701503
版权

使用代理服务器squid,想实现url过滤,禁止访问某个url,我们自然就想到了使用url_regex,可以使用正则对url进行过滤

比如说我们要禁止使用百度搜索,可使用下面的过滤

acl deny_url  url_regex //www\.baidu\.com/s
http_access deny deny_url

但是实际运行发现这个功能对https网站不起作用,对于https网站,url只能得到www.baidu.com:443这样的形式,由于ssl的限制无法得到正确的url。

要得到正确的url,必须使用ssl-bump,原理自己查资料,这里只讲实际操作

参照https://wiki.squid-cache.org/ConfigExamples/Intercept/SslBumpExplicit

1.创建动态证书存放目录

cd /etc/squid
mkdir ssl_cert
chown squid:squid ssl_cert
chmod 700 ssl_cert
cd ssl_cert

2.创建自签名证书

openssl req -new -newkey rsa:2048 -sha256 -days 3650 -nodes -x509 -extensions v3_ca -keyout myCA.pem  -out myCA.pem

3.创建浏览器证书

openssl x509 -in myCA.pem -outform DER -out myCA.der

4.创建并初始化证书缓存目录

/usr/lib64/squid/ssl_crtd -c -s /var/lib/ssl_db -M 4MB
chown squid:squid -R /var/lib/ssl_db

ssl_crtd 的目录可能有变化,需要自己去查找

5.设置ssl-bump对象文件

vi /etc/squid/ssl_cert/bump_sites.txt

输入

www.baidu.com

6.修改conf

http_port 8000 ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/etc/squid/ssl_cert/my.pem

# Bumped requests have relative URLs so Squid has to use reverse proxy
# or accelerator code. By default, that code denies direct forwarding.
# The need for this option may disappear in the future.

always_direct allow all
acl bump_sites dstdomain "/etc/squid/ssl_cert/bump_sites.txt"

#ssl_bump none broken_sites
#ssl_bump bump all
acl step1 at_step SslBump1

ssl_bump peek step1
ssl_bump bump bump_sites

启动后,文章最上面url_regex就能生效了

***********注意***********

一定要关闭selinux,否则会出错

The ssl_crtd helpers are crashing too rapidly

 

 

robinspada
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
squid-alpine-ssl:在启用了SSLBump功能的docker镜像上的Alpine Linux上使用Squid。 该图像的总大小为8MB。 您可以在一分钟左右的时间内启动并运行此功能齐全的Web代理
05-25
SSLBump的高山鱿鱼 这是我配置并发布到Docker映像的附带项目之一。 从根本上讲,我在Alpine Linux上配置了Squid,并在此镜像中向Squid添加了SSLBump功能。 该图像的总大小为8MB。 您可以在一分钟左右的时间内启动并运行此功能齐全的Web代理。 SSLBump功能是此映像中的可选功能使用此功能。 快速开始 下载并解压缩。 您可以使用下面的命令或手动执行。 curl -s https://api.github.com/repos/alatas/squid-alpine-ssl/releases/latest | grep " browser_download_url.*docker.zip " | head -1 | cut -d : -f 2,3 | cut -d ' " ' -f 2 | xargs curl -L -o release.zip
Recompile Squid with SSL Bump
weixin_30776545的博客
10-31 327
https://docs.diladele.com/administrator_guide_4_0/system_configuration/https_filtering/recompile_squid.html Recompile Squid with SSL Bump Warning This administrator guide is now obsolet...
[Squid]使用ssl_bump侦听https connect消息,实现url过滤
ken6328的博客
04-24 3067
HTTP通信,在squid中可以正常识别method和详细urlpath 但是HTTPS通信时,method一律识别成CONNECT,并且只显示domain,不显示详细urlpath 所以,有关path_regex和urlpath_regex的过滤都无法生效 如果想让squid能获取详细urlpath和method的话 就需要把squid设置成一个中间人 squid与client使用虚假证书建立h...
山东大学软件学院网络安全期末复习(林丰波2023.6)
m0_53844283的博客
06-13 892
在计算机网络和互联网标准的上下文中,RFC是描述互联网各个方面的协议、过程或规范的文档。相应的公钥(通常存储在id_rsa.pub文件中)被添加到远程服务器上的~/.ssh/authorized_keys文件中,以允许使用关联的私钥进行身份验证。协议和服务:TCP/IP包括在网络上启用特定功能的各种协议和服务,例如用于网页浏览的HTTP(超文本传输协议)、用于文件传输的FTP(文件传输协议)、用于网络的SMTP(简单邮件传输协议)电子邮件传输,以及用于将域名解析为IP地址的DNS(域名系统)。
create-ssl-certificate创建自签名SSL证书的命令行工具
08-10
create-ssl-certificate 创建自签名SSL证书的命令行工具
squid-sslbump
06-28
Squid ssl-bump 缓存代理 一个缓存代理服务器有选择地 MITM SSL 连接来缓存内容。 目标是加快交付速度,而不是监视人。 github repo @ 提供的示例配置 构建: docker build -t jamesyale/squid-sslbump . 由于squid 需要初始化它的缓存目录的方式以及我不愿意使用启动脚本,squid 配置/ SSL 密钥必须在构建时被推入,但可以在以后被覆盖。 跑步: docker run -d --name squid-sslbump -p 3128:3128 -v `pwd`/squid-config:/etc/squid jamesyale/squid-sslbump
关于squid版本问题
qq_27577247的博客
05-09 1079
关于squid版本问题,不同版本的squid.conf配置方法可能不一样 在4.11版本上配置透明代理时只设置了http_port 3128 transparent 结果测试连http网页都不能访问,后来比较3.0版本则无此问题,最后在http_port 3128 transparent 前加上http_port 3127后解决 即在4.11版本squid需要同时设置正确代理端口和透明代理端口才能正常访问http网页(透明代理方式) The ssl_crtd helpers are crashing
squid + dansguardian + iptable 实现网页过滤
软体疯子专栏
06-10 7586
squid + dansguardian + iptable 实现网页过滤
Http/https代理和抓包分析
喝醉的鱼博客
10-16 962
浅谈Http/Https代理和用wireshark抓包分析
【无标题】我的数据中心
Heshon的博客
12-04 113
1、安装Xshell 2、母版设置:(安装系统的时候记得开启网络, IP a 查看网络 连接XSHELL) 安装自动补全 yum -y install vim bash-com* 所有虚机的防火墙和selinux均为关闭状态 systemctl stop firewalld systemctl disable firewalld setenforce 0 vim /etc/sysconfig/selinux SELINUX=disabled vim /etc/issue ***************.
docker-sslbump-proxy:Dockerfile构建Squid + c-icap SSL-Bump代理
05-27
docker-sslbump-proxy 鱿鱼+ c-icap 底图 debian:最新 用法 git clone https://github.com/syakesaba/docker-sslbump-proxy.git cd docker-sslbump-proxy docker build . -t sslbump-proxy docker run -ti -p 3128:3128 sslbump-proxy # C-p q to detach, or # docker run -d -p 3128:3128 sslbump-proxy 用法(代理) 选择您的fakeroot-cert并将其导入您的Web浏览器。 文件路径:/usr/local/squid/myCA.der 或通常访问某些HTTPS网页和“信任证书”。 笔记 确保您的代理安全。 为防止不必要的使用,应使用防火墙或
bumpitty-bump-bump:在您的package.json中添加一个值,以便Docker(及其他)注意到更改
05-16
Bumpitty-Bump-Bump(aka B3) 在您的package.json中添加一个值,以便Docker(及其他)注意到更改。 原料药 cli npm install -g bumpitty-bump-bump cd your-project && b3 程序化的 npm install -S bumpitty-bump...
podspec-bump:命令行工具来更改Cocoapods的podspec版本
04-30
npm install -g podspec-bump 用法 从工作目录中自动查找*.podspec文件。 $ podspec-bump -h Usage: podspec-bump <increment> [options] -h, --help displays help -w, --write write incremented version -i, ...
pg-bump:PostgreSQL极简SQL迁移CLI
05-05
pg-bump 一个自以为是的,极简的PostgreSQL SQL迁移CLI。它是什么? pg-bump提供对“ Plain SQL”中编写的PostgreSQL数据库模式迁移的命令行管理。 假定a)您正在以及b)您正在。 pg-bump主要用于的可执行文件。 ...
node-v19.8.0-darwin-arm64.tar.xz
最新发布
04-22
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
node-v18.5.0-darwin-arm64.tar.xz
04-22
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
2024年java面试题-数据库MySQL面试题第三部分
04-22
MySQL是一个关系型数据库管理系统,由瑞典 MySQL AB 公司开发,属于 Oracle 旗下产品。MySQL是最流行的关系型数据库管理系统之一,在 WEB 应用方面,MySQL是最好的RDBMS (Relational Database Management System,关系数据库管理系统)应用软件之一。 MySQL是一种关系型数据库管理系统,关系数据库将数据保存在不同的表中,而不是将所有数据放在一个大仓库内,这样就增加了速度并提高了灵活性。 MySQL所使用的 SQL 语言是用于访问数据库的最常用标准化语言。MySQL 软件采用了双授权政策,分为社区版和商业版,由于其体积小、速度快、总体拥有成本低,尤其是开放源码这一特点,一般中小型和大型网站的开发都选择 MySQL作为网站数据库。 书接上文,这是MySQL面试方面第三部分吧,本资料主要也是介绍MySQL面试方面的一些题目吧,重点挑几道高频出现的面试题!!!
中国石油大学操作系统实验模拟进程的调度算法..zip
04-22
中国石油大学操作系统实验模拟进程的调度算法..zip
基于疲劳状态和分心状态检测的驾驶员监控系统研发_潘任飞.caj
04-22
驾驶员注意力检测,驾驶员分神驾驶检测,DMS,汽车智能驾驶,智能座舱
squid 访问https
06-06
Squid可以通过使用 SSL-Bump 功能来支持 HTTPS 访问,具体步骤如下: 1. 安装 Squid,并使其支持 SSL-Bump。 2. 生成和安装根证书和中间证书。这两个证书将用于 SSL-Bump 过程中进行 HTTPS 流量的拦截和解密。 3. 配置 Squid,将 SSL-Bump 功能应用于 HTTPS 流量。在配置文件中,需要指定 SSL-Bump 参数并创建 ACL,以便 Squid 可以识别要拦截和解密的 HTTPS 流量。 4. 配置客户端,以便其信任您生成的根证书。这样,客户端将能够通过 Squid 访问 HTTPS 网站,并且 SSL-Bump 过程将能够正常工作。 请注意,使用 SSL-Bump 功能可能会引起一些安全性和隐私性问题,因此需要谨慎使用,并根据您的实际情况进行配置。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值