不使用 squid 解密流量的 HTTPS 内容过滤?

tag-icon tag-icon ssl proxy https squid
不使用 squid 解密流量的 HTTPS 内容过滤?

我正在尝试使用 ssl_bumping 根据 ACL 终止 https 流量,而无需在拦截/透明模式下解密流量。有人以前这样做过吗?我已经复制了我的配置以及我的 iptables nat 规则。

我正在使用 squid 3.5.13 和以下编译选项:
Squid 缓存:版本 3.5.12
服务名称:squid
配置选项:'--prefix=/usr''--localstatedir=/var''--libexecdir=/lib/squid3''--datadir=/share/squid3''--sysconfdir=/etc/squid3''--with-default-user=proxy''--with-logdir=/var/log/squid3''--with-pidfile=/var/run/squid3.pid''--with-openssl''-enable-ssl-crtd''--enable-icap-client''--with-large-files'--enable-ltdl-convenience

squid.conf:
acl social dstdomain .google.com .facebook.com .reddit.com
acl step1 at_step SslBump1
acl step2 at_step SslBump2
ssl_bump stare step2 all
ssl_bump deter social ssl_bump splice all
acl localnet src 192.168.50.0/24
acl SSL_ports 端口 443
acl Safe_ports 端口 80 # http
acl Safe_ports 端口 21 # ftp
acl Safe_ports 端口 443 # https
acl Safe_ports 端口 70 # gopher
acl Safe_ports 端口 210 # wais
acl Safe_ports 端口 1025-65535 # 未注册端口
acl Safe_ports 端口 280 # http-mgmt
acl Safe_ports 端口 488 # gss-http
acl Safe_ports 端口 591 # filemaker
acl Safe_ports 端口 777 # 多语言 http
acl 连接方法 连接
http_access 允许管理器本地主机
http_access 拒绝管理器
http_access 拒绝 !Safe_ports
http_access 拒绝 连接 !SSL_ports
http_access 允许 localnet
http_access 允许本地主机
http_access 允许所有
http_port 3128 透明
https_port 3129 拦截 ssl-bump cert=/etc/squid3/ssl_cert/squidSSL.pem
cache_dir ufs /cache/squid3/spool 100 16 256
access_log syslog:local5.info squid
coredump_dir /var/spool/squid3
url_rewrite_program /usr/bin/squidGuard -c /cache/config/daemons/squidguard/squidGuard.conf
url_rewrite_children 15
url_rewrite_access 允许所有
refresh_pattern ^ftp: 1440 20% 10080
刷新模式 ^gopher: 1440 0% 1440
刷新模式-i(/cgi-bin/|\?) 0 0% 0
刷新模式。 0 20% 4320
icap_enable 开启
icap_send_client_ip 开启
icap_send_client_username 开启
icap_client_username_encode 关闭
icap_client_username_header X-Authenticated-User
icap_preview_enable开启
icap_preview_size 1024
icap_service service_req reqmod_precache 旁路=1 icap://127.0.0.1:1344/squidclamav adaptation_access service_req 允许所有
icap_service service_resp respmod_precache 旁路=1 icap://127.0.0.1:1344/squidclamav
adaptation_access service_resp 允许所有

iptables -L -v -t nat(仅相关规则):
链 PREROUTING(策略接受 1083 个数据包,233K 字节)
pkts 字节目标协议选择加入退出源目标
157 9420 DNAT tcp -- eth1 任何地点任何位置 tcp dpt:https 至:192.168.11.1:3129

链 PREROUTING-daemon-tcp (1 个引用)
pkts 字节目标协议选择加入退出源目标
443 26580 DNAT tcp -- eth1 任意任意位置 tcp dpt:http to:192.168.11.1:3128
0 0 DNAT tcp -- eth2 任意任意位置 tcp dpt:http to:172.17.0.1:3128

现在我无法让它终止任何 https 流量。它所做的只是允许其通过。
任何帮助都将不胜感激!

~ 极度困惑的 Squid 用户 ~

相关内容