如何使用 Squid 通过 https 阻止 mime_types？

Question

SSL Bump 可对 Squid HTTPS 内容设置过滤器

要对 HTTPS 内容设置 ACL，您需要在 Squid 中配置 SSL Bump，并将您生成的证书导入到浏览器和/或操作系统中。Firefox 有自己的证书存储区。其他浏览器可能会使用操作系统上的证书存储区。

来自我的 squid 代理的示例，包括有关如何生成证书的注释。NoBump.txt 文件应包含您不想进行中间人攻击的域，例如银行、一些 google 子域、paypal 以及使用公钥固定的任何其他域。

acl NoBump dstdomain -i "/etc/squid/acl/NoBump.txt"
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
# vi /etc/pki/tls/openssl.cnf # edit v3_ca to allow cRLSign, keyCertSign
#  cd /etc/squid/ssl_cert
#  openssl req -new -newkey rsa:2048 -sha256 -days 365 -nodes -x509 -extensions v3_ca -keyout myCA.pem -out myCA.pem
#  rsync -av /etc/squid/ssl_cert/myCA.pem /etc/pki/ca-trust/source/anchors/
#  update-ca-trust
#  openssl x509 -in myCA.pem -outform DER -out myCA.der
#  chown squid:squid *;chmod 00400 *.pem
#  Firefox -> Certs -> Authorities -> Import myCA.der
#
# You MUST first initialize the DB and chown its dir to squid:squid
# AND you MUST do this (recreate the DB) any time you change the CA certifiate.
#
# rm -Rf /var/lib/ssl_db
# /usr/lib64/squid/ssl_crtd -c -s /var/lib/ssl_db -M 96MB
# chown -R squid:squid /var/lib/ssl_db
# restorecon -F -R -v /var/lib/ssl_db
#
sslcrtd_program /usr/lib64/squid/ssl_crtd -s /var/lib/ssl_db -M 96MB
sslcrtd_children 132 startup=32 idle=32
#
http_port 192.168.1.1:3128 ssl-bump cert=/etc/squid/ssl_cert/myCA.pem generate-host-certificates=on dynamic_cert_mem_cache_size=32
MB version=1
host_verify_strict off
sslproxy_cafile /etc/ssl/certs/ca-bundle.crt
sslproxy_cert_error allow all
sslproxy_flags DONT_VERIFY_PEER
#sslproxy_options NO_SSLv2,NO_SSLv3,SINGLE_DH_USE
sslproxy_options ALL
sslproxy_session_cache_size 64 MB
ssl_bump peek step1
ssl_bump peek step2 NoBump
ssl_bump splice step3 NoBump
ssl_bump bump all
always_direct allow all

这只是一个例子。最好阅读这些选项以及实现此目的的不同方法Squid 的网站，因为这将随着 Squid 的较新版本而改变，并且可能因您使用的 Squid 版本而异。特别注意主机验证您可能需要根据您计划通过此代理访问的网站来启用该功能。您必须添加您生成的证书来自评论并导入到您的浏览器和/或操作系统的证书存储中。

Answer 1

SSL Bump 可对 Squid HTTPS 内容设置过滤器

要对 HTTPS 内容设置 ACL，您需要在 Squid 中配置 SSL Bump，并将您生成的证书导入到浏览器和/或操作系统中。Firefox 有自己的证书存储区。其他浏览器可能会使用操作系统上的证书存储区。

来自我的 squid 代理的示例，包括有关如何生成证书的注释。NoBump.txt 文件应包含您不想进行中间人攻击的域，例如银行、一些 google 子域、paypal 以及使用公钥固定的任何其他域。

acl NoBump dstdomain -i "/etc/squid/acl/NoBump.txt"
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
# vi /etc/pki/tls/openssl.cnf # edit v3_ca to allow cRLSign, keyCertSign
#  cd /etc/squid/ssl_cert
#  openssl req -new -newkey rsa:2048 -sha256 -days 365 -nodes -x509 -extensions v3_ca -keyout myCA.pem -out myCA.pem
#  rsync -av /etc/squid/ssl_cert/myCA.pem /etc/pki/ca-trust/source/anchors/
#  update-ca-trust
#  openssl x509 -in myCA.pem -outform DER -out myCA.der
#  chown squid:squid *;chmod 00400 *.pem
#  Firefox -> Certs -> Authorities -> Import myCA.der
#
# You MUST first initialize the DB and chown its dir to squid:squid
# AND you MUST do this (recreate the DB) any time you change the CA certifiate.
#
# rm -Rf /var/lib/ssl_db
# /usr/lib64/squid/ssl_crtd -c -s /var/lib/ssl_db -M 96MB
# chown -R squid:squid /var/lib/ssl_db
# restorecon -F -R -v /var/lib/ssl_db
#
sslcrtd_program /usr/lib64/squid/ssl_crtd -s /var/lib/ssl_db -M 96MB
sslcrtd_children 132 startup=32 idle=32
#
http_port 192.168.1.1:3128 ssl-bump cert=/etc/squid/ssl_cert/myCA.pem generate-host-certificates=on dynamic_cert_mem_cache_size=32
MB version=1
host_verify_strict off
sslproxy_cafile /etc/ssl/certs/ca-bundle.crt
sslproxy_cert_error allow all
sslproxy_flags DONT_VERIFY_PEER
#sslproxy_options NO_SSLv2,NO_SSLv3,SINGLE_DH_USE
sslproxy_options ALL
sslproxy_session_cache_size 64 MB
ssl_bump peek step1
ssl_bump peek step2 NoBump
ssl_bump splice step3 NoBump
ssl_bump bump all
always_direct allow all

这只是一个例子。最好阅读这些选项以及实现此目的的不同方法Squid 的网站，因为这将随着 Squid 的较新版本而改变，并且可能因您使用的 Squid 版本而异。特别注意主机验证您可能需要根据您计划通过此代理访问的网站来启用该功能。您必须添加您生成的证书来自评论并导入到您的浏览器和/或操作系统的证书存储中。

如何使用 Squid 通过 https 阻止 mime_types？

答案1

相关内容