我想调查我的网络中可能受感染的 Web 应用程序的可疑活动。我想使用squid 来拦截带https_port指令的https 请求。 我的网络设置:http/https 请求通常发送到网关主机,无需在客户端设置任何代理。在网关上,它们通过 iptables 规则从原始目标 IP/端口重定向到代理主机: iptables -t nat -A PREROUTING -p tcp --dport 80 -s CLIENT_IP -j DNAT --to-destination PROXY_IP:3128 iptables -t nat -A PREROUTING ...
TL:博士; Squid v5.7 未在生成的证书中包含颁发者 过去我可以通过以下方式进行 HTTPS 数据缓存: 构建鱿鱼: VERSION='4.11' ./configure --with-openssl --enable-ssl-crtd' ... 并创建自签名证书 sudo openssl req -new -newkey rsa:2048 -nodes \ -x509 -sha256 -extensions v3_ca -days 365 \ -keyout squid-ca-key.pem -out squid-ca-cert.pem...
我的目标是根据通过外部 acl 类型获取的用户名透明地过滤 HTTP 和 HTTPS URL。 我在拦截模式下运行 Squid 3.5.23,经过研究,似乎您可以在拦截模式下使用 external_acl_type (我可能是错的),然后返回 OK user=testuser 作为 OK/ERR 响应的一部分,SQUID 将使用该用户名作为经过身份验证的用户。 我编写了一个简单的 python 脚本来读取 stdin,然后立即将 OK user=testuser 写回 SQUID 的 stdout。 SSL peek、拼接和碰撞正在工作,对于 http...
我已经在其上设置squid3并设置了 SSL 碰撞。为此,我生成了一个证书,该证书出现在 3 个文件中: myserver.cert myserver.csr myserver.private 如果我理解正确的话,Squid 使用此证书来动态生成站点证书以对其进行签名。因此,我打算将此证书添加到 Windows 并信任它。 不幸的是,我没有找到执行此操作的确切方法。我在一台机器上很满意,但无法在另一台机器上配置。要添加证书,我打开 Windowscertmgr.msc或 Chrome 的证书并将证书添加到所有部分。 我不知道是否所有工具都是等效的,...
我刚刚设置门卫在一个树莓派3,并且它包含 Squid 3 作为其代理链的一部分。 它还利用 ssl 碰撞,并且某些使用 SSL 的网站(通常是大型网站,如 Facebook 和 Youtube)不允许使用该证书。当页面本身加载时,它通常不会加载驻留在静态 CDN 服务器上的图像或样式表。 例如,当加载 facebook 时,我在浏览器中收到以下错误: 无法加载资源:该服务器的证书无效。您可能正在连接到冒充“static.xx.fbcdn.net”的服务器,这可能会使您的机密信息面临风险。 在鱿鱼日志中我得到以下内容: XXXXXXX...
我刚刚安装门卫在 Raspberry PI 3 上,我能够阻止 https facebook;前提是我将浏览器设置为使用端口 8080 上的代理和证书。之后它给了我一个很好的内容阻止页面。 我查看了配置,它在端口 8080 上使用 Dansguardian 代理,然后转发到端口 3127 上的 Squid 3,如果一切顺利,它会转发到我的路由器上的互联网连接。 但我想让这个更加排他性,并制作一个仅允许访问的服务器列表。 那么我需要在 Dansguardian 或 Squid3 中阅读什么内容才能将除允许用户访问的站点/服务器之外的所有站点/服务器列入黑...