Ping uma porta específica

Question

theillien

Asked: 2021-06-26 14:08:29 +0800 CST2021-06-26 14:08:29 +0800 CST 2021-06-26 14:08:29 +0800 CST

Não é possível acessar sites HTTP através do proxy HTTPS Squid

772

Eu tenho configuração de trabalho para SSL batendo no Squid 4.4 e RHEL8. Estou descobrindo, porém, que alguns sites que não têm SSL configurado (por exemplo, http://squidguard.org ) não estão funcionando.

Eu tive que remendar minha configuração usando várias fontes diferentes, pois nenhuma parece oferecer uma abordagem definitiva para configurar o aumento de SSL. É possível que eu tenha perdido algo que permitiria ao Squid lidar com tráfego HTTP e HTTPS?

Isto é o que estou vendo no log:

1624658033.150  59887 10.108.0.18 TCP_MISS/503 4300 GET http://squidguard.com/favicon.ico - HIER_DIRECT/3.223.115.185 text/html
1624658042.966  60608 10.108.0.18 TCP_MISS/503 4392 GET http://squidguard.com/ - HIER_DIRECT/3.223.115.185 text/html

O erro na página do navegador diz

The following error was encountered while trying to retrieve the URL: http://squidguard.com/
Connection to 3.223.115.185 failed.
The system returned: (110) Connection timed out
The remote host or network may be down. Please try the request again.

O host remoto ou rede não está inativo, no entanto. Eu posso alcançá-lo quando não estiver passando pelo proxy.

Meu squid.conf:

acl vdi src 10.108.0.0/20

acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT

acl intermediate_fetching transaction_initiator certificate-fetching
http_access allow intermediate_fetching

http_access deny !Safe_ports

http_access allow localhost manager
http_access deny manager

http_access allow vdi

http_access deny all

http_port 0.0.0.0:3128
http_port 0.0.0.0:3129 ssl-bump cert=/etc/squid/ssl_cert/myCA.pem generate-host-certificates=on
https_port 0.0.0.0:3130 intercept ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=20MB cert=/etc/squid/ssl_cert/myCA.pem

sslcrtd_program /usr/lib64/squid/security_file_certgen -s /var/lib/squid/ssl_db -M 20MB
ssl_bump stare all
ssl_bump bump all

cache_dir ufs /var/spool/squid 100 16 256

coredump_dir /var/spool/squid

refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern .               0       20%     4320

shutdown_lifetime 1 second

Eu não tenho iptables rodando então não tenho nenhuma regra de REDIRECT. Eu suspeito que este seja o problema.

2 respostas

Voted

theillien · Answer 1 · 2021-07-09T10:13:20+08:00

Best Answer

theillien

2021-07-09T10:13:20+08:002021-07-09T10:13:20+08:00

A questão é discutível. A origem do problema estava fora do escopo do Squid ou até mesmo do servidor em que ele está rodando. A porta 80 estava sendo bloqueada no firewall.

0

OzoneWebfilter.com · Answer 2 · 2022-07-11T07:46:50+08:00

OzoneWebfilter.com

2022-07-11T07:46:50+08:002022-07-11T07:46:50+08:00

você pode corrigir o problema apenas usando o abaixo

http_port 0.0.0.0:3129 ssl-bump cert=/etc/squid/ssl_cert/myCA.pem generate-host-certificates=on

Remova o outro

http_port 0.0.0.0:3128
https_port 0.0.0.0:3130 intercept ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=20MB cert=/etc/squid/ssl_cert/myCA.pem

0

Não é possível acessar sites HTTP através do proxy HTTPS Squid

Você pode passar usuário/passar para autenticação básica HTTP em parâmetros de URL?