Compilando o Squid3
uma mais simples com suporte a bloqueio HTTPS e outra mais complexa com quase tudo que tenha direito (HTTPS, alguns tipos de autenticações, controle de banda, suporte a LDAP, geração de chaves e certificados, aumento dos descritores de arquivos, armazenamento em cache, suporte para mais ACLs externas, prevenção contra dengue, zika vírus etc).
[ Hits: 14.141 ]
Por: Buckminster em 05/01/2016
Adicione o usuário "squid" e modifique o proprietário da pasta /var/log/squid3:
# useradd squid && chown -R squid:squid /var/log/squid3
A opção "-R" refere-se à modificação de forma recursiva, todo novo arquivo criado em /var/log/squid3 será de propriedade do usuário squid.
Um dos principais objetivos de realizar a compilação tendo o Squid3 já instalado é a possibilidade da cópia dos binários:
# mv /usr/sbin/squid3 /usr/sbin/squid3.old && mv /usr/sbin/squid /us/sbin/squid3
Crie na pasta do Squid 3 em /etc/squid3 uma pasta para criação dos certificados que depois serão importados para os navegadores dos clientes:
# cd /etc/squid3 && mkdir ssl_cert && cd ssl_cert
# openssl req -new -newkey rsa:1024 -days 365 -nodes -x509 -keyout myCA.pem -out myCA.pem
Durante o processo de compilação do Squid foi setada a opção "--libexecdir=/lib/squid3" nesta pasta estão os arquivos necessários à execução, um destes arquivos, ssl_crtd será usado para a criação de certificados dinâmicos:
# /lib/squid3/ssl_crtd -c -s /var/lib/ssl_db -M 4MB
Mude o proprietário do arquivo:
# chown -R squid:squid /var/lib/ssl_db
A partir deste ponto o Squid3 estará apto a realizar os bloqueios na porta 443, lembrando que a partir da versão 3.1 não se usa mais a opção transparent e sim a intercept:
http_port 3128 intercept
https_port 3127 intercept ssl_bump generate_host_certificates=on dynamic_cert_mem_cache_size=4MB cert=/etc/squid3/ssl_cert/myCA.pem
ssl_bump none localhost
ssl-bump server-first all
sslcrtd_program /lib/squid3/ssl_crtd -s /var/lib/ssl_db -M 4 MB
sslcrtd_children 5
Adicione ao script do firewall as linhas:
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 443 -j REDIRECT --to-port 3127
iptables -I INPUT -p tcp -m tcp --dport 3127 -j ACCEPT
Reinicie a execução do Squid3:
# service squid3 restart
Para aqueles que usam o Sarg é necessário modificar o sarg.conf, atualizando a TAG access_log:
access_log /var/log/squid3/access.log
Com isso o Squid3 poderá realizar o bloqueio do tão famigerado HTTPS. Espero que estas dicas ajudem à todos aqueles que passam pelo problema do HTTPS e àqueles que puderem contribuir com alguma melhora neste pequeno how-to, fiquem à vontade e sirvam-se.
O conhecimento sempre é livre!
Instalação do Comodo Antivirus para Linux (CAVL) resolvendo o problema de dependências
Manual do IPtables - Comentários e sugestões de regras
Redes de Computadores · IPtables · Endereços IPs - Explicações básicas
Squid com autenticação e ACLs apartir do grupos do Active Diretory
Thunder Cache - Cache inteligente
MySAR - Um ótimo analisador de logs do Squid
Integrando autenticação do Squid ao Active Directory
A verdade sobre as ACLs do Squid
Atenção a quem posta conteúdo de dicas, scripts e tal (1)
Manutenção de sistemas Linux Debian e derivados com apt-get, apt, aptitude e dpkg
Melhorando o tempo de boot do Fedora e outras distribuições
Como instalar as extensões Dash To Dock e Hide Top Bar no Gnome 45/46
Como Atualizar Fedora 39 para 40
Instalar Google Chrome no Debian e derivados
Consertando o erro do Sushi e Wayland no Opensuse Leap 15
Instalar a última versão do PostgreSQL no Lunix mantendo atualizado
Flathub na sua distribuição Linux e comandos básicos de gerenciamento
erro ao clonar repo github (5)
Problema Envio email GLPI Versao 10.0.15 (1)
Como adicionar módulo de saúde da bateria dos notebooks Acer ao kernel... (25)
[Shell Script] Script para desinstalar pacotes desnecessários no OpenSuse
[Shell Script] Script para criar certificados de forma automatizada no OpenVpn
[Shell Script] Conversor de vídeo com opção de legenda
[C/C++] BRT - Bulk Renaming Tool
[Shell Script] Criação de Usuarios , Grupo e instalação do servidor de arquivos samba