squid в лог не пишется доменное имя https трафика

Автор mmplor, 02 февраля 2016, 18:49:45

« назад - далее »

0 Пользователи и 1 гость просматривают эту тему.

mmplor

всем привет

кальмара собирал настраивал по этим статьям
http://habrahabr.ru/post/272733/
http://habrahabr.ru/post/267851/

собрал/настроил все вроде норм
НО при прозрачной фильтрации в логи не пишутся доменные имена https трафика
Открыть содержимое (спойлер)
1454427193.654     45 10.9.5.10 TCP_MISS/200 282 GET http://www.msftncsi.com/ncsi.txt - ORIGINAL_DST/188.43.73.91 text/plain
1454427198.353      0 10.9.5.10 TAG_NONE/409 4186 CONNECT client.teamviewer.com:443 - HIER_NONE/- text/html
1454427201.676     24 10.9.5.10 TAG_NONE/200 0 CONNECT 194.226.130.228:443 - HIER_NONE/- -
1454427201.676     22 10.9.5.10 TCP_TUNNEL/200 3401 CONNECT 194.226.130.228:443 - ORIGINAL_DST/194.226.130.228 -
1454427206.714   5487 10.9.5.10 TAG_NONE/200 0 CONNECT 87.250.250.91:443 - HIER_NONE/- -
1454427206.714   5485 10.9.5.10 TCP_TUNNEL/200 6590 CONNECT 87.250.250.91:443 - ORIGINAL_DST/87.250.250.91 -
1454427206.715   5626 10.9.5.10 TAG_NONE/200 0 CONNECT 213.180.204.36:443 - HIER_NONE/- -
1454427206.715   5623 10.9.5.10 TCP_TUNNEL/200 5856 CONNECT 213.180.204.36:443 - ORIGINAL_DST/213.180.204.36 -
[свернуть]
если же в браузере указать проксю
Открыть содержимое (спойлер)
1454428067.167      0 10.9.5.10 TAG_NONE/409 4214 CONNECT vk.com:443 - HIER_NONE/- text/html
1454428109.823      0 10.9.5.10 TAG_NONE/409 4238 CONNECT news.yandex.ru:443 - HIER_NONE/- text/html
[свернуть]

cat /etc/squid/squid.conf
Открыть содержимое (спойлер)

acl localnet src 10.9.5.0/24    # RFC1918 possible internal network

acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT

dns_nameservers 8.8.8.8
http_access deny !Safe_ports

http_access deny CONNECT !SSL_ports

http_access allow localhost manager
http_access deny manager

http_access allow localnet
http_access allow localhost
http_access deny all

#прозрачный порт указывается опцией intercept
http_port 10.9.5.1:3128 intercept options=NO_SSLv3:NO_SSLv2

#также нужно указать непрозрачный порт, ибо если захотите вручную указать адрес
#прокси в браузере, указав прозрачный порт, вы получите ошибку доступа, поэтому нужно
#указывать непрозрачный порт в браузере, если конечно такое желание будет, к тому же в логах #сыпятся ошибки о том, что непрохрачный порт не указан=)
http_port 10.9.5.1:3130 options=NO_SSLv3:NO_SSLv2

#и наконец, указываем HTTPS порт с нужными опциями
https_port 10.9.5.1:3129 intercept ssl-bump options=ALL:NO_SSLv3:NO_SSLv2 connection-auth=off cert=/etc/squid/squidCA.pem

always_direct allow all
sslproxy_cert_error allow all
sslproxy_flags DONT_VERIFY_PEER

#укажем правило со списком блокируемых ресурсов (в файле домены вида .domain.com)
acl blocked ssl::server_name  "/etc/squid/blocked_https.txt"
acl step1 at_step SslBump1
ssl_bump peek step1

#терминируем соединение, если клиент заходит на запрещенный ресурс
ssl_bump terminate blocked
ssl_bump splice all

sslcrtd_program /lib/squid/ssl_crtd -s /var/lib/ssl_db -M 4MB

coredump_dir /var/spool/squid
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern .               0       20%     4320
cache_dir aufs /var/spool/squid 20000 49 256
maximum_object_size 61440 KB
minimum_object_size 3 KB

cache_swap_low 90
cache_swap_high 95
maximum_object_size_in_memory 512 KB
memory_replacement_policy lru
logfile_rotate 4
[свернуть]

iptables -t nat -L
Открыть содержимое (спойлер)

Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination
REDIRECT   tcp  --  10.9.5.0/24          anywhere             tcp dpt:https redir ports 3129
REDIRECT   tcp  --  10.9.5.0/24          anywhere             tcp dpt:http redir ports 3128

Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
SNAT       all  --  10.9.5.0/24          anywhere             to:10.5.5.43
[свернуть]

подскажите пожалуйста куда копать (собирал тож самое на Ubuntu пару месяцев назад все работает...)