privoxy tor squid

Автор yakdon, 14 февраля 2019, 14:08:51

« назад - далее »

0 Пользователи и 1 гость просматривают эту тему.

yakdon

Добрый день всем!

Зарание прошу прошения если задаю элементарные вопросы или же где нибудь обсуждались такие же вопросы. Я новичок в мире LINUX
Прошу помочь с настройками сквида тор и привокси

   
хочу чтоб определенный (с разрешенным доступом ) пользователи могли попасть на те странички через прокси сервер!

по гуглил, все делаю по инструкции, или что то я недопонимаю, сервис не работает.

Debian9.7  x64
Прозрачный squid HTTPS (3.5.23)

IPTABLES

LOCAL_IP=10.40.0.1
EXTERNAL_IP=XX.XX.XX.XX
LAN=10.40.0.0/24
BLOCK_IP=172.16.254.255

iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT

#--------- SQUID ---------#
iptables -t nat -A PREROUTING -s $LAN -p tcp --dport   80 -j REDIRECT --to-port 3128 # HTTP
iptables -t nat -A PREROUTING -s $LAN -p tcp --dport  443 -j REDIRECT --to-port 3129 # HTTPS


/etc/squid/squid.conf


acl localnet src 10.0.40.0/24    # LAN

acl SSL_ports port 443
acl Safe_ports port 80                     # http
acl Safe_ports port 21                     # ftp
acl Safe_ports port 443                   # https
acl Safe_ports port 70                     # gopher
acl Safe_ports port 210                   # wais
acl Safe_ports port 1025-65535       # unregistered ports
acl Safe_ports port 280                   # http-mgmt
acl Safe_ports port 488                   # gss-http
acl Safe_ports port 591                   # filemaker
acl Safe_ports port 777                   # multiling http
acl CONNECT method CONNECT

acl denied_urls dstdomain "/etc/squid/denied_urls"
acl allowed_urls dstdomain "/etc/squid/allowed_urls"
acl vip_access_group src "/etc/squid/vip_group"    #10.40.0.5 ip компа
acl bad_sites url_regex "/etc/squid/bad_sites"

acl youtube dstdomain www.youtube.com youtube.com m.youtube.com
acl youtube_access src "/etc/squid/social_network"

acl ok dstdomain www.ok.ru ok.ru m.ok.ru www.m.ok.ru
acl ok_access src "/etc/squid/social_network"

acl fb dstdomain www.facebook.com facebook.com www.fb.com fb.com m.facebook.com
acl fb_access src "/etc/squid/social_network"

acl telegram dst 149.154.160.0/20 91.108.4.0/22 91.108.56.0/22 91.108.8.0/22


#acl tor url_regex "/etc/squid/tor_url"
acl tor dstdomain "/etc/squid/tor_url"
acl tor_access  src "/etc/squid/vip_group"

acl https_port port 443
acl http_port port 80

logformat https %ts.%03tu %6tr %>a %Ss/%03>Hs %<st %rm %ssl::>sni %[un %Sh/%<a %mt
logformat http %ts.%03tu %6tr %>a %Ss/%03>Hs %<st %rm %ru %[un %Sh/%<a %mt.


cache_access_log /var/log/squid/access.log https https_port
cache_access_log /var/log/squid/access.log http http_port


#url_rewrite_program /usr/bin/squidGuard

dns_nameservers  77.88.8.8
http_access deny !Safe_ports

http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager
http_access allow localnet CONNECT
http_access allow allowed_urls
http_access allow youtube youtube_access
http_access allow ok ok_access
http_access allow tor tor_access
http_access allow fb fb_access
http_access allow vip_access_group
#http_access allow tor
http_access deny bad_sites
http_access deny denied_urls
http_access allow localnet
http_access allow localhost
http_access deny all

#прозрачный порт указывается опцией intercept
http_port 3128 intercept options=NO_SSLv3:NO_SSLv2

#также нужно указать непрозрачный порт, ибо если захотите вручную указать адрес
#прокси в браузере, указав прозрачный порт, вы получите ошибку доступа, поэтому нужно
#указывать непрозрачный порт в браузере, если конечно такое желание будет, к тому же в логах #сыпятся ошибки о том, что непрохрачный порт не указан=)
http_port 3130 options=NO_SSLv3:NO_SSLv2

# указываем HTTPS порт с нужными опциями
https_port 3129 intercept ssl-bump options=ALL:NO_SSLv3:NO_SSLv2 connection-auth=off cert=/etc/squid/squidCA.pem

always_direct allow all
sslproxy_cert_error allow all
sslproxy_flags DONT_VERIFY_PEER

#укажем правило со списком блокируемых ресурсов (в файле домены вида .domain.com)
acl allowed_urls_ssl ssl::server_name "/etc/squid/allowed_urls"
acl denied_urls_ssl ssl::server_name "/etc/squid/denied_urls"
acl denied_regex_ssl ssl::server_name_regex "/etc/squid/bad_sites"
acl youtube_ssl ssl::server_name www.youtube.com youtube.com m.youtube.com
acl youtube_ssl2 ssl::server_name_regex googlevideo
acl ok_ssl ssl::server_name www.ok.ru ok.ru m.ok.ru www.m.ok.ru
acl fb_ssl ssl::server_name www.facebook.com facebook.com www.fb.com fb.com m.facebook.com
acl fb_ssl2 ssl::server_name_regex fbcdn


acl step1 at_step SslBump1
ssl_bump peek step1



#терминируем соединение, если клиент заходит на запрещенный ресурс
ssl_bump splice allowed_urls_ssl
ssl_bump splice youtube_access youtube_ssl
ssl_bump splice youtube_access youtube_ssl2
ssl_bump splice ok_access ok_ssl
ssl_bump splice fb_access fb_ssl
ssl_bump splice fb_access fb_ssl2
ssl_bump splice vip_access_group
ssl_bump terminate denied_regex_ssl
ssl_bump terminate denied_urls_ssl
ssl_bump splice NoSSLIntercept
ssl_bump splice all



# Никогда не пускать напрямую домены, указанные в списке TOR
never_direct allow tor


# Указываем прокси, куда отправлять домены из списка, в нашем случае - Privoxy
cache_peer 10.40.0.1 parent 8118 0 no-query no-digest default

cache_peer_access 10.40.0.1 allow tor
cache_peer_access 10.40.0.1 deny all


sslcrtd_program /usr/lib/squid/ssl_crtd -s /var/lib/ssl_db -M 4MB

coredump_dir /var/spool/squid3
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern .               0       20%     4320
#cache_dir aufs /var/spool/squid 20000 49 256
maximum_object_size 61440 KB
minimum_object_size 3 KB
max_filedescriptors 16384


cache_swap_low 90
cache_swap_high 95
maximum_object_size_in_memory 512 KB
memory_replacement_policy lru
logfile_rotate 0

visible_hostname Proxy-Server


/etc/privoxy/config


forward-socks5t / 10.40.0.1:9050 .
confdir /etc/privoxy
logdir /var/log/privoxy
logfile logfile
filterfile default.filter

debug   4096
debug   8192

user-manual /usr/share/doc/privoxy/user-manual
listen-address  10.40.0.1:8118
toggle  1
enable-remote-toggle 0
enable-edit-actions 0
enable-remote-http-toggle 0
buffer-limit 4096


/etc/tor/torrc оставил по  умолчанию

но не работает.


в логах  privoxy
2019-02-14 16:06:13.674 7f27751e3340 Info: Privoxy version 3.0.26
2019-02-14 16:06:13.674 7f27751e3340 Info: Program name: /usr/sbin/privoxy
2019-02-14 16:06:13.674 7f2773b40700 Error: 10.40.0.1's request: 'GET /squid-internal-dynamic/netdb HTTP/1.1' is invalid. Privoxy isn't configured to accept intercepted requests.


Vlad

У меня в конфиге squid
http_port 3128 #для не прозрачного режима
http_port 3129 intercept #http
https_port 3130 intercept ssl-bump connection-auth=off options=ALL cert=/etc/squid/squidCA.pem #https

Что говорит squid?