Hallo Allerseits,
ich bin dabei einen Filterserver aufzusetzen: Squid + E2Guardian. Dabei soll der Server als Transparent Proxy fungieren und dabei sowohl HTTP als auch HTTPS Traffic filtern. Es werden verwendet:
Ubuntu 16.04.3 LTS Squid 3.5.12 - kompiliert mit '--enable-ssl' '--enable-ssl-crtd' '--with-openssl' E2Guardian 4.1.4
Ich setze das System step-by-step auf, angefangen mit dem Squid. Ich habe schon sehr viel Material online durchgesucht, aber meistens ist die Information veraltet, unvollständig oder unpassend. Im angehängten Bild kann man die Struktur sehen. Hier ist meine Konfiguration:
/etc/network/interfaces
# This file describes the network interfaces available on your system # and how to activate them. For more information, see interfaces(5). source /etc/network/interfaces.d/* # The loopback network interface auto lo iface lo inet loopback # The primary network interface auto ens160 iface ens160 inet static address 10.9.0.2 netmask 255.255.0.0 gateway 10.9.0.1 dns-nameservers 10.0.9.6 10.99.0.5 # The secondary network interface auto ens192 iface ens192 inet static address 10.9.0.3 netmask 255.255.0.0 dns-nameservers 10.9.0.6 10.99.0.5
/etc/squid/squid.conf
acl localnet src 10.9.0.0/16 acl SSL_ports port 443 # https acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT method CONNECT http_access allow localhost manager http_access deny manager http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access allow localhost http_access allow localnet http_access deny all http_port 10.9.0.3:3128 intercept https_port 10.9.0.3:3129 intercept ssl-bump cert=/etc/squid/squidCA.pem ssl_bump peek all ssl_bump splice all sslcrtd_program /usr/lib/squid/ssl_crtd -s /var/lib/ssl_db -M 4MB coredump_dir /var/spool/squid refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern -i (/cgi-bin/|\?) 0 0% 0 refresh_pattern (Release|Packages(.gz)*)$ 0 20% 2880 refresh_pattern . 0 20% 4320 cache_effective_user proxy cache_effective_group proxy
iptables
# Generated by iptables-save v1.6.0 on Mon Jan 15 15:29:26 2018 *nat :PREROUTING ACCEPT [26:3617] :INPUT ACCEPT [13:1852] :OUTPUT ACCEPT [1:76] :POSTROUTING ACCEPT [1:76] -A PREROUTING -i ens192 -p tcp -m tcp --dport 80 -j DNAT --to-destination 10.9.0.3:3128 -A PREROUTING -i ens192 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128 -A PREROUTING -i ens192 -p tcp -m tcp --dport 443 -j DNAT --to-destination 10.9.0.3:3129 -A PREROUTING -i ens192 -p tcp -m tcp --dport 443 -j REDIRECT --to-ports 3129 COMMIT # Completed on Mon Jan 15 15:29:26 2018 # Generated by iptables-save v1.6.0 on Mon Jan 15 15:29:26 2018 *filter :INPUT ACCEPT [29:2312] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [28:3056] -A FORWARD -d 10.9.0.0/16 -i eth192 -p tcp -m tcp --dport 3128 -j ACCEPT -A FORWARD -d 10.9.0.0/16 -i eth192 -p tcp -m tcp --dport 3129 -j ACCEPT COMMIT
Das ist die Überlegung bzw die Konfiguration. Aber ich habe wohl irgendwo einen Denkfehler, sehr wahrscheinlich bei den iptables. Das ist ein neues Thema für mich. In den logs steht immer folgendes:
access.log
10.9.0.205 TCP_DENIED/200 0 CONNECT 10.9.0.3:3129 - HIER_NONE/- - oder 0 10.9.0.3 TCP_MISS/403 4454 GET http://www.bildschirmarbeiter.com/ - HIER_NONE/- text/html 5082 10.9.0.205 TCP_MISS/403 4541 GET http://www.bildschirmarbeiter.com/ - ORIGINAL_DST/10.9.0.3 text/html
cache.log
2018/01/15 16:09:58 kid1| ERROR: No forward-proxy ports configured. 2018/01/15 16:09:58 kid1| ERROR: No forward-proxy ports configured. 2018/01/15 16:09:58 kid1| WARNING: Forwarding loop detected for: GET /success.txt HTTP/1.1 User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0 Accept: */* Accept-Language: de,en-US;q=0.7,en;q=0.3 Accept-Encoding: gzip, deflate Pragma: no-cache Via: 1.1 squid (squid/3.5.12) X-Forwarded-For: 10.9.0.205 Cache-Control: no-cache Connection: keep-alive Host: detectportal.firefox.com
Könnte mir vielleicht einer weiterhelfen?
Mit freundlichen Grüßen Aerokos