Proxy Squid Version 5.5 + Alma Linux 9.4

Buckminster
(usa Debian)

Enviado em 11/10/2024 - 09:53h

Podemos fazer, sem problemas.


_________________________________________________________
Always listen the Buck!
Enquanto o cursor estiver pulsando, há vida!

amarildosertorio
(usa Fedora)

Enviado em 11/10/2024 - 15:36h

Faz bastante tempo que não trabalho com o Squid, então não estou certo de como ele lida com o tráfego SSL atualmente. No entanto, um proxy transparente tradicional redireciona o tráfego HTTP sem dificuldades. Para o HTTPS, o Squid precisa realizar um processo chamado SSL bump (interceptação de SSL) para poder inspecionar e manipular o tráfego criptografado e não vi nada relacionado no seu conf.

amarildosertorio
(usa Fedora)

Enviado em 11/10/2024 - 16:04h

Algo como:

# Ativar suporte SSL

https_port 3129 intercept ssl-bump cert=/etc/squid/ssl_cert/squidCA.pem generate-host-certificates=on dynamic_cert_mem_cache_size=4MB



# Regras de SSL Bump

acl step1 at_step SslBump1

ssl_bump peek step1

ssl_bump bump all



# Certificados de CA

sslcrtd_program /usr/lib64/squid/security_file_certgen -s /var/lib/squid/ssl_db -M 4MB

sslcrtd_children 16 startup=1 idle=1



# Definir suas ACLs

acl localnet src 192.168.1.0/24  # Substitua pelo IP da sua rede

http_access allow localnet

http_access deny all

 

Buckminster
(usa Debian)

Enviado em 11/10/2024 - 16:15h

Sim, nas versões mais recentes do Squid (4 >) 0 SSl-Bump chama-se agora SslBump Peek and Splice:
Exemplos
https://www.squid-cache.org/Doc/config/ssl_bump/
https://wiki.squid-cache.org/Features/SslPeekAndSplice
https://elatov.github.io/2019/01/using-squid-to-proxy-ssl-sites/#configure-squid-to-peek-n-slice-ssl...


_________________________________________________________
Always listen the Buck!
Enquanto o cursor estiver pulsando, há vida!

amarildosertorio
(usa Fedora)

Enviado em 11/10/2024 - 17:01h

Acho tão trabalhoso manter isso em distribuições GNU/Linux. No pfSense é muito simples. Infelizmente, o Squid será descontinuado no pfSense.



https://www.netgate.com/blog/deprecation-of-squid-add-on-package-for-pfsense-software

"A Netgate considera o Squid, Lightsquid e SquidGuard como add-ons obsoletos
Estes add-ons funcionarão nas versões 23.09 do pfSense Plus e 2.7.1 do pfSense CE, mas não serão mais suportados nas próximas versões principais
A Netgate recomenda a desinstalação do Squid devido a várias vulnerabilidades de segurança não resolvidas"

https://www.securityweek.com/dozens-of-squid-proxy-vulnerabilities-remain-unpatched-2-years-after-di...
https://joshua.hu/squid-security-audit-35-0days-45-exploits

Buckminster
(usa Debian)

Enviado em 12/10/2024 - 18:32h

O Squid tornou-se complicado, concordo.
A grande vantagem do Squid - e talvez a única ainda - é o cache.
O Squid tem uma forma aprimorada de fazer cache em disco que economiza GBs na banda de internet.
Já tentaram várias vezes (vários projetos: Simpson, Brainstorm, etc) fazer uma interface gráfica para o Squid, mas nenhum vingou.
O Squid tornou-se muito complexo como proxy (que é a função básica dele) e hoje em dia tem um conjunto de ferramentas separadas que fazem o que o Squid faz e dá muito menos trabalho para o Administrador da rede.
Como cache de internet e entrega de vídeo/áudio estático e streaming ainda é o melhor, insuperável.
Para se trabalhar com o Squid de forma completa e, vamos dizer assim, dominá-lo, o administrador da rede tem de acompanhar semanalmente os sites oficiais do Squid só para se manter atualizado e isso dá muito trabalho e é desnecessário, até porque um administrador de uma rede trabalha com várias ferramentas de internet e, ao natural, não terá tempo de se dedicar especialmente para uma só.
Faz uns dois anos que deixei de trabalhar com o Squid como proxy e como bloqueador de internet.
Acompanho o Squid ainda talvez por uma questão de tradição, um apego sentimental.
O próprio site oficial do Squid faz alguns anos que anda tendo poucas atualizações.


_________________________________________________________
Always listen the Buck!
Enquanto o cursor estiver pulsando, há vida!