SCROLL
Среднее время на прочтение: 7 мин.

Установка Squid 5.5 с поддержкой HTTPS (ssl_bump) на Debian 10 Buster

Squid — это программный пакет, реализующий функцию кэширующего прокси-сервера для протоколов HTTP, FTP, Gopher и (в случае соответствующих настроек) HTTPS.

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

Хочу сообщить что ниже описанное руководство, так же применимо к установке младших версии Squid 4, 5.x

Установка прокси-сервера Squid

JUQwJUEzJUQxJTgxJUQxJTgyJUQwJUIwJUQwJUJEJUQwJUIwJUQwJUIyJUQwJUJCJUQwJUI4JUQwJUIyJUQwJUIwJUQwJUI1JUQwJUJDJTIwJUQwJUJEJUQwJUI1JUQwJUJFJUQwJUIxJUQxJTg1JUQwJUJFJUQwJUI0JUQwJUI4JUQwJUJDJUQxJThCJUQwJUI1JTIwJUQwJUI3JUQwJUIwJUQwJUIyJUQwJUI4JUQxJTgxJUQwJUI4JUQwJUJDJUQwJUJFJUQxJTgxJUQxJTgyJUQwJUI4JTIwJUQwJUI0JUQwJUJCJUQxJThGJTIwJUQxJTgxJUQwJUIxJUQwJUJFJUQxJTgwJUQwJUJBJUQwJUI4JTIwJUQwJUI4JTIwJUQxJTgwJUQwJUIwJUQwJUIxJUQwJUJFJUQxJTgyJUQxJThCJTIwU3F1aWQlM0E=

YXB0LWdldCUyMHVwZGF0ZQ==
YXB0LWdldCUyMGluc3RhbGwlMjBidWlsZC1lc3NlbnRpYWwlMjBtYWtlJTIwbGlic3NsLWRldiUyMGxpYmtyYjUtZGV2JTIwbGlibGRhcDItZGV2JTIwbGliazVjcnlwdG8zJTIwbGlic2FzbDItZGV2JTIwbGlicGFtMGclMjBsaWJjYXAyLWRldg==

JUQwJUExJUQwJUJBJUQwJUIwJUQxJTg3JUQwJUI4JUQwJUIyJUQwJUIwJUQwJUI1JUQwJUJDJTIwJUQwJUI4JTIwJUQxJTgwJUQwJUIwJUQxJTgxJUQwJUJGJUQwJUIwJUQwJUJBJUQwJUJFJUQwJUIyJUQxJThCJUQwJUIyJUQwJUIwJUQwJUI1JUQwJUJDJTIwJUQwJUI4JUQxJTgxJUQxJTg1JUQwJUJFJUQwJUI0JUQwJUJEJUQwJUI4JUQwJUJBJUQwJUI4JTIwU3F1aWQlM0E=

cd /opt/
d2dldCUyMGh0dHAlM0ElMkYlMkZ3d3cuc3F1aWQtY2FjaGUub3JnJTJGVmVyc2lvbnMlMkZ2NSUyRnNxdWlkLTUuNS50YXIuZ3o=
tar -zxvf squid-5.5.tar.gz
cd squid-5.5

JUQwJTkyJUQxJThCJUQwJUJGJUQwJUJFJUQwJUJCJUQwJUJEJUQxJThGJUQwJUI1JUQwJUJDJTIwJUQwJUJBJUQwJUJFJUQwJUJEJUQxJTg0JUQwJUI4JUQwJUIzJUQxJTgzJUQxJTgwJUQwJUI4JUQxJTgwJUQwJUJFJUQwJUIyJUQwJUIwJUQwJUJEJUQwJUI4JUQwJUI1JTIwJUQxJTgxJTIwJUQwJUJGJUQwJUJFJUQwJUI0JUQwJUI0JUQwJUI1JUQxJTgwJUQwJUI2JUQwJUJBJUQwJUJFJUQwJUI5JTIwSFRUUFMlM0E=

./configure --prefix=/usr --localstatedir=/var --libexecdir=/usr/lib/squid --datadir=/usr/share/squid --sysconfdir=/etc/squid --enable-ssl-crtd --with-openssl --enable-translation --enable-cpu-profiling --disable-dependency-tracking --disable-ipv6 --enable-removal-policies="lru,heap" -enable-delay-pools --enable-icmp --enable-linux-netfilter --enable-external-acl-helpers --with-large-files --with-default-user=proxy --with-logdir=/var/log/squid --with-pidfile=/var/run/squid.pid

Собираем и устанавливаем пакет Squid:

make
make install

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

bWtkaXIlMjAtcCUyMCUyRnZhciUyRmxvZyUyRnNxdWlk
mkdir -p /etc/squid/ssl

chown proxy:proxy /var/log/squid
chown proxy:proxy /etc/squid/ssl
Y2htb2QlMjA3MDAlMjAlMkZ2YXIlMkZsb2clMkZzcXVpZA==
chmod 700 /etc/squid/ssl

Создаем стартовый скрипт Squid — /etc/init.d/squid:

/etc/init.d/squid
#! /bin/sh
JTIz
# squid         Startup script for the SQUID HTTP proxy-cache.
JTIz
JTIzJTIwVmVyc2lvbiUzQSUyMCUyMCUyMCUyMCUyMCUyMCU0MCglMjMpc3F1aWQucmMlMjAlMjAxLjAlMjAlMjAwNy1KdWwtMjAwNiUyMCUyMGx1aWdpJTQwZGViaWFuLm9yZw==
JTIz
# pidfile: /var/run/squid.pid
JTIz
### BEGIN INIT INFO
JTIzJTIwUHJvdmlkZXMlM0ElMjAlMjAlMjAlMjAlMjAlMjAlMjAlMjAlMjAlMjBzcXVpZA==
JTIzJTIwUmVxdWlyZWQtU3RhcnQlM0ElMjAlMjAlMjAlMjAlMjRuZXR3b3JrJTIwJTI0cmVtb3RlX2ZzJTIwJTI0c3lzbG9n
JTIzJTIwUmVxdWlyZWQtU3RvcCUzQSUyMCUyMCUyMCUyMCUyMCUyNG5ldHdvcmslMjAlMjRyZW1vdGVfZnMlMjAlMjRzeXNsb2c=
# Should-Start:      $named
JTIzJTIwU2hvdWxkLVN0b3AlM0ElMjAlMjAlMjAlMjAlMjAlMjAlMjAlMjRuYW1lZA==
JTIzJTIwRGVmYXVsdC1TdGFydCUzQSUyMCUyMCUyMCUyMCUyMDIlMjAzJTIwNCUyMDU=
# Default-Stop:      0 1 6
JTIzJTIwU2hvcnQtRGVzY3JpcHRpb24lM0ElMjBTcXVpZCUyMEhUVFAlMjBQcm94eSUyMHZlcnNpb24lMjA0Lng=
JTIzJTIzJTIzJTIwRU5EJTIwSU5JVCUyMElORk8=

NAME=squid
REVTQyUzRCUyMlNxdWlkJTIwSFRUUCUyMFByb3h5JTIy
REFFTU9OJTNEJTJGdXNyJTJGc2JpbiUyRnNxdWlk
PIDFILE=/var/run/$NAME.pid
CONFIG=/etc/squid/squid.conf
U1FVSURfQVJHUyUzRCUyMi1ZQyUyMC1mJTIwJTI0Q09ORklHJTIy

[ ! -f /etc/default/squid ] || . /etc/default/squid

. /lib/lsb/init-functions

UEFUSCUzRCUyRmJpbiUzQSUyRnVzciUyRmJpbiUzQSUyRnNiaW4lM0ElMkZ1c3IlMkZzYmlu

JTVCJTIwLXglMjAlMjREQUVNT04lMjAlNUQlMjAlN0MlN0MlMjBleGl0JTIwMA==

dWxpbWl0JTIwLW4lMjA2NTUzNQ==

ZmluZF9jYWNoZV9kaXIlMjAoKSUyMCU3Qg==
JTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwdyUzRCUyMiUyMCUyMCUyMCUyMCUyMCUyMiUyMCUyMyUyMHNwYWNlJTIwdGFi
        res=`$DAEMON -k parse -f $CONFIG 2>&1 |
                grep "Processing:" |
                sed s/.*Processing:\ // |
                sed -ne '
JTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwcyUyRiU1RSU1QiclMjIlMjR3JTIyJyU1RConJTI0MSclNUInJTIyJTI0dyUyMiclNUQlNUMlMkIlNUIlNUUnJTIyJTI0dyUyMiclNUQlNUMlMkIlNUInJTIyJTI0dyUyMiclNUQlNUMlMkIlNUMoJTVCJTVFJyUyMiUyNHclMjInJTVEJTVDJTJCJTVDKS4qJTI0JTJGJTVDMSUyRnAlM0I=
                        t end;
                        d;
                        :end q'`
        [ -n "$res" ] || res=$2
JTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwZWNobyUyMCUyMiUyNHJlcyUyMg==
JTdE

grepconf () {
        w="     " # space tab
        res=`$DAEMON -k parse -f $CONFIG 2>&1 |
                grep "Processing:" |
                sed s/.*Processing:\ // |
                sed -ne '
JTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwcyUyRiU1RSU1QiclMjIlMjR3JTIyJyU1RConJTI0MSclNUInJTIyJTI0dyUyMiclNUQlNUMlMkIlNUMoJTVCJTVFJyUyMiUyNHclMjInJTVEJTVDJTJCJTVDKS4qJTI0JTJGJTVDMSUyRnAlM0I=
JTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwdCUyMGVuZCUzQg==
JTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwZCUzQg==
                        :end q'`
        [ -n "$res" ] || res=$2
JTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwZWNobyUyMCUyMiUyNHJlcyUyMg==
}

Y3JlYXRlX3J1bl9kaXIlMjAoKSUyMCU3Qg==
        run_dir=/var/run/squid
JTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwdXNyJTNEJTYwZ3JlcGNvbmYlMjBjYWNoZV9lZmZlY3RpdmVfdXNlciUyMHByb3h5JTYw
        grp=`grepconf cache_effective_group proxy`

JTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwaWYlMjAlNUIlMjAlMjIlMjQoZHBrZy1zdGF0b3ZlcnJpZGUlMjAtLWxpc3QlMjAlMjRydW5fZGlyKSUyMiUyMCUzRCUyMCUyMiUyMiUyMCU1RCUyMCUyNiUyNg==
           [ ! -e $run_dir ] ; then
                mkdir -p $run_dir
                chown $usr:$grp $run_dir
JTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTVCJTIwLXglMjAlMkZzYmluJTJGcmVzdG9yZWNvbiUyMCU1RCUyMCUyNiUyNiUyMHJlc3RvcmVjb24lMjAlMjRydW5fZGly
        fi
}

c3RhcnQlMjAoKSUyMCU3Qg==
JTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwY2FjaGVfZGlyJTNEJTYwZmluZF9jYWNoZV9kaXIlMjBjYWNoZV9kaXIlNjA=
        cache_type=`grepconf cache_dir`
JTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwcnVuX2RpciUzRCUyRnZhciUyRnJ1biUyRnNxdWlk

        #
JTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIzJTIwQ3JlYXRlJTIwcnVuJTIwZGlyJTIwKG5lZWRlZCUyMGZvciUyMHNldmVyYWwlMjB3b3JrZXJzJTIwb24lMjBTTVAp
        #
        create_run_dir

JTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIz
        # Create spool dirs if they don't exist.
JTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIz
JTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwaWYlMjB0ZXN0JTIwLWQlMjAlMjIlMjRjYWNoZV9kaXIlMjIlMjAtYSUyMCElMjAtZCUyMCUyMiUyNGNhY2hlX2RpciUyRjAwJTIy
        then
JTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwbG9nX3dhcm5pbmdfbXNnJTIwJTIyQ3JlYXRpbmclMjAlMjRERVNDJTIwY2FjaGUlMjBzdHJ1Y3R1cmUlMjI=
                $DAEMON -z -f $CONFIG
JTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTVCJTIwLXglMjAlMkZzYmluJTJGcmVzdG9yZWNvbiUyMCU1RCUyMCUyNiUyNiUyMHJlc3RvcmVjb24lMjAtUiUyMCUyNGNhY2hlX2Rpcg==
JTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwZmk=

        umask 027
JTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwdWxpbWl0JTIwLW4lMjA2NTUzNQ==
        cd $run_dir
JTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwc3RhcnQtc3RvcC1kYWVtb24lMjAtLXF1aWV0JTIwLS1zdGFydCUyMCU1Qw==
JTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwLS1waWRmaWxlJTIwJTI0UElERklMRSUyMCU1Qw==
JTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwLS1leGVjJTIwJTI0REFFTU9OJTIwLS0lMjAlMjRTUVVJRF9BUkdTJTIwJTNDJTIwJTJGZGV2JTJGbnVsbA==
JTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwcmV0dXJuJTIwJTI0JTNG
JTdE

stop () {
        PID=`cat $PIDFILE 2>/dev/null`
        start-stop-daemon --stop --quiet --pidfile $PIDFILE --exec $DAEMON
JTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIz
JTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIzJTIwJTIwJTIwJTIwJTIwJTIwJTIwTm93JTIwd2UlMjBoYXZlJTIwdG8lMjB3YWl0JTIwdW50aWwlMjBzcXVpZCUyMGhhcyUyMF9yZWFsbHlfJTIwc3RvcHBlZC4=
        #
JTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwc2xlZXAlMjAy
        if test -n "$PID" && kill -0 $PID 2>/dev/null
        then
                log_action_begin_msg " Waiting"
JTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwY250JTNEMA==
                while kill -0 $PID 2>/dev/null
                do
                        cnt=`expr $cnt + 1`
JTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwaWYlMjAlNUIlMjAlMjRjbnQlMjAtZ3QlMjAyNCUyMCU1RA==
                        then
JTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwbG9nX2FjdGlvbl9lbmRfbXNnJTIwMQ==
JTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwcmV0dXJuJTIwMQ==
JTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwZmk=
JTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwc2xlZXAlMjA1
JTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwbG9nX2FjdGlvbl9jb250X21zZyUyMCUyMiUyMg==
                done
                log_action_end_msg 0
JTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwcmV0dXJuJTIwMA==
        else
                return 0
JTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwZmk=
}

cfg_pidfile=`grepconf pid_filename`
if test "${cfg_pidfile:-none}" != "none" -a "$cfg_pidfile" != "$PIDFILE"
then
        log_warning_msg "squid.conf pid_filename overrides init script"
        PIDFILE="$cfg_pidfile"
fi

Y2FzZSUyMCUyMiUyNDElMjIlMjBpbg==
JTIwJTIwJTIwJTIwc3RhcnQp
        res=`$DAEMON -k parse -f $CONFIG 2>&1 | grep -o "FATAL: .*"`
JTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwaWYlMjB0ZXN0JTIwLW4lMjAlMjIlMjRyZXMlMjIlM0I=
JTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwdGhlbg==
JTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwbG9nX2ZhaWx1cmVfbXNnJTIwJTIyJTI0cmVzJTIy
JTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwZXhpdCUyMDM=
JTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwZWxzZQ==
JTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwbG9nX2RhZW1vbl9tc2clMjAlMjJTdGFydGluZyUyMCUyNERFU0MlMjIlMjAlMjIlMjROQU1FJTIy
                if start ; then
                        log_end_msg $?
JTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwZWxzZQ==
JTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwbG9nX2VuZF9tc2clMjAlMjQlM0Y=
JTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwZmk=
        fi
        ;;
    stop)
JTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwbG9nX2RhZW1vbl9tc2clMjAlMjJTdG9wcGluZyUyMCUyNERFU0MlMjIlMjAlMjIlMjROQU1FJTIy
JTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwaWYlMjBzdG9wJTIwJTNCJTIwdGhlbg==
JTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwbG9nX2VuZF9tc2clMjAlMjQlM0Y=
        else
JTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwbG9nX2VuZF9tc2clMjAlMjQlM0Y=
        fi
JTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTNCJTNC
JTIwJTIwJTIwJTIwcmVsb2FkJTdDZm9yY2UtcmVsb2FkKQ==
JTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwcmVzJTNEJTYwJTI0REFFTU9OJTIwLWslMjBwYXJzZSUyMC1mJTIwJTI0Q09ORklHJTIwMiUzRSUyNjElMjAlN0MlMjBncmVwJTIwLW8lMjAlMjJGQVRBTCUzQSUyMC4qJTIyJTYw
JTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwaWYlMjB0ZXN0JTIwLW4lMjAlMjIlMjRyZXMlMjIlM0I=
JTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwdGhlbg==
                log_failure_msg "$res"
JTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwZXhpdCUyMDM=
JTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwZWxzZQ==
                log_action_msg "Reloading $DESC configuration files"
                start-stop-daemon --stop --signal 1 \
JTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwLS1waWRmaWxlJTIwJTI0UElERklMRSUyMC0tcXVpZXQlMjAtLWV4ZWMlMjAlMjREQUVNT04=
                log_action_end_msg 0
        fi
JTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTNCJTNC
    restart)
JTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwcmVzJTNEJTYwJTI0REFFTU9OJTIwLWslMjBwYXJzZSUyMC1mJTIwJTI0Q09ORklHJTIwMiUzRSUyNjElMjAlN0MlMjBncmVwJTIwLW8lMjAlMjJGQVRBTCUzQSUyMC4qJTIyJTYw
        if test -n "$res";
        then
                log_failure_msg "$res"
JTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwZXhpdCUyMDM=
        else
                log_daemon_msg "Restarting $DESC" "$NAME"
JTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwc3RvcA==
                if start ; then
JTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwbG9nX2VuZF9tc2clMjAlMjQlM0Y=
JTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwZWxzZQ==
                        log_end_msg $?
                fi
JTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwZmk=
        ;;
    status)
JTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwc3RhdHVzX29mX3Byb2MlMjAtcCUyMCUyNFBJREZJTEUlMjAlMjREQUVNT04lMjAlMjROQU1FJTIwJTI2JTI2JTIwZXhpdCUyMDAlMjAlN0MlN0MlMjBleGl0JTIwMw==
        ;;
JTIwJTIwJTIwJTIwKik=
        echo "Usage: /etc/init.d/$NAME {start|stop|reload|force-reload|restart|status}"
        exit 3
JTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwJTNCJTNC
ZXNhYw==

ZXhpdCUyMDA=

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

chmod a+x /etc/init.d/squid
dXBkYXRlLXJjLmQlMjBzcXVpZCUyMGRlZmF1bHRz

JTJGZXRjJTJGaW5pdC5kJTJGc3F1aWQlMjBzdGFydA==
/etc/init.d/squid status

Настройка SSL Bumping в сервисе Squid

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

Можно создать новый самоподписанный CA SSL-сертификат или использовать CA SSL-сертификат выданный центром сертификации организации.

Создание самоподписанного CA SSL-сертификата

b3BlbnNzbCUyMHJlcSUyMC1uZXclMjAtbmV3a2V5JTIwcnNhJTNBMjA0OCUyMC1kYXlzJTIwMzY1JTIwLW5vZGVzJTIwLXg1MDklMjAta2V5b3V0JTIwJTJGZXRjJTJGc3F1aWQlMkZzcXVpZGNhLmtleSUyMC1vdXQlMjAlMkZldGMlMkZzcXVpZCUyRnNxdWlkY2EuY3J0

JUQwJTlEJUQwJUIwJUQxJTgxJUQxJTgyJUQxJTgwJUQwJUIwJUQwJUI4JUQwJUIyJUQwJUIwJUQwJUI1JUQwJUJDJTIwJUQwJUJGJUQxJTgwJUQwJUIwJUQwJUIyJUQwJUIwJTIwJUQwJUJEJUQwJUIwJTIwJUQxJTg0JUQwJUIwJUQwJUI5JUQwJUJCJUQxJThCJTIwU1NMLSVEMSU4MSVEMCVCNSVEMSU4MCVEMSU4MiVEMCVCOCVEMSU4NCVEMCVCOCVEMCVCQSVEMCVCMCVEMSU4MiVEMCVCMA==

Y2hvd24lMjBwcm94eSUzQXByb3h5JTIwJTJGZXRjJTJGc3F1aWQlMkZzcXVpZGNhKg==
Y2htb2QlMjA0MDAlMjAlMkZldGMlMkZzcXVpZCUyRnNxdWlkY2Eq

Конвертируем сертификат формата DER для импорта на пользовательские системы:

b3BlbnNzbCUyMHg1MDklMjAtb3V0Zm9ybSUyMGRlciUyMC1pbiUyMCUyRmV0YyUyRnNxdWlkJTJGc3F1aWRjYS5jcnQlMjAtb3V0JTIwc3F1aWRjYS5jcnQ=
Полученный сертификат необходимо установить в «Доверенные корневые сертификаты» на все пользовательские компьютеры, которые будут работать через Squid. В доменной среде это проще всего сделать при помощи GPO (Group Policy objects).

Использование CA SSL-сертификата выданным центром сертификации организации

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

Генерируем запрос (CSR) на SSL-сертификат, далее выпускаем его при помощи действующего ЦС (используя шаблон с правами CA):

b3BlbnNzbCUyMGdlbnJzYSUyMC1vdXQlMjAlMkZldGMlMkZzcXVpZCUyRnNxdWlkY2Eua2V5JTIwMjA0OA==
openssl req -new -key /etc/squid/squidca.key -out /etc/squid/squidca.csr

Конвертируем выпущенный SSL-сертификат в PEM формат:

openssl x509 -inform der -in certnew.cer -out squidca.crt

Настраиваем права на файлы SSL-сертификата:

chown proxy:proxy /etc/squid/squidca*
Y2htb2QlMjA0MDAlMjAlMkZldGMlMkZzcXVpZCUyRnNxdWlkY2Eq

Продолжение настройки SSL

Генерируем файл параметров для алгоритма Diffie-Hellman:

b3BlbnNzbCUyMGRocGFyYW0lMjAtb3V0Zm9ybSUyMFBFTSUyMC1vdXQlMjAlMkZldGMlMkZzcXVpZCUyRnNxdWlkX2RocGFyYW0ucGVtJTIwMjA0OA==
chmod 400 /etc/squid/squid_dhparam.pem

Создаем каталог для базы данных сертификатов и инициализируем ее, предварительно остановим службу Squid, если она работает:

JTJGZXRjJTJGaW5pdC5kJTJGc3F1aWQlQzIlQTBzdG9w

mkdir -p /var/lib/squid
rm -rf /var/lib/squid/ssl_db
/usr/lib/squid/security_file_certgen -c -s /var/lib/squid/ssl_db -M 20MB
Y2hvd24lMjBwcm94eSUzQXByb3h5JTIwLVIlQzIlQTAlMkZ2YXIlMkZsaWIlMkZzcXVpZA==

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

/etc/squid/squid.conf
YWNsJTIwaW50ZXJtZWRpYXRlX2ZldGNoaW5nJTIwdHJhbnNhY3Rpb25faW5pdGlhdG9yJTIwY2VydGlmaWNhdGUtZmV0Y2hpbmc=
http_access allow intermediate_fetching

Добавляем в любое место после последней директивы http_access следующие директивы:

/etc/squid/squid.conf
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

c3NsY3J0ZF9wcm9ncmFtJTIwJTJGdXNyJTJGbGliJTJGc3F1aWQlMkZzZWN1cml0eV9maWxlX2NlcnRnZW4lMjAtcyUyMCUyRnZhciUyRmxpYiUyRnNxdWlkJTJGc3NsX2RiJTIwLU0lMjAyME1C
c3NsY3J0ZF9jaGlsZHJlbiUyMDU=
c3NscHJveHlfY2VydF9lcnJvciUyMGFsbG93JTIwYWxs

acl step1 at_step SslBump1
c3NsX2J1bXAlMjBwZWVrJTIwc3RlcDE=
ssl_bump bump all

Запускаем Squid и проверяем:

/etc/init.d/squid start

Добавление исключений для SSL Bumping

Добавление исключений для SSL Bumping может потребоваться в следующих случаях:

  • Программное обеспечение использует протокол, отличный от HTTPS (например, SSH, RDP, VPN).
  • Программное обеспечение или веб-ресурс использует протокол WebSockets или HTTP/2.0.
  • Для доступа к веб-ресурс используются национальные алгоритмы шифрования (GOST, SM2).
  • Программное обеспечение использует привязку серверного сертификата (pinning).
  • Программное обеспечение или веб-ресурс требует авторизации по клиентскому SSL-сертификату.

Создаем файл /etc/squid/donotbump.list со списком доменных имен веб-ресурсов и хостов, которые вы необходимо добавить в исключения, пример:

/etc/squid/donotbump.list
.youtube.ru
LmZhY2Vib29rLmNvbQ==

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

/etc/squid/squid.conf
acl no_ssl_bump dstdomain "/etc/squid/donotbump.list"

YWNsJTIwc3RlcDElMjBhdF9zdGVwJTIwU3NsQnVtcDE=
ssl_bump splice no_ssl_bump
c3NsX2J1bXAlMjBwZWVrJTIwc3RlcDE=
ssl_bump bump all

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

  • SslBump1 — получение открытой информации о соединении (из сертификатов и http-запроса);
  • SslBump2 — передача Hello info клиента (создание соединения с сервером);
  • SslBump3 — получение Hello info сервера (создание соединения с клиентом);

JUQwJTk4JTIwJUQwJUI0JUQwJUJCJUQxJThGJTIwJUQwJUJBJUQwJUIwJUQwJUI2JUQwJUI0JUQwJUJFJUQwJUIzJUQwJUJFJTIwJUQwJUI4JUQwJUI3JTIwJUQxJThEJUQxJTgyJUQwJUI4JUQxJTg1JTIwJUQxJThEJUQxJTgyJUQwJUIwJUQwJUJGJUQwJUJFJUQwJUIyJTIwJUQwJUJDJUQwJUJFJUQwJUI2JUQwJUJEJUQwJUJFJTIwJUQwJUJFJUQwJUJGJUQxJTgwJUQwJUI1JUQwJUI0JUQwJUI1JUQwJUJCJUQwJUI4JUQxJTgyJUQxJThDJTJDJTIwJUQxJTg3JUQxJTgyJUQwJUJFJTIwU3F1aWQlMjAlRDAlQjElRDElODMlRDAlQjQlRDAlQjUlRDElODIlMjAlRDAlQjQlRDAlQjUlRDAlQkIlRDAlQjAlRDElODIlRDElOEMlMjBjJTIwJUQwJUI3JUQwJUIwJUQwJUJGJUQxJTgwJUQwJUJFJUQxJTgxJUQwJUIwJUQwJUJDJUQwJUI4JTIwJUQwJUJBJUQwJUJCJUQwJUI4JUQwJUI1JUQwJUJEJUQxJTgyJUQwJUJFJUQwJUIyJTNB

  • splice — пропустить все последующие действия, создается TCP-туннель, без ssl-bump.
  • peek — подсмотреть всю доступную информацию без ssl-bump.
  • terminate — закрыть соединение.
  • bump — ssl-bump соединения, сделать https видимым как http

После внесенных изменений не забываем перезапустить службу Squid

JTJGZXRjJTJGc3F1aWQlMkZzcXVpZCUyMHJlc3RhcnQ=
 

ПОНРАВИЛАСЬ ИЛИ ОКАЗАЛАСЬ ПОЛЕЗНОЙ СТАТЬЯ, ПОДДЕРЖИ АВТОРА ДОНАТОМ

Обсуждение

1 комментариев
  • Конвертируем сертификат формата DER для импорта на пользовательские системы:
    openssl x509 -outform der -in /etc/squid/squidca.crt -out squidca.crt

    Мы перезатираем исходный сертификат и засовываем der в squid?

    tls-cert=/etc/squid/squidca.crt

    Сделано всё по инструкции, der сертификат squidca.crt засунут пользователю, но в логах squid’а всё равно нет полного пути сайта, а просто:
    1675938244.720 11058 172.16.120.101 TCP_TUNNEL/200 4937 CONNECT ad.adriver.ru:443 — HIER_DIRECT/195.209.108.51 —
    1675938244.721 19770 172.16.120.101 TCP_TUNNEL/200 7342 CONNECT functional.events.data.microsoft.com:443 — HIER_DIRECT/20.189.173.9 —
    1675938244.721 9963 172.16.120.101 TCP_TUNNEL/200 1693 CONNECT yandex.ru:443 — HIER_DIRECT/5.255.255.60 —