Я только что настроил Squid Server 3.5.26 на Ubuntu 16.04.2 LTS, настроенный с помощью SSL-bump. Http и Https работают нормально, но любая веб-служба, которая требует, чтобы веб-сокеты терпела неудачу, например, тест скорости.
Я добавил следующие строки в конфигурацию моего squid, пытаясь принудительно установить прямое соединение и предотвратить SSL-кеширование для соединений веб-сокетов.
#Temporarily allow all connections for debugging
http_access allow all
acl bump-bypass dstdomain 192.168.0.245 .speedtest.net
# URL's contains ws (most web socket urls do)
acl ssl-web-sockets SSL::server_name_regex \/ws
acl step1 at_step SslBump1
ssl_bump peek step1
ssl_bump splice bump-bypass ssl-web-sockets tcp-web-sockets
#I Read that there was a bug in bump that required !explicity
#for splice to work for web sockets
ssl_bump bump !ssl-web-sockets all
#just bump all doesn't work either
#ssl_bump bump all
Если отключить ssl-bump и не расшифровать зашифрованный трафик, все будет работать нормально.
Как настроить кальмаров, чтобы разрешить прямую веб-связь socket [? d3]
Обновить
Обновлено до Squid Server 4.0.21 и добавлено в config
on_unsupported_protocol tunnel all
В документации говорится, что это должно разрешать TCP-туннельные соединения
К сожалению, это не исправило проблему, все еще получая ошибку веб-сокета
Connection closed before receiving a handshake response
К счастью, в моей конфигурации speedtes.net работает нормально. Моя конфигурация находится здесь:
acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 all ssl_bump peek step2 all ssl_bump bump allТеперь step3 acl не является обязательным, но в этой конфигурации не является «белым списком» (не набитым списком url).
Я ничего не делаю, но я использую это на Debian 8.7.
К счастью, в моей конфигурации speedtes.net работает нормально. Моя конфигурация находится здесь:
acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 all ssl_bump peek step2 all ssl_bump bump allТеперь step3 acl не является обязательным, но в этой конфигурации не является «белым списком» (не набитым списком url).
Я ничего не делаю, но я использую это на Debian 8.7.