Squid3 Proxy Server ssl-bump блокирование соединений через Интернет

Я только что настроил Squid Server 3.5.26 на Ubuntu 16.04.2 LTS, настроенный с помощью SSL-bump. Http и Https работают нормально, но любая веб-служба, которая требует, чтобы веб-сокеты терпела неудачу, например, тест скорости.

Я добавил следующие строки в конфигурацию моего squid, пытаясь принудительно установить прямое соединение и предотвратить SSL-кеширование для соединений веб-сокетов.

#Temporarily allow all connections for debugging http_access allow all acl bump-bypass dstdomain 192.168.0.245 .speedtest.net # URL's contains ws (most web socket urls do) acl ssl-web-sockets SSL::server_name_regex \/ws acl step1 at_step SslBump1 ssl_bump peek step1 ssl_bump splice bump-bypass ssl-web-sockets tcp-web-sockets #I Read that there was a bug in bump that required !explicity #for splice to work for web sockets ssl_bump bump !ssl-web-sockets all #just bump all doesn't work either #ssl_bump bump all

Если отключить ssl-bump и не расшифровать зашифрованный трафик, все будет работать нормально.

Как настроить кальмаров, чтобы разрешить прямую веб-связь socket [? d3]

Обновить

Обновлено до Squid Server 4.0.21 и добавлено в config

on_unsupported_protocol tunnel all

В документации говорится, что это должно разрешать TCP-туннельные соединения

К сожалению, это не исправило проблему, все еще получая ошибку веб-сокета

Connection closed before receiving a handshake response
1
задан 17 July 2017 в 12:55

2 ответа

К счастью, в моей конфигурации speedtes.net работает нормально. Моя конфигурация находится здесь:

acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 all ssl_bump peek step2 all ssl_bump bump all

Теперь step3 acl не является обязательным, но в этой конфигурации не является «белым списком» (не набитым списком url).

Я ничего не делаю, но я использую это на Debian 8.7.

0
ответ дан 18 July 2018 в 10:19

К счастью, в моей конфигурации speedtes.net работает нормально. Моя конфигурация находится здесь:

acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 all ssl_bump peek step2 all ssl_bump bump all

Теперь step3 acl не является обязательным, но в этой конфигурации не является «белым списком» (не набитым списком url).

Я ничего не делаю, но я использую это на Debian 8.7.

0
ответ дан 24 July 2018 в 19:32
  • 1
    Ах, это было хорошо, но я извиняюсь. Я обновил вопрос. Любые другие идеи? – maxhap 17 July 2017 в 12:48
  • 2
    speedtest.net или beta.speedtest.net? speedtest.net использует flash, который отлично работает для меня. Где, как bings seedtest и beta.speedtest.net, нет, поскольку они используют websockets. – maxhap 18 July 2017 в 16:07
  • 3
    Пробовал ваше предложение, все еще не работал для меня. Если бы вы могли попробовать beta.speedtest.net и сообщить мне, если это работает, это было бы потрясающе :) – maxhap 18 July 2017 в 18:04
  • 4
    Привет, я в отпуске, но я что-то вспомнил. Я не могу попробовать это сейчас, но буду первой строкой ssl_bump splice bump-bypass ssl-web-sockets tcp-web-sockets! Давайте перед ssl_bump peek step1! Интересно, как это работает? – József Venczel 27 July 2017 в 23:24

Другие вопросы по тегам:

Похожие вопросы: