Montando um Servidor Squid 3 Transparent com SSL e SSLCRT
1. Montando um Servidor Squid 3 Transparent com SSL e SSLCRT
lucas peregrino
(usa Debian)
Enviado em 19/03/2013 - 14:28h
Bom dia a todos, venho aqui compartilha com o vivão uma coisa a qual estou precisando de mais de ajuda e com toda a pesquisa em que estou fazendo graça ao google estou achando algumas respostas mas muito superficial ao que preciso com isso vou esta mostrando a forma de instala o squid3 com ssl e sslcrt e logo após deixarei minha duvida também.Assim como aqui no vivão agradeço a todas as matérias que achei e inclusive estarei citando textos escritos por companheiros daqui peso desculpa já se não explicar detalhadamente pois eu não tenho muita pratica a descrever com tudo tentar deixa o mais prevê possível para todos e se tiverem duvida peso que me perguntem.
Realizei os devidos testes no Debian 6, 7 e no Ubuntu server 12.04 LTS
Primeiro passo:
Teremos que compilar o Ubuntu para que possa rodar forma que precisamos, com isso preste bastante atenção pois a alma do negocio esta aqui no inicio.
No terminal log com o root da maquina.
# apt-get install devscripts build-essential fakeroot openssl libssl-dev
# mkdir teste
# cd teste
Assim como todo tópico do vivão estarei mostrado os demais comandos.
# apt-get source squid3
# build-dep squid3
Ate aqui como pode ver tudo igual a qualquer outro tópico do vivão agora que começar a brincadeira.
No Debian a versão liberada do squid3 seria = squid3-3.1.6
No Ubuntu a verão liberada do squid3 seria = squid-3.1.19
Independete da versão ou sistema que vocês escolham trabalha ambos os modos funcionam, pois já testei, estarei fazendo com Ubuntu pois já esta tudo preparado o caminho.
Após ver qual a versão que ira trabalhar entre no site http://www.squid-cache.org/Versions/v3/3.1/
La estará a lista das versões do squid3 3.1 e veja qual a mais recente hoje seria squid-3.1.23.
Na pasta onde foi baixanda o source do squid3 baixei a versão atual do site.
# wget http://www.squid-cache.org/Versions/v3/3.1/squid-3.1.23.tar.gz
após baixar tar xf squid-3.1.23.tar.gz
Após extrair o squid3 vamos entra na pasta, como já o processo o negocio e você copiar os arquivos do squid3 do
debian ou Ubuntu para pasta nova de origem que seria squid-3.1.23
A lista de arquivos que devem copiar
config.log
config.status
debian
libtool
Makefile
Todos esses arquivos vão ser copiados da pasta do squid3 do source seja o debian squid3-3.1.6 ou Ubuntu squid-3.1.19
Bem após copiar os devidos arquivos para pasta do squid-3.1.23 ai vem o pulo do gato.
# rm -R squid-3.1.19
# rm -R squid3_3.1.19.orig.tar.gz
# mv squid-3.1.2 squid-3.1.19
# mv squid-3.1.23.tar.gz squid3_3.1.19.orig.tar.gz
# cd squid-3.1.19
# vi debian/rules
Dentro do arquivo rules logo abaixo de --enable-follow-x-forwarded-for \ acrescente.
--enable-ssl \
--enable-ssl-crtd \
:wq para sair e salvar
Não se vão se pergunta porque o trabalho de fazer isso só que nas versões atuais do squid3 no debian e no Ubuntu se você marca --enable-ssl-crtd ele não compila o pacote devido erro da versão já na atual esse erro já foi corrigido.
Após isso vamos começar a compilar e muita atenção
# ./configure
Após rodas o configure você vera que vai copilar o make perfeitamente so que não vamos utilizamos após termina execute o comando.
# debuild -us -uc –b
Após executar esse comando vera que vai da um erro ao começar a compilar os arquivos mas não assuste e norma no
voltar para terminal só você executar o comando novamente
# debuild -us -uc –b
Após o fim do processo que vai demorar um pouco nos últimos arquivos ele vão dar erro e novamente não assuste.
Com isso ao você sair da pasta vera que os arquivos .deb foram criados perfeitamente só que muita atenção os únicos arquivos que vocês usaram serão. Aqui mostrarei o do Ubuntu mais no debian e mesma coisa.
squid3_3.1.19-1ubuntu3.12.04.2_amd64.deb
squid3-common_3.1.19-1ubuntu3.12.04.2_all.deb
Mas tem uma surpresa vocês verão que vão ter 2 arquivos squid3_3.1.19-1ubuntu3.12.04.2_amd64.deb com isso olhem qual e o maior pois ele vai da tamanho de 16 mb achando o arquivo certo ou mova para outra pasta ou exclua o arquivos menor da o mesmo.
Após isso vamos instalar os arquivos.
# dpkg -i squid3_3.1.19-1ubuntu3.12.04.2_amd64.deb squid3-common_3.1.19-1ubuntu3.12.04.2_all.deb
Após a instalação
Com squid instalado
# /usr/lib/squid3/ssl_crtd -c -s /var/lib/ssl_db
# chown -R nobody /var/lib/ssl_db
Vamos criar os certificados agora.
# mkdir /etc/squid3/ssl
# cd /etc/squid3/ssl
# openssl req -new -newkey rsa:1024 -days 365 -nodes -x509 -keyout myCA.pem -out myCA.pem
# openssl x509 -in myCA.pem -outform DER -out myCA.der
Pronto a parte de certifição do squid3 esta monstada agora vamos mecher no squid.conf
# vi /etc/squid3/squid.conf
Como disse no inicio estou fazendo de tudo para conseguir fazer squid com ssl funcionar pois depende de mais de proxy transparente so que cada dia que passa funcionários ficam entrando no facebook e isso ta matando.
https_port 3129 transparent ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/etc/squid3/ssl/myCA.pem
E temos que acrescentar tb no squid
sslcrtd_program /usr/lib/squid3/ssl_crtd -s /var/lib/ssl_db -M 4MB
sslcrtd_children 5
# Regras do SSL
always_direct allow all
ssl_bump allow all
sslproxy_cert_error allow all
sslproxy_capath /etc/squid3/ssl/
sslproxy_flags DONT_VERIFY_PEER
:wq salvar e sair
Com isso deixo as regras a qual pois cada um tem um squid.conf como modelo para não complicar a cabeça.
Sendo assim so falta o iptables $ip_rede = Rede Local
iptables -t nat -A PREROUTING -p tcp -s $ip_rede --dport 443 -j REDIRECT --to-port 3129
E pronto assim verão que irar funcionar o squid3 com ssl.
Mas agora que vem o meu problema estou tendo problema realmente e com o certificado que squid, pois nem todos os sites o reconhecem como um certificado com isso peso ajuda, pois e que fala para que essa ferramenta funcione.
Lembrando dessa forma eu so não consegui acessar site gmail e Hotmail estando liberados o resto ate agora esta funcionado mais se alguém poder me ajudar fico grato.