Всем привет!
Часто в организациях используем разного рода прокси, прокси как составляющая программного шлюза или самостоятельный классический вариант squid + анализатор логов и т.п.
Мы пытались внедрить решение от Ideco и ИКС, в итоге остановились на squid. Под катом история пути и техническая информация по настройке старого доброго кальмара.
Читать полностью »
Привет %username%,
Сегодня я хотел бы рассказать про достаточно тривиальную задачу сбора логов с децентрализованных Squid proxy серверов и подводные камни с которыми мы столкнулись.
Что имеем:
Как готовить кальмара, думаю что не я один сталкивался с задачей настройки Squid'а для разграничения доступа сотрудникам предприятия, но при этом он должен быть «прозрачным». Другими словами конфигурация показанная далее удовлетворяет трём условиям:
Введение
Всем хороши плагины для обхода блокировок вроде популярного friGate, но есть у них один минус — любят встраивать свою рекламу и в перспективе следить за всем, что вы делаете в интернете.
Вариант с VPN имеет свои недостатки: либо весь трафик будет ходить через удаленный сервер, либо придется заниматься относительно сложной настройкой роутинга.
Туннелирование с использованием ssh, который предоставляет SOCKS-интерфейс при запуске с ключом -D — другой весьма популярный способ, однако на постоянно засыпающем и просыпающемся ноутбуке туннель приходится каждый раз перезапускать.
Есть решения вроде autossh, но настоящего перфекциониста они не удовлетворят.
Попробуем добиться удобства, аналогичного friGate с использованием сервисов, находящихся полностью под нашим контролем.
Нам понадобятся: выделенный сервер с Linux/FreeBSD (я использовал Ubuntu), letsencrypt, squid и немного магии PAC-файлов.
Squid поддерживает шифрованое соединение с браузером — именно то, что нужно для такого случая.
Эта возможность почему-то практически неизвестна широкой публике, поэтому появился этот пост.
Почти ровно год назад пришел на новую работу, собственно как и полагалось дали мне объект, ранее если работал, то не в области администрирования. Объект покажется здесь многим, скорее всего не такой уже и большой.
На объекте примерно 80 машин, 80+-3 принтеров и 4 ксерокса. На объекте работают только бухгалтерия и юристы. Ну и как обычно полагается для обычной офисной работы (интернет, общая обменная папка, обмен мгновенными сообщениями).
С самого начало стояла старенькая машинка и умела она только раздавать интернет через CCcproxy и служила машинка ещё как обменная папка. На протяжение долго времени мне не давала покоя такая ситуация, были перепробованы и другие программные обеспечения для обеспечения интернета на рабочем месте (UserGate, Kerio Winroute) но лишний раз только убедился, что Windows Server это самое страшное, что может быть.
Собрав все свои силы, почитав сообщества пользователей Linux, нашел всю нужную информацию и приступил к работе. После осуществления задуманного и вздохнув спокойно, решил написать и поделиться своим опытом и в исходе написанного опыта надеюсь получить какие-то замечания для дальнейшего администрирования.
Читать полностью »
Приветствую.
Шифрованный веб-трафик вещь хорошая, но порой совершенно не ясно что пользователь там, внутри, делает. При заходе на любой https ресурс через squid, в логи записывается достаточно строк подобного вида:
1330231066.104 10 172.26.27.8 TCP_MISS/200 390 CONNECT mail.google.com:443 — HIER_DIRECT/173.194.32.54 —
1330241192.883 9 172.26.27.97 TCP_MISS/200 390 CONNECT mc.yandex.ru:443 — HIER_DIRECT/213.180.193.119 —
Видно, что в определённое время пользователи зашли на gmail и яндекс. В принципе вот и всё что мы видим из логов. Но не понятно выполнялся ли GET или POST запрос, не видно полных урлов, ни размеров файлов. Так же нет возможности проверить ssl трафик антивирусной программой либо какими content inspection программами.
В этой статье я хочу описать возможность squid'а «разламывать» ssl соединение и иметь хоть какой-то обзор происходящего в https трафике.
