FC2ブログ

下流ネットワークエンジニアの生活

上流工程を夢見る下流工程のネットワークエンジニアがネットワーク技術や資格、身の回りのことを情報発信! Juniper Cisco YAMAHA DELL D-Link AlaxalA F5 CCNA CCNP CCIE ネットワークスペシャリスト

Squid の記事一覧

CentOS7 SquidのSSLインターセプトの設定例 SSLインスペクション SSL復号化s

2018.05.29 (Tue)


我が家で動かしているCentOS7 SquidのSSLインターセプトの設定例

SSL復号化すると正常に閲覧できないドメイン等は、
復号化の除外設定をしています。

また、ClamAVと連携してウイルススキャンも実装しています。
















cat /etc/squid/squid.conf
----------------------------------------------------------------------------------
###ACLブラックリスト
acl blacklist dstdomain "/etc/squid/blacklist"

##ACL除外ドメイン
acl bump-bypass-dst-dom dstdomain .windowsupdate.com
acl bump-bypass-dst-dom dstdomain .microsoft.com
acl bump-bypass-dst-dom dstdomain .wustat.windows.com
acl bump-bypass-dst-dom dstdomain .icloud.com
acl bump-bypass-dst-dom dstdomain .apple.com
acl bump-bypass-dst-dom dstdomain .google.com
acl bump-bypass-dst-dom dstdomain .google.co.jp
acl bump-bypass-dst-dom dstdomain .clickpost.jp
acl bump-bypass-dst-dom dstdomain .wallet.yahoo.co.jp
acl bump-bypass-dst-dom dstdomain .bangumi.org
acl bump-bypass-dst-dom dstdomain .auth.login.yahoo.co.jp

#LAN側サブネット
acl lan src 192.168.10.0/23

acl step1 at_step SslBump1

acl SSL_ports port 443
acl Safe_ports port 80-90 # http
acl Safe_ports port 443 # https
acl Safe_ports port 1025-65535 # unregistered ports
acl CONNECT method CONNECT

acl NOCACHE src all
cache deny NOCACHE

error_directory /usr/share/squid/errors/ja

http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny manager
http_access deny blacklist
http_access allow lan

ssl_bump splice bump-bypass-dst-dom
ssl_bump bump lan

http_access deny all

sslproxy_cert_error allow all
sslproxy_flags DONT_VERIFY_PEER
sslproxy_options NO_SSLv2,SINGLE_DH_USE

http_port 3128 ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/etc/squid/cert.crt key=/etc/squid/cert.key

coredump_dir /var/spool/squid

refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320

request_header_access Referer deny all
request_header_access X-Forwarded-For deny all
request_header_access Via deny all
request_header_access Cache-Control deny all
visible_hostname unknown
forwarded_for off

icap_enable on
icap_send_client_ip on
icap_send_client_username on
icap_client_username_header X-Authenticated-User
icap_service service_req reqmod_precache bypass=1 icap://127.0.0.1:1344/squidclamav
adaptation_access service_req allow all
icap_service service_resp respmod_precache bypass=1 icap://127.0.0.1:1344/squidclamav
adaptation_access service_resp allow all

access_log /var/log/squid/access.log common
----------------------------------------------------------------------------------
スポンサーサイト



SquidのACL修正でエラー FATAL: Bungled /etc/squid/squid.conf

2018.05.28 (Mon)

プロキシサーバsquidのブラックリストの編集をして、
Squidのリスタートをかけようとしたらエラーとなった。

[root@proxy-1 adm]# systemctl restart squid
Job for squid.service failed because the control process exited with error code. See "systemctl status squid.service" and "journalctl -xe" for details.














原因特定のためにログを確認


[root@proxy-1 adm]# journalctl -xe
-- The result is failed.
5月 28 11:23:46 proxy-1 systemd[1]: Unit squid.service entered failed state.
5月 28 11:23:46 proxy-1 systemd[1]: squid.service failed.
5月 28 11:23:58 proxy-1 polkitd[603]: Registered Authentication Agent for unix-process:1095:275337 (system bus name :1.24 [/usr/bin/pkttyagent --notif
5月 28 11:23:58 proxy-1 squid[1104]: ERROR: 'a.example.com' is a subdomain of 'example.com
5月 28 11:23:58 proxy-1 squid[1104]: FATAL: Bungled /etc/squid/squid.conf line 5: acl blacklist dstdomain "/etc/squid/blacklist"
5月 28 11:23:58 proxy-1 squid[1104]: Squid Cache (Version 3.5.27): Terminated abnormally.
5月 28 11:23:58 proxy-1 squid[1104]: CPU Usage: 0.008 seconds = 0.004 user + 0.004 sys
5月 28 11:23:58 proxy-1 squid[1104]: Maximum Resident Size: 29056 KB
5月 28 11:23:58 proxy-1 squid[1104]: Page faults with physical i/o: 0
5月 28 11:23:58 proxy-1 squid[1104]: Bungled /etc/squid/squid.conf line 5: acl blacklist dstdomain "/etc/squid/blacklist"
5月 28 11:23:58 proxy-1 polkitd[603]: Unregistered Authentication Agent for unix-process:1095:275337 (system bus name :1.24, object path /org/freedesk
5月 28 11:23:58 proxy-1 systemd[1]: squid.service: control process exited, code=exited status=1
5月 28 11:23:58 proxy-1 systemd[1]: Failed to start Squid Web Proxy Server.
-- Subject: Unit squid.service has failed



問題と鳴っているブラックリストの一覧

[root@proxy-1 adm]# cat /etc/squid/blacklist
a.example.com
b.example.com
c.example.com
d.example.com
.example.com <- 今回追加したのはコレ



原因はログにあるとおり、
「ERROR: 'a.example.com' is a subdomain of 'example.com」


「a.example.com」は「example.com」のサブドメインだよ!
と言っている。

なるほど、重複設定になるのでイケないというわけか。

Squid初心者がハマった事件でした。


CentOS7 Squid 3.5 でSSLinterceptをしようとしたらエラーとなった

2017.08.19 (Sat)
CentOS7 Squid 3.5 でSSLinterceptをしようとしたらエラーとなった


● squid.service - Squid Web Proxy Server
Loaded: loaded (/usr/lib/systemd/system/squid.service; enabled; vendor preset: disabled)
Active: active (running) since 土 2017-08-19 10:32:23 JST; 1s ago
Docs: man:squid(8)
Process: 1194 ExecStop=/usr/sbin/squidshut.sh (code=exited, status=1/FAILURE)
Process: 1207 ExecStart=/usr/sbin/squid -sYC (code=exited, status=0/SUCCESS)
Process: 1205 ExecStartPre=/usr/bin/chown squid.squid /var/run/squid (code=exited, status=0/SUCCESS)
Process: 1204 ExecStartPre=/usr/bin/mkdir -p /var/run/squid (code=exited, status=0/SUCCESS)
Main PID: 1211
CGroup: /system.slice/squid.service
mq1209 /usr/sbin/squid -sYC

8月 19 10:32:23 proxy squid[1211]: WARNING: ssl_crtd #Hlpr1 exited
8月 19 10:32:23 proxy squid[1211]: Too few ssl_crtd processes are running (need 1/32)
8月 19 10:32:23 proxy squid[1211]: Closing HTTP port [::]:3128
8月 19 10:32:23 proxy squid[1211]: storeDirWriteCleanLogs: Starting...
8月 19 10:32:23 proxy squid[1211]: Finished. Wrote 0 entries.
8月 19 10:32:23 proxy squid[1211]: Took 0.00 seconds ( 0.00 entries/sec).
8月 19 10:32:23 proxy squid[1211]: The ssl_crtd helpers are crashing too rapidly, need help!
8月 19 10:32:23 proxy systemd[1]: squid.service: Supervising process 1211 which is not our child. We'll most likely n... exits.
8月 19 10:32:23 proxy systemd[1]: Started Squid Web Proxy Server.
8月 19 10:32:23 proxy squid[1209]: Squid Parent: (squid-1) process 1211 exited with status 1
Hint: Some lines were ellipsized, use -l to show in full.







現在調査中

 | HOME |