FC2ブログ

下流ネットワークエンジニアの生活

上流工程を夢見る下流工程のネットワークエンジニアがネットワーク技術や資格、身の回りのことを情報発信! Juniper Cisco YAMAHA DELL D-Link AlaxalA F5 CCNA CCNP CCIE ネットワークスペシャリスト

指定期間 の記事一覧

CentOS7 SquidのSSLインターセプトの設定例 SSLインスペクション SSL復号化s

2018.05.29 (Tue)


我が家で動かしているCentOS7 SquidのSSLインターセプトの設定例

SSL復号化すると正常に閲覧できないドメイン等は、
復号化の除外設定をしています。

また、ClamAVと連携してウイルススキャンも実装しています。
















cat /etc/squid/squid.conf
----------------------------------------------------------------------------------
###ACLブラックリスト
acl blacklist dstdomain "/etc/squid/blacklist"

##ACL除外ドメイン
acl bump-bypass-dst-dom dstdomain .windowsupdate.com
acl bump-bypass-dst-dom dstdomain .microsoft.com
acl bump-bypass-dst-dom dstdomain .wustat.windows.com
acl bump-bypass-dst-dom dstdomain .icloud.com
acl bump-bypass-dst-dom dstdomain .apple.com
acl bump-bypass-dst-dom dstdomain .google.com
acl bump-bypass-dst-dom dstdomain .google.co.jp
acl bump-bypass-dst-dom dstdomain .clickpost.jp
acl bump-bypass-dst-dom dstdomain .wallet.yahoo.co.jp
acl bump-bypass-dst-dom dstdomain .bangumi.org
acl bump-bypass-dst-dom dstdomain .auth.login.yahoo.co.jp

#LAN側サブネット
acl lan src 192.168.10.0/23

acl step1 at_step SslBump1

acl SSL_ports port 443
acl Safe_ports port 80-90 # http
acl Safe_ports port 443 # https
acl Safe_ports port 1025-65535 # unregistered ports
acl CONNECT method CONNECT

acl NOCACHE src all
cache deny NOCACHE

error_directory /usr/share/squid/errors/ja

http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny manager
http_access deny blacklist
http_access allow lan

ssl_bump splice bump-bypass-dst-dom
ssl_bump bump lan

http_access deny all

sslproxy_cert_error allow all
sslproxy_flags DONT_VERIFY_PEER
sslproxy_options NO_SSLv2,SINGLE_DH_USE

http_port 3128 ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/etc/squid/cert.crt key=/etc/squid/cert.key

coredump_dir /var/spool/squid

refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320

request_header_access Referer deny all
request_header_access X-Forwarded-For deny all
request_header_access Via deny all
request_header_access Cache-Control deny all
visible_hostname unknown
forwarded_for off

icap_enable on
icap_send_client_ip on
icap_send_client_username on
icap_client_username_header X-Authenticated-User
icap_service service_req reqmod_precache bypass=1 icap://127.0.0.1:1344/squidclamav
adaptation_access service_req allow all
icap_service service_resp respmod_precache bypass=1 icap://127.0.0.1:1344/squidclamav
adaptation_access service_resp allow all

access_log /var/log/squid/access.log common
----------------------------------------------------------------------------------
スポンサーサイト



FortiGateのセッションをクリアする方法 すべてのセッションまたは特定のセッション CLI

2018.05.29 (Tue)

◯VDOM環境の場合はVDOMに遷移

config vdom
edit VDOM名




◯カレントセッション確認


FGT2000E # get system session status
The total number of sessions for the current VDOM: 4


FGT2000E # get system session list
PROTO EXPIRE SOURCE SOURCE-NAT DESTINATION DESTINATION-NAT
udp 73 10.0.0.200:44462 - 10.0.1.254:161 -
udp 73 10.0.0.200:49698 - 10.0.1.254:161 -
udp 73 10.0.0.200:52823 - 10.0.1.254:161 -
udp 73 10.0.0.200:57240 - 10.0.1.254:161 -












◯特定のセッションをクリア

まずはセッションクリアしたい通信をフィルタする

フィルタ一覧
------------------------------------------------------------------
FGT2000E # diagnose sys session filter ?
vd Index of virtual domain. -1 matches all.
sintf Source interface.
dintf Destination interface.
src Source IP address.
nsrc NAT'd source ip address
dst Destination IP address.
proto Protocol number.
sport Source port.
nport NAT'd source port
dport Destination port.
policy Policy ID.
expire expire
duration duration
proto-state Protocol state.
session-state1 Session state1.
session-state2 Session state2.
clear Clear session filter.
negate Inverse filter.
------------------------------------------------------------------



宛先ポート161をクリアするためのフィルタを定義

diagnose sys session filter dport 161



セッションクリア実行

FGT2000E # diagnose sys session clear



カレントセッション確認

FGT2000E # get system session list
PROTO EXPIRE SOURCE SOURCE-NAT DESTINATION DESTINATION-NAT







◯すべてのセッションをクリア

セッションフィルタをクリア

FGT2000E # diagnose sys session filter clear


セッションクリア実行

FGT2000E # diagnose sys session clear

※SSHセッションもクリアされるので要注意


SquidのACL修正でエラー FATAL: Bungled /etc/squid/squid.conf

2018.05.28 (Mon)

プロキシサーバsquidのブラックリストの編集をして、
Squidのリスタートをかけようとしたらエラーとなった。

[root@proxy-1 adm]# systemctl restart squid
Job for squid.service failed because the control process exited with error code. See "systemctl status squid.service" and "journalctl -xe" for details.














原因特定のためにログを確認


[root@proxy-1 adm]# journalctl -xe
-- The result is failed.
5月 28 11:23:46 proxy-1 systemd[1]: Unit squid.service entered failed state.
5月 28 11:23:46 proxy-1 systemd[1]: squid.service failed.
5月 28 11:23:58 proxy-1 polkitd[603]: Registered Authentication Agent for unix-process:1095:275337 (system bus name :1.24 [/usr/bin/pkttyagent --notif
5月 28 11:23:58 proxy-1 squid[1104]: ERROR: 'a.example.com' is a subdomain of 'example.com
5月 28 11:23:58 proxy-1 squid[1104]: FATAL: Bungled /etc/squid/squid.conf line 5: acl blacklist dstdomain "/etc/squid/blacklist"
5月 28 11:23:58 proxy-1 squid[1104]: Squid Cache (Version 3.5.27): Terminated abnormally.
5月 28 11:23:58 proxy-1 squid[1104]: CPU Usage: 0.008 seconds = 0.004 user + 0.004 sys
5月 28 11:23:58 proxy-1 squid[1104]: Maximum Resident Size: 29056 KB
5月 28 11:23:58 proxy-1 squid[1104]: Page faults with physical i/o: 0
5月 28 11:23:58 proxy-1 squid[1104]: Bungled /etc/squid/squid.conf line 5: acl blacklist dstdomain "/etc/squid/blacklist"
5月 28 11:23:58 proxy-1 polkitd[603]: Unregistered Authentication Agent for unix-process:1095:275337 (system bus name :1.24, object path /org/freedesk
5月 28 11:23:58 proxy-1 systemd[1]: squid.service: control process exited, code=exited status=1
5月 28 11:23:58 proxy-1 systemd[1]: Failed to start Squid Web Proxy Server.
-- Subject: Unit squid.service has failed



問題と鳴っているブラックリストの一覧

[root@proxy-1 adm]# cat /etc/squid/blacklist
a.example.com
b.example.com
c.example.com
d.example.com
.example.com <- 今回追加したのはコレ



原因はログにあるとおり、
「ERROR: 'a.example.com' is a subdomain of 'example.com」


「a.example.com」は「example.com」のサブドメインだよ!
と言っている。

なるほど、重複設定になるのでイケないというわけか。

Squid初心者がハマった事件でした。


 | HOME |  Next »