Kaspersky Web Traffic Security 6.1 Версия: 6.1.0.4762
Debian Linux 11 - Linux 5.10.0-13-amd64 on x86_64
на сервере 2 сетевых интерфейса
1 eno1: inet 192.168.7.3/24 brd 192.168.7.255 — Wan тот что смотрит в интернет
2 eno2: inet 192.168.3.1/24 brd 192.168.3.255 — Lan тот что смотрит в сеть
на клиенской машине
eno2: inet 192.168.3.5/24 brd 192.168.3.255
в веб интерфейсе нет пункта Параметры → Встроенный прокси-сервер
в инструкции написано
"Управление параметрами встроенного прокси-сервера в веб-интерфейсе программы
При развертывании ISO-образа Kaspersky Web Traffic Security вы можете управлять параметрами встроенного прокси-сервера через веб-интерфейс программы."
Есть 2 варианта вопроса
1) Глупый вопрос.. но лучше его задам. если ставить Kaspersky Web Traffic Security на реальную машину то он рулить правами сквид не будет?? то есть будет обычным антивирусом? не списки с рейтингами сайтов.. не отчёты.. ничего
2) Надеюсь что просто я что то не так делаю?
так как squidview видит соединение и https работает
168.3.5 1 https://rr8---sn-gvnuxaxjvh-gv8l.googlevideo.com/videoplayback?
168.3.5 1 https://rr8---sn-gvnuxaxjvh-gv8l.googlevideo.com/videoplayback?
168.3.5 0 www.youtube.com:443
168.3.5 https://www.youtube.com/youtubei/v1/next?
168.3.5 1 https://rr8---sn-gvnuxaxjvh-gv8l.googlevideo.com/videoplayback?
168.3.5 0 yt3.ggpht.com:443
168.3.5 0 https://yt3.ggpht.com/ytc/AKedOLRjXp11hOaKGRW4fAKJS6Oihi3T4fepqsMHjiuzuw=s400-c-k-c0x00ffffff-no-rj
168.3.5 https://www.youtube.com/api/stats/qoe?
168.3.5 1 https://rr8---sn-gvnuxaxjvh-gv8l.googlevideo.com/videoplayback? .....
но касперский не видит ничего.. см скрин во вложении.. и с трафиком ничего не делает.. не режет по ip.. не по спискам с рейтингами сайтов..
может я что то делаю не так..
инструкция по которой ставил..
1) Запустите утилиту настройки локализации. Для этого выполните команду:
# dpkg-reconfigure locales
Откроется окно Configuring locales.
Выберите en_US.UTF8 и нажмите на кнопку OK.
В окне настройки языка по умолчанию выберите en_US.UTF-8 и нажмите на кнопку OK.
2 обновляемся и ставим необходимые пакеты
обновляем и ставим пакеты
# apt-get -y update && apt-get -y upgrade && apt-get -y install wget fish mc vim fakeroot build-essential devscripts libssl-dev libkrb5-dev libsasl2-dev openssl libssl-dev pkg-config locate ntpdate ntp net-tools python
2.1 установите правильные дату и время.
# ntpdate pool.ntp.br
3) ставим и запускаем nginx — для работы вэб интерфейса касперского
# apt -y install nginx && systemctl enable nginx && service nginx start && service nginx status
4) ставим сквид
hразрешаем порты в iptables
#
iptables -A INPUT -p tcp --dport 8080 -j ACCEPT && iptables -A INPUT -p tcp --dport 3128 -j ACCEPT && iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT && iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT && iptables -A INPUT -p tcp --dport 22 -j ACCEPT && iptables -A INPUT -p tcp --dport 9045 -j ACCEPT && iptables -A INPUT -p tcp --dport 1344 -j ACCEPT && iptables -A INPUT -p udp --dport 53 -j ACCEPT && iptables -A INPUT -p tcp --dport 443 -j ACCEPT && iptables -A INPUT -p tcp --dport 80 -j ACCEPT && iptables -A INPUT -p tcp --dport 705 -j ACCEPT && iptables -A INPUT -p tcp --dport 161 -j ACCEPT && iptables -A INPUT -p tcp --dport 162 -j ACCEPT && iptables -A INPUT -p tcp --dport 3128 -j ACCEPT && iptables -A INPUT -p tcp --dport 389 -j ACCEPT && iptables -A INPUT -p tcp --dport 363 -j ACCEPT && iptables -A INPUT -p tcp --dport 123 -j ACCEPT
создаём папки
# mkdir -p /var/log/squid && mkdir -p /etc/squid/ssl && chown proxy:proxy /var/log/squid && chown proxy:proxy /etc/squid/ssl && chmod 700 /var/log/squid && chmod 700 /etc/squid/ssl && mkdir -p /download && chmod 700 /download && cd /download
Ставим squid
качаем и распаковываем
собираем с параметрами для работы с SSL
# ./configure --prefix=/usr --localstatedir=/var --libexecdir=/usr/lib/squid --datadir=/usr/share/squid --sysconfdir=/etc/squid --enable-ssl-crtd --with-openssl --enable-translation --enable-cpu-profiling --disable-dependency-tracking -enable-delay-pools --enable-icmp --enable-linux-netfilter --with-large-files --enable-auth-negotiate=kerberos --with-default-user=proxy --with-logdir=/var/log/squid --with-pidfile=/var/run/squid.pid
# make
# make install
5 Настраиваем сквид на работу с сертификатом
нужно сделать символическую ссылку на запуск утилиты updatedb, связанной с locate
# updatedb
Добавьте конфигурацию KeyUsage в область V3_CA. Можно просто раскоментировать строку убрав символ # вначале нужной строки
Ps/ вместо можете vim использовать удобный вам текстовый редактор — nano, vi, emacs.. и т.д.
# vim /etc/ssl/openssl.cnf
[ v3_ca ]
keyUsage = cRLSign, keyCertSign
Создать самозаверяющий сертификат на 10 лет ?
# cd /etc/squid
# openssl req -new -newkey rsa:2048 -days 3650 -nodes -x509 -keyout bump.key -out bump.crt
# openssl x509 -in bump.crt -outform DER -out bump.der
Импортируйте файл bump.der в список доверенных корневых центров сертификации на компьютерах пользователей.
создаём папки если не созданы
# mkdir /usr/local/squid/etc/ssl_cert -p && chown proxy:proxy /usr/local/squid/etc/ssl_cert -R && chmod 700 /usr/local/squid/etc/ssl_cert -R && cd /usr/local/squid/etc/ssl_cert
Генерим файл параметров для алгоритма Diffie-Hellman. Для этого выполните команду:
# openssl dhparam -outform PEM -out /etc/squid/bump_dhparam.pem 2048
права
# chown proxy:proxy /etc/squid/bump* && chmod 400 /etc/squid/bump* && chown proxy:proxy /var/cache/squid/ && chmod 700 /var/cache/squid/
# mkdir -p /var/lib/squid
# rm -rf /var/lib/squid/ssl_db
# /usr/lib/squid/security_file_certgen -c -s /var/lib/squid/ssl_db -M 20MB
# chown -R proxy:proxy /var/lib/squid
настраиваем конфиг
# cp /etc/squid/squid.conf /download/squid.conf && echo '' >/etc/squid/squid.conf && vim /etc/squid/squid.conf
acl localnet src 192.168.3.0/24
acl step1 at_step SslBump1
ssl_bump peek step1
ssl_bump bump all
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
acl intermediate_fetching transaction_initiator certificate-fetching
http_access allow intermediate_fetching
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager
http_access allow localnet
http_access allow localhost
http_access deny all
http_port 3128 tcpkeepalive=60,30,3 ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=20MB tls-cert=/etc/squid/bump.crt tls-key=/etc/squid/bump.key cipher=HIGH:MEDIUM:!LOW:!RC4:!SEED:!IDEA:!3DES:!MD5:!EXP:!PSK:!DSS options=NO_TLSv1,NO_SSLv3,SINGLE_DH_USE,SINGLE_ECDH_USE tls-dh=prime256v1:/etc/squid/bump_dhparam.pem
#http_port 3128 tcpkeepalive=60,30,3 ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=20MB cert=/etc/squid/bump.crt key=/etc/squid/bump.key cipher=HIGH:MEDIUM:!LOW:!RC4:!SEED:!IDEA:!3DES:!MD5:!EXP:!PSK:!DSS options=NO_TLSv1,NO_SSLv3,NO_SSLv2,SINGLE_DH_USE,SINGLE_ECDH_USE tls-dh=prime256v1:/etc/squid/bump_dhparam.pe
sslcrtd_program /usr/lib/squid/security_file_certgen -s /var/lib/squid/ssl_db -M 20MB
coredump_dir /var/cache/squid
cache_dir ufs /var/cache/squid 1000 16 256 # 1GB as Cache
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320
error_directory /usr/share/squid/errors/ru
sslproxy_cert_error allow all
ssl_bump stare all
# vim /etc/init.d/squid
кидаем скрипт загрузки.. выкладывать не буду
Делаем скрипт исполняемым и добавляем в автозагрузку:
# chmod a+x /etc/init.d/squid && update-rc.d squid defaults
# service squid start && service squid status
сертификат в доверенные в браузер на пользовательских машинах
/etc/squid/bump.crt
#####################################################################
смотрим логи
apt install squidview
sudo squidview
