Tommy 碎碎念

Tommy Wu's blog

« 上一篇 | 下一篇 »

讓 squid 支援 https_port
post by tommy @ 01 八月, 2013 11:03

因為 Android 上頭的 ProxyDroid 有支援 https 的 proxy 協定 (是指連到 proxy server 使用 https 的方式, 不是指要用 https 的方式連到別的網站), 發現 squid 應該也有支援才對, 昨天就試著設定一下. 結果.... Debian 上頭的 Squid 並沒有使用 --enable-ssl 來編譯, 所以並不認得 https_port 這個設定.

後來就先用 stunnel 來轉, 用是可以用... 不過, 發現這樣子反而會有安全問題, 因為 stunnel 本身並沒有處理連線的授權認證, 會直接把連線轉到 squid 上頭.... 這時, 對 squid 來說, 反而是變成內部網路的連線, 就不用認證了.... 變成只要知道 stunnel 是那個 port, 就能使用.

所以... 還是得要透過 squid 本身來處理才可以. 就自己編譯吧.

第一次做出來的版本, 發現一執行就當了, log 裡頭出現:

2013/07/31 08:35:29 kid1| sendto FD 14: (1) Operation not permitted
2013/07/31 08:35:29 kid1| ipcCreate: CHILD: hello write test failed

就沒回應了.

查了一下 google, 發現類似的問題不少, 不過沒看到有人有解決方法.... 找了很久才看到這篇, 有提到把 --enable-icmp 拿掉就可以.... 照著再編一次, 這次果然就可以了.

至於 https_port 的設定方式, 其實很簡單.... 如果你的憑證是 public key 與 private key 放同一個檔案的, 就用下面的方式設定:

https_port 8080 cert=/etc/ssl/private/squid.pem

如果你的 public key 與 private key 是分開的檔案, 就用下面的方式設定:

https_port 8081 cert=/etc/ssl/certs/squid.crt key=/etc/ssl/private/squid.key

設定好重新執行 squid 就可以了.

Del.icio.us Furl HEMiDEMi Technorati MyShare
迴響
暱稱:
標題:
個人網頁:
電子郵件:
迴響

  

Bad Behavior 已經阻擋了 95 個過去 7 天試圖闖關的垃圾迴響與引用。
Power by LifeType. Template design by JamesHuang. Valid XHTML and CSS