Advertisement
Not a member of Pastebin yet?
Sign Up,
it unlocks many cool features!
- acl localnet src 192.168.91.0/24 # RFC1918 possible internal network
- acl SSL_ports port 443
- acl Safe_ports port 80 # http
- acl Safe_ports port 21 # ftp
- acl Safe_ports port 443 # https
- acl Safe_ports port 70 # gopher
- acl Safe_ports port 210 # wais
- acl Safe_ports port 1025-65535 # unregistered ports
- acl Safe_ports port 280 # http-mgmt
- acl Safe_ports port 488 # gss-http
- acl Safe_ports port 591 # filemaker
- acl Safe_ports port 777 # multiling http
- acl CONNECT method CONNECT
- dns_nameservers 8.8.8.8
- http_access deny !Safe_ports
- http_access deny CONNECT !SSL_ports
- http_access allow localhost manager
- http_access deny manager
- http_access allow localnet
- http_access allow localhost
- http_access deny all
- #прозрачный порт указывается опцией intercept
- http_port 192.168.91.14:3128 intercept options=NO_SSLv3:NO_SSLv2
- #также нужно указать непрозрачный порт, ибо если захотите вручную указать адрес
- #прокси в браузере, указав прозрачный порт, вы получите ошибку доступа, поэтому нужно
- #указывать непрозрачный порт в браузере, если конечно такое желание будет, к тому же в логах #сыпятся ошибки о том, что непрохрачный порт не указан=)
- http_port 192.168.91.14:3130 options=NO_SSLv3:NO_SSLv2
- #и наконец, указываем HTTPS порт с нужными опциями
- https_port 192.168.91.14:3129 intercept ssl-bump options=ALL:NO_SSLv3:NO_SSLv2 connection-auth=off cert=/etc/squid/squidCA.pem
- always_direct allow all
- sslproxy_cert_error allow all
- sslproxy_flags DONT_VERIFY_PEER
- #укажем правило со списком блокируемых ресурсов (в файле домены вида .domain.com)
- acl blocked ssl::server_name "/etc/squid/blocked_https.txt"
- acl step1 at_step SslBump1
- ssl_bump peek step1
- #терминируем соединение, если клиент заходит на запрещенный ресурс
- ssl_bump terminate blocked
- ssl_bump splice all
- sslcrtd_program /usr/lib/squid/ssl_crtd -s /var/lib/ssl_db -M 4MB
- coredump_dir /var/spool/squid
- refresh_pattern ^ftp: 1440 20% 10080
- refresh_pattern ^gopher: 1440 0% 1440
- refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
- refresh_pattern . 0 20% 4320
- cache_dir aufs /var/spool/squid 20000 49 256
- maximum_object_size 61440 KB
- minimum_object_size 3 KB
- cache_swap_low 90
- cache_swap_high 95
- maximum_object_size_in_memory 512 KB
- memory_replacement_policy lru
- logfile_rotate 4
Advertisement
Add Comment
Please, Sign In to add comment
Advertisement