Roskomnadzorロックをバイパスする透過的なHTTPSプロキシ

こんにちは、ハブロフスク市民！ Roskom が監督の恥のテレグラムをブロックしようとするため、必要なリソースへのアクセスに関する問題に最近遭遇した人は多いと思います。 そして、ここでのコメントは不要だと思います。 事実-これらのリソースは何のせいでもありませんが、ブロックされています。 Viber、ReCaptcha、GoogleFonts、Youtubeなどで問題が発生しました（電報自体を除く）。 これは私の組織で起こり、私たちが空気として必要とする無実のサービスの一部です。 ある時点で、すべてがプロキシサーバーを使用して解決されましたが、それらは不安定であるか、完全にオフになりました（また、強力で強力なILVによってブロックされました）。



たくさんの記事を読んだ後、アイデアはSquidにTorを通して個々のURLを許可するように教えました。 そのような方法を使用するかどうかはあなた次第です。 しかし、実装後、それ以前の問題はすべて消えたと言います。 誰が気にしますか、私たちは猫の下に行きます。













だから、最初に、少し理論。 誰もが知っているように、TorはHTTPプロキシではなく、基盤となるSquidの直接のピアにすることはできません。 SOCKSプロキシを提供します（もちろん、これだけでなく、これが必要です）。 TorをSquidと結婚させるには、TorからSquidへ、またはその逆のコンダクターの役割を果たすことができる何かが必要です。 そしてもちろん、皆さん、これはPrivoxyです。 まったく同じように、彼は直接の仲間になり、すべてをTorに送ることができます。



私が言ったように、それはたくさんの記事が読まれましたが、私にふさわしいものはありませんでした。 この記事はここで出くわしましたが 、バンプは必要ないので、私にはあまり適していませんでした。 一般に、利用可能なすべての記事、ほとんどすべては、バンプまたはhttpのみのいずれかを意味し、私の場合はHTTPS、スプライス、および透明性が必要です。 また、 これとこれを見ましたが、まったく異なるアプローチがあります。 長所と短所。 私は自分でSquid + Torの束を選びました。



証明書のなりすましをせずにHTTPSプロキシを使用して透過的なSquidを作成する方法についてはすでに書いています。 そしてもちろん、私はそれにアイデアを実装しようとしました。 しかし、失望は私を待っていました。 HTTPリクエストは完全にTORに送信されましたが、HTTPSは送信されませんでした。 この問題はあまりよく知られていませんが、開発者の1人から、これがSquidの古いバージョンの欠点であることを知りました。 しかし、実験中に解決策が見つかりました-Squid 3.5.27、このバグは修正されました+ IPアドレスの代わりにログ（https）の美しいドメイン名。 しかし、ここでも、いくつかの失望が私を待っていました。これについては以下で説明します。 しかし、彼らが言うように、すべてがファイルでドープされています。



したがって、ソースデータ：

1. Debian Stretch（9）x86（x64では試行しませんでした）
2. リポジトリからのSquid Squid 3.5.23
3. 新鮮なイカはオフサイトから仕分け
4. Openssl
5. Libecap3
6. Tor
7. プリボキシ
8. まっすぐな腕とクッキーとたくさんのコーヒー

イカのペンを収集するか、既製のパッケージ（以下のリンク）を入れてください。 もし私がブラックジャックとw ...ウイルスをプレイしたと思ったら、自分でコンパイルしてください。 別の配布キットがある場合もコンパイルする必要があります（Ubuntaの場合はインストールします）。 執筆時点でStretchリポジトリにあるSquid 3.5.23のバージョンを収集し、Webサイトから新しい3.5.27ソースにアップグレードします。 HTTPS + Squidに関する最初の記事とは異なり、Libresslなしでビルドします。



したがって、アセンブリの準備をします。

apt-get install fakeroot build-essential devscripts apt-get build-dep squid3 apt-get install libecap3 apt-get install libecap3-dev apt-get install libssl1.0-dev apt-get install libgnutls28-dev
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

次に、Squid 3.5.23のソースを取得します

 apt-get source squid3
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

この特定のアーカイブをSquidソースでダウンロードします。

 wget -O squid-3.5.27-2018.tar.gz http://www.squid-cache.org/Versions/v3/3.5/squid-3.5.27-20180318-r1330042.tar.gz
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

Squidソースディレクトリに移動し、ソースを新しくダウンロードしたソースに更新します。

 cd squid3-3.5.23/ uupdate -v 3.5.27-2018 ../squid-3.5.27-2018.tar.gz
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

更新されたソースで新しく作成されたカタログに移動します。

 cd ../squid3-3.5.27-2018
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

debian / rulesにコンパイルオプションを追加します。

 --enable-ssl \ --enable-ssl-crtd \ --with-openssl
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

次に、このパッチでソースにパッチを適用する必要があります。

 <b>client_side_request.patch</b> --- src/client_side_request.cc Thu Aug 18 00:36:42 2016 +++ src/client_side_request.cc Mon Sep 19 04:41:45 2016 @@ -519,20 +519,10 @@ // note the DNS details for the transaction stats. http->request->recordLookup(dns); - if (ia != NULL && ia->count > 0) { - // Is the NAT destination IP in DNS? - for (int i = 0; i < ia->count; ++i) { - if (clientConn->local.matchIPAddr(ia->in_addrs[i]) == 0) { - debugs(85, 3, HERE << "validate IP " << clientConn->local << " possible from Host:"); - http->request->flags.hostVerified = true; - http->doCallouts(); - return; - } - debugs(85, 3, HERE << "validate IP " << clientConn->local << " non-match from Host: IP " << ia->in_addrs[i]); - } - } - debugs(85, 3, HERE << "FAIL: validate IP " << clientConn->local << " possible from Host:"); - hostHeaderVerifyFailed("local IP", "any domain IP"); + debugs(85, 3, HERE << "validate IP " << clientConn->local << " possible from Host:"); + http->request->flags.hostVerified = true; + http->doCallouts(); + return; } void
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

それは何のためですか？ 説明します。 ピークとスプライスに関する最初の記事を書いたとき、新しいバージョンは機能しないと言っていましたが、このパッチはSquidがHTTPS接続を選択的に切断するという非常に問題を修正しますcache.logのメッセージ：

 SECURITY ALERT: Host header forgery detected on ... (local IP does not match any domain IP)
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

実際には、あるホストでは何かが1つのIPに、時には次のIPでは別のIPに、Squid自体では3番目のIPに解決されます。 DNSキャッシュがあり、同期的に更新されません。 Squidはキャッシュ内のIPドメインと一致せず（キャッシュを少し前または後に更新したため）、接続を中止します。 保護のように見えますが、現在では通常（ラウンドロビンDNS）と見なされています。 開発者は再保険されます。 そして、私たちはそれをまったく必要としません！ このパッチがセキュリティリスクをもたらす可能性があると言う人には、このパッチについてSquid開発チームに直接関係しているYuri Voinovに相談したと答えます。 ここには脅威はありません！



そのため、パッチ用のファイルを作成し、コードをスローしました。パッチを適用する必要があります。

 patch -p0 -i client_side_request.patch
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

次に、コンパイル中に1つのパッチの適用をキャンセルする必要があります（そうしないと、既に適用されているため、このパッチを適用できないというエラーが表示されます）。 debian / patch / seriesに行き、そこに0003-SQUID-2018_1.patchをコメントアウトし 、その前に＃を付けます：

 #0003-SQUID-2018_1.patch
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

それでは、パッケージのコンパイルとアセンブリ！

 dpkg-buildpackage -us -uc -nc
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

squid-langpackをインストールする

 apt-get install squid-langpack
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

新しいパッケージをインストールします

 dpkg -i squid-common_3.5.27-2018-1_all.deb dpkg -i squid_3.5.27-2018-1_i386.deb dpkg -i squid3_3.5.27-2018-1_all.deb
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

aptが中毒を誓うなら、する

 apt-get -f install
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

次に、Squidの起動を無効にする必要があります（デフォルトでは、initファイルが使用されます。SquidはPIDファイルのアクセス不能について文句を言います）

 systemctl disable squid
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

ディレクトリ/ etc / systemd / systemに systemdサービスを作成します（サービスファイルはソースにあり、ここに完全にコピーされます）

 cat /etc/systemd/system/squid3.service ## Copyright (C) 1996-2018 The Squid Software Foundation and contributors ## ## Squid software is distributed under GPLv2+ license and includes ## contributions from numerous individuals and organizations. ## Please see the COPYING and CONTRIBUTORS files for details. ## [Unit] Description=Squid Web Proxy Server After=network.target [Service] Type=simple ExecStart=/usr/sbin/squid -sYC -N ExecReload=/bin/kill -HUP $MAINPID KillMode=process [Install] WantedBy=multi-user.target
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

オンにします

 systemctl enable squid3.service
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

Tor、privoxyをインストールする

 apt-get install tor privoxy
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

個人的にはTorの設定にはまったく触れませんでしたが、Privoxyの設定はこれに減らすことができます：

 listen-address 127.0.0.1:8118 toggle 0 enable-remote-toggle 0 enable-remote-http-toggle 0 enable-edit-actions 0 forward-socks5t / 127.0.0.1:9050 . max-client-connections 500
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

ほぼ完了。 / etc / squidディレクトリに移動して、そこに何かを変更しましょう。 スプライスに必要なpemファイルを作成します。

 openssl req -new -newkey rsa:1024 -days 365 -nodes -x509 -keyout squidCA.pem -out squidCA.pem
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

そして、squid.confを次の形式で配置します。

 acl localnet src 192.168.0.0/24 #   acl SSL_ports port 443 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT method CONNECT acl SSL method CONNECT # DNS  Squid.     DNS     dns_nameservers 77.88.8.8 #  ,     Tor acl rkn url_regex "/etc/squid/tor_url" http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access allow localhost manager http_access deny manager http_access allow localnet http_access allow localhost http_access deny all icp_access deny all htcp_access deny all #    intercept http_port 192.168.0.1:3128 intercept options=NO_SSLv3:NO_SSLv2 #    ,       #  ,   ,    ,   #    ,     ,      #   ,     =) http_port 192.168.0.1:3130 options=NO_SSLv3:NO_SSLv2 # ,  HTTPS     https_port 192.168.0.1:3129 intercept ssl-bump options=ALL:NO_SSLv3:NO_SSLv2 connection-auth=off cert=/etc/squid/squidCA.pem sslproxy_cert_error allow all sslproxy_flags DONT_VERIFY_PEER #      (    .domain.com) acl blocked ssl::server_name "/etc/squid/blocked_https.txt" acl step1 at_step SslBump1 ssl_bump peek step1 # ,       ssl_bump terminate blocked ssl_bump splice all #     ,     never_direct allow rkn #  ,     ,    - Privoxy cache_peer 127.0.0.1 parent 8118 0 no-query no-digest default cache_peer_access 127.0.0.1 allow rkn cache_peer_access 127.0.0.1 deny all sslcrtd_program /usr/lib/squid/ssl_crtd -s /var/lib/ssl_db -M 4MB coredump_dir /var/spool/squid refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern -i (/cgi-bin/|\?) 0 0% 0 refresh_pattern . 0 20% 4320 logfile_rotate 4 pid_filename /var/run/squid.pid
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

url_regexリストは次のようになります（リストは一例です！）：

 zenway\.ru \.*google\.com \.*viber\.* \.amazon\.com \.fbcdn\.net \.slack\.* media\.api\.viber\.com* static\.viber\.com* secure\.viber.* \*.cloudfront\.net fonts\.gstatic\.com med-edu\.ru
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

このリスト形式の詳細については、ドキュメントオフィスでお読みください。 結果は待つのに長くかかりませんでした-計画通りにすべてが機能しました。 そして、それは今日まで有効です。 記事は遅れたかもしれませんが、おそらく将来役に立つでしょう。



可能であれば、トピックを補充します。



Squid対応パッケージ（.deb x86）



UPD 05/05/18： torccに行を追加できます

 HTTPTunnelPort 8118
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

基本的にPrivoxyを放棄します。 コメントしてくれてありがとう

バグが見つかりました。 HTTPTunnelPortを使用することはお勧めしません。この1つが閉じるまで、今のところPrivoxyが必要です。 ユーリ・ボイノフに感謝します！



また、libecap3に関する記事を修正しました。 コンパイルする必要はありませんが、Stretchリポジトリからインストールするだけです。 コメントしてくれたAlucoSTに感謝します。



UPD 05/05/18：同志のdartraiden は 、Torを構成に追加できることを示唆しています

 ExcludeExitNodes {ru}, {ua}, {by}
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

これらの国では、出力ノードの使用は除外されます。

この束の仕事で問題を解決するのを助けてくれたYuri Voinovに感謝します！