Hallo zusammen,
ist es möglich den Web-Proxy so zu konfigurieren, dass "volle" (man-in-the-middle) SSL inspection (inkl. clam AV) nur für Clients ausgewählter Subnetze durchgeführt wird.
Problem ist, dass ich generell auf allen Subnetzen bei http und https einen Kategorieren-Filter (z.B. per shallalist) einsetzen würde, nur aber bei einigen Subnetzen zusätzlich die SSL inspection, da ich nicht bei allen Clients für die Bereitstellung des entsprechenden CA-Zertifikats sorgen kann.
Schöne Grüße,
mscd
Über die GUI leider nicht möglich. Es gibt include Ordner, aber dazu musst du dich in die Squid config einlesen
Okay ... besten Dank ... inwieweit vertragen sich ,,händische" Ergänzungen an der squid.conf mit dem WebGUI ... ,,darf" man manuell eingreifen ... oder gibt das vorprogrammiert Stress?
Danke!
mscd
Nein das ist ok wenn sich nichts doppelt. Es wird halt nicht über die config.xml gesichert
Besten Dank ... noch eine kurze Rückfrage ... die passenden squid-Direktiven (vgl. http://www.squid-cache.org/Doc/config/ssl_bump/) habe ich schon mal gefunden. Hier gibts auch entsprechende/konkrete Vorschläge
https://forum.opnsense.org/index.php?topic=22235.msg105411#msg105411
... Frage für mich wäre nur noch, wird in der Standard-Squid-Conf (von OPNsense) schon auf entsprechende include-Files (wo ich die zusätzlichen statements reinpacken kann) verwiesen?
/usr/local/etc/squid/squid.conf .. such da nach include