SSL inspection nur für ausgewählte Subnetze möglich?

Started by mscd, July 02, 2021, 05:41:39 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
July 02, 2021, 05:41:39 PM
Hallo zusammen,

ist es möglich den Web-Proxy so zu konfigurieren, dass "volle" (man-in-the-middle) SSL inspection (inkl. clam AV) nur für Clients ausgewählter Subnetze durchgeführt wird.
Problem ist, dass ich generell auf allen Subnetzen bei http und https einen Kategorieren-Filter (z.B. per shallalist) einsetzen würde, nur aber bei einigen Subnetzen zusätzlich die SSL inspection, da ich nicht bei allen Clients für die Bereitstellung des entsprechenden CA-Zertifikats sorgen kann.

Schöne Grüße,
mscd
July 02, 2021, 07:01:26 PM #1
Über die GUI leider nicht möglich. Es gibt include Ordner, aber dazu musst du dich in die Squid config einlesen
July 02, 2021, 11:06:34 PM #2
Okay ... besten Dank ... inwieweit vertragen sich ,,händische" Ergänzungen an der squid.conf mit dem WebGUI ... ,,darf" man manuell eingreifen ... oder gibt das vorprogrammiert Stress?

Danke!
mscd
July 03, 2021, 05:32:44 AM #3
Nein das ist ok wenn sich nichts doppelt. Es wird halt nicht über die config.xml gesichert
July 04, 2021, 11:28:58 AM #4
Besten Dank ... noch eine kurze Rückfrage ... die passenden squid-Direktiven (vgl. http://www.squid-cache.org/Doc/config/ssl_bump/) habe ich schon mal gefunden. Hier gibts auch entsprechende/konkrete Vorschläge

https://forum.opnsense.org/index.php?topic=22235.msg105411#msg105411

... Frage für mich wäre nur noch, wird in der Standard-Squid-Conf (von OPNsense) schon auf entsprechende include-Files (wo ich die zusätzlichen statements reinpacken kann) verwiesen?
July 04, 2021, 08:51:20 PM #5
/usr/local/etc/squid/squid.conf .. such da nach include
Print
Go Up Pages1
User actions