Решил установить, понял что в репах нет поддержки блокировки https, нужно собирать самому.
Пока эксперементировал, добавил тестовое репо прямо в source.list и... переустановил систему.
Собрал на виртуалке по схеме https://habr.com/ru/post/267851/, но squid из тестового репо 4.6 и libressl - последнюю версию
Сначала libecap-1.0.1 (через dpkg-buildpackage), а потом libressl-2.9.2 (с помощью checkinstall), потом squid (через dpkg-buildpackage ругнулся на зависимость, отключил по фак) добавил --enable-ssl --enable-ssl-crtd --with-openssl перед сборкой
Перенес готовые .deb на роутер, и там установил, по началу заработало (не уверен, но не ругалося), потом начал на options=NO_SSL, узнал что в версии от 4.0 нужно указывать tls-option, перестал, но...
Теперь гневается, как я понял на сертификат (или что то в этом роде)
Spoiler
CPU Usage: 0.128 seconds = 0.076 user + 0.052 sys
Maximum Resident Size: 83584 KB
Page faults with physical i/o: 0
2019/05/27 11:45:21 kid1| Closing Pinger socket on FD 28
2019/05/27 11:45:21 kid1| Set Current Directory to /var/spool/squid
2019/05/27 11:45:21 kid1| Starting Squid Cache version 4.6 for x86_64-pc-linux-gnu...
2019/05/27 11:45:21 kid1| Service Name: squid
2019/05/27 11:45:21 kid1| Process ID 1984
2019/05/27 11:45:21 kid1| Process Roles: worker
2019/05/27 11:45:21 kid1| With 1024 file descriptors available
2019/05/27 11:45:21 kid1| Initializing IP Cache...
2019/05/27 11:45:21 kid1| DNS Socket created at [::], FD 5
2019/05/27 11:45:21 kid1| DNS Socket created at 0.0.0.0, FD 10
2019/05/27 11:45:21 kid1| Adding nameserver 212.188.4.10 from /etc/resolv.conf
2019/05/27 11:45:21 kid1| Adding nameserver 195.34.32.116 from /etc/resolv.conf
2019/05/27 11:45:21 kid1| helperOpenServers: Starting 5/32 'ssl_crtd' processes
2019/05/27 11:45:21 kid1| ipcCreate: /usr/lib/squid/ssl_crtd: (2) No such file or directory
2019/05/27 11:45:21 kid1| ipcCreate: /usr/lib/squid/ssl_crtd: (2) No such file or directory
2019/05/27 11:45:21 kid1| Logfile: opening log daemon:/var/log/squid/access.log
2019/05/27 11:45:21 kid1| Logfile Daemon: opening log /var/log/squid/access.log
2019/05/27 11:45:21 kid1| ipcCreate: /usr/lib/squid/ssl_crtd: (2) No such file or directory
2019/05/27 11:45:21 kid1| Local cache digest enabled; rebuild/rewrite every 3600/3600 sec
2019/05/27 11:45:21 kid1| Store logging disabled
2019/05/27 11:45:21 kid1| Swap maxSize 20480000 + 262144 KB, estimated 1595549 objects
2019/05/27 11:45:21 kid1| Target number of buckets: 79777
2019/05/27 11:45:21 kid1| Using 131072 Store buckets
2019/05/27 11:45:21 kid1| Max Mem size: 262144 KB
2019/05/27 11:45:21 kid1| Max Swap size: 20480000 KB
2019/05/27 11:45:21 kid1| Rebuilding storage in /var/spool/squid (no log)
2019/05/27 11:45:21 kid1| Using Least Load store dir selection
2019/05/27 11:45:21 kid1| Set Current Directory to /var/spool/squid
2019/05/27 11:45:21 kid1| ipcCreate: /usr/lib/squid/ssl_crtd: (2) No such file or directory
2019/05/27 11:45:21 kid1| ipcCreate: /usr/lib/squid/ssl_crtd: (2) No such file or directory
2019/05/27 11:45:21 kid1| Finished loading MIME types and icons.
2019/05/27 11:45:21 kid1| HTCP Disabled.
2019/05/27 11:45:21 kid1| Pinger socket opened on FD 28
2019/05/27 11:45:21 kid1| Squid plugin modules loaded: 0
2019/05/27 11:45:21 kid1| Adaptation support is off.
2019/05/27 11:45:21 kid1| Accepting NAT intercepted HTTP Socket connections at local=192.168.1.1:3128 remote=[::] FD 24 flags=41
2019/05/27 11:45:21 kid1| Accepting HTTP Socket connections at local=192.168.1.1:3130 remote=[::] FD 25 flags=9
2019/05/27 11:45:21 kid1| Accepting NAT intercepted SSL bumped HTTPS Socket connections at local=192.168.1.1:3129 remote=[::] FD 26 flags=41
2019/05/27 11:45:21| pinger: Initialising ICMP pinger ...
2019/05/27 11:45:21| pinger: ICMP socket opened.
2019/05/27 11:45:21| pinger: ICMPv6 socket opened
2019/05/27 11:45:21 kid1| WARNING: /usr/lib/squid/ssl_crtd -s /var/lib/ssl_db -M 4MB #Hlpr1 exited
2019/05/27 11:45:21 kid1| Too few /usr/lib/squid/ssl_crtd -s /var/lib/ssl_db -M 4MB processes are running (need 1/32)
2019/05/27 11:45:21 kid1| Closing HTTP(S) port 192.168.1.1:3128
2019/05/27 11:45:21 kid1| Closing HTTP(S) port 192.168.1.1:3130
2019/05/27 11:45:21 kid1| Closing HTTP(S) port 192.168.1.1:3129
2019/05/27 11:45:21 kid1| Not currently OK to rewrite swap log.
2019/05/27 11:45:21 kid1| storeDirWriteCleanLogs: Operation aborted.
2019/05/27 11:45:21 kid1| FATAL: The /usr/lib/squid/ssl_crtd -s /var/lib/ssl_db -M 4MB helpers are crashing too rapidly, need help!
конфиг тоже плохо пока понимаю, особенно после HTTPS...
Spoiler
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
#dns_nameservers 8.8.8.8
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager
http_access allow localnet
http_access allow localhost
http_access deny all
#прозрачный порт указывается опцией intercept
http_port 192.168.1.1:3128 intercept tls-option=NO_SSLv3:NO_SSLv2
#также нужно указать непрозрачный порт, ибо если захотите вручную указать адрес
#прокси в браузере, указав прозрачный порт, вы получите ошибку доступа, поэтому нужно
#указывать непрозрачный порт в браузере, если конечно такое желание будет, к тому же в логах #сыпятся ошибки о том, что непрохрачный порт не указан=)
http_port 192.168.1.1:3130 tls-option=NO_SSLv3:NO_SSLv2
#и наконец, указываем HTTPS порт с нужными опциями
https_port 192.168.1.1:3129 intercept ssl-bump tls-option=ALL:NO_SSLv3:NO_SSLv2 connection-auth=off cert=/etc/squid/squidCA.pem
always_direct allow all
sslproxy_cert_error allow all
sslproxy_flags DONT_VERIFY_PEER
#укажем правило со списком блокируемых ресурсов (в файле домены вида .domain.com)
acl blocked ssl::server_name "/etc/squid/blocked_https.txt"
acl step1 at_step SslBump1
ssl_bump peek step1
#терминируем соединение, если клиент заходит на запрещенный ресурс
ssl_bump terminate blocked
ssl_bump splice all
sslcrtd_program /usr/lib/squid/ssl_crtd -s /var/lib/ssl_db -M 4MB
coredump_dir /var/spool/squid
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320
cache_dir aufs /var/spool/squid 20000 49 256
maximum_object_size 61440 KB
minimum_object_size 3 KB
cache_swap_low 90
cache_swap_high 95
maximum_object_size_in_memory 512 KB
memory_replacement_policy lru
logfile_rotate 4