PDA

Показать полную графическую версию : Настройка SQUID для блокировки сайтов HTTPS

anton83ic
25-01-2019, 08:18
Здравствуйте!

Прокси сервер на SQUID с доменной авторизацией через AD, не блокирует сайты по https, точней соеденение он с ними рвет, но ошибка "Доступ запрещен" не появляется как при блокировки через http. Есть варианты?

кусок правил

acl clients src 192.168.0.0/24
acl httpblacklist url_regex -i "/etc/squid/block/httpblacklist.acl"
acl httpsblacklist dstdom_regex -i "/etc/squid/block/httpsblacklist.acl"
http_access allow !httpblacklist !httpsblacklist clients
http_access deny all

http_port 3130

кальмар
Squid Cache: Version 3.5.23
Service Name: squid
Debian linux
configure options: '--build=x86_64-linux-gnu' '--prefix=/usr' '--includedir=${prefix}/include' '--mandir=${prefix}/share/man' '--infodir=${prefix}/share/info' '--sysconfdir=/etc' '--localstatedir=/var' '--libexecdir=${prefix}/lib/squid3' '--srcdir=.' '--disable-maintainer-mode' '--disable-dependency-tracking' '--disable-silent-rules' 'BUILDCXXFLAGS=-g -O2 -fdebug-prefix-map=/home/user/test/squid3-3.5.23=. -fstack-protector-strong -Wformat -Werror=format-security -Wdate-time -D_FORTIFY_SOURCE=2 -Wl,-z,relro -Wl,-z,now -Wl,--as-needed' '--datadir=/usr/share/squid' '--sysconfdir=/etc/squid' '--libexecdir=/usr/lib/squid' '--mandir=/usr/share/man' '--enable-inline' '--disable-arch-native' '--enable-async-io=8' '--enable-storeio=ufs,aufs,diskd,rock' '--enable-removal-policies=lru,heap' '--enable-delay-pools' '--enable-cache-digests' '--enable-icap-client' '--enable-follow-x-forwarded-for' '--enable-auth-basic=DB,fake,getpwnam,LDAP,NCSA,NIS,PAM,POP3,RADIUS,SASL,SMB' '--enable-auth-digest=file,LDAP' '--enable-auth-negotiate=kerberos,wrapper' '--enable-auth-ntlm=fake,smb_lm' '--enable-external-acl-helpers=file_userip,kerberos_ldap_group,LDAP_group,session,SQL_session,time_quota,unix_group,wbinfo_ group' '--enable-url-rewrite-helpers=fake' '--enable-eui' '--enable-esi' '--enable-icmp' '--enable-zph-qos' '--enable-ecap' '--enable-ssl' '--enable-ssl-crtd' '--with-openssl' '--disable-translation' '--with-swapdir=/var/spool/squid' '--with-logdir=/var/log/squid' '--with-pidfile=/var/run/squid.pid' '--with-filedescriptors=65536' '--with-large-files' '--with-default-user=proxy' '--enable-build-info=Debian linux' '--enable-linux-netfilter' 'build_alias=x86_64-linux-gnu' 'CFLAGS=-g -O2 -fdebug-prefix-map=/home/user/test/squid3-3.5.23=. -fstack-protector-strong -Wformat -Werror=format-security -Wall' 'LDFLAGS=-Wl,-z,relro -Wl,-z,now -Wl,--as-needed' 'CPPFLAGS=-Wdate-time -D_FORTIFY_SOURCE=2' 'CXXFLAGS=-g -O2 -fdebug-prefix-map=/home/user/test/squid3-3.5.23=. -fstack-protector-strong -Wformat -Werror=format-security'
NickM
26-01-2019, 18:29
Есть варианты? »

По какому мануалу Вы настраивали? Ваш конфиг в приближении соответствует этому (https://wiki.squid-cache.org/Squid-3.5) Squid-3.5 default config?
anton83ic
28-01-2019, 06:57
По какому мануалу Вы настраивали? Ваш конфиг в приближении соответствует этому Squid-3.5 default config? »
Взял дефолтный конфиг squid'а удалил все коменты и добавил то что мне нужно, это я вставил кусок правил, а не весь конфиг..
NickM
28-01-2019, 18:20
anton83ic, тогда Вы должны были увидеть, что для https портов применяется метод CONNECT.

Цитата:
...
acl SSL_ports port 443

acl Safe_ports port 443 # https

acl CONNECT method CONNECT

http_access deny CONNECT !SSL_ports
...
anton83ic
28-01-2019, 21:06
тогда Вы должны были увидеть, что для https портов применяется метод CONNECT. »

все верно, использую метод, только так сделал

acl Safe_ports port 443 # ssl
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http

acl CONNECT method CONNECT

http_access deny !Safe_ports


тогда Вы должны были увидеть, что для https портов применяется метод CONNECT »

Вот конфиг с еще одного сервера, он аналогичен только авторизация через AD:

Вот конфиг:

http_port 192.168.1.2:3128
shutdown_lifetime 5 seconds
quick_abort_min 0 KB
quick_abort_max 0 KB
log_icp_queries off
auth_param negotiate program /usr/lib/squid/negotiate_kerberos_auth -d

acl inetuser proxy_auth REQUIRED
acl httpblacklist url_regex -i "/etc/squid/block/httpblacklist.acl"
acl httpsblacklist dstdom_regex -i "/etc/squid/block/httpsblacklist.acl"
acl Safe_ports port 443 # ssl
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http

acl CONNECT method CONNECT
acl localhost src 127.0.0.1/32

http_access deny !Safe_ports
http_access allow localhost

http_access allow !httpblacklist !httpsblacklist inetuser
http_access deny all

ну там еще про кэш есть, но эти параметры не влияют



© OSzone.net 2001-2012