Настройка SQUID для блокировки сайтов HTTPS - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Общий по Linux (http://forum.oszone.net/forumdisplay.php?f=9)

- - Настройка SQUID для блокировки сайтов HTTPS (http://forum.oszone.net/showthread.php?t=338905)

Настройка SQUID для блокировки сайтов HTTPS

Здравствуйте!

Прокси сервер на SQUID с доменной авторизацией через AD, не блокирует сайты по https, точней соеденение он с ними рвет, но ошибка "Доступ запрещен" не появляется как при блокировки через http. Есть варианты?

кусок правил

Код:

acl clients src 192.168.0.0/24

acl httpblacklist url_regex -i "/etc/squid/block/httpblacklist.acl"

acl httpsblacklist dstdom_regex -i "/etc/squid/block/httpsblacklist.acl"

http_access allow !httpblacklist !httpsblacklist clients

http_access deny all



http_port 3130

кальмар

Код:

Squid Cache: Version 3.5.23

Service Name: squid

Debian linux

configure options:  '--build=x86_64-linux-gnu' '--prefix=/usr' '--includedir=${prefix}/include' '--mandir=${prefix}/share/man' '--infodir=${prefix}/share/info' '--sysconfdir=/etc' '--localstatedir=/var' '--libexecdir=${prefix}/lib/squid3' '--srcdir=.' '--disable-maintainer-mode' '--disable-dependency-tracking' '--disable-silent-rules' 'BUILDCXXFLAGS=-g -O2 -fdebug-prefix-map=/home/user/test/squid3-3.5.23=. -fstack-protector-strong -Wformat -Werror=format-security -Wdate-time -D_FORTIFY_SOURCE=2 -Wl,-z,relro -Wl,-z,now -Wl,--as-needed' '--datadir=/usr/share/squid' '--sysconfdir=/etc/squid' '--libexecdir=/usr/lib/squid' '--mandir=/usr/share/man' '--enable-inline' '--disable-arch-native' '--enable-async-io=8' '--enable-storeio=ufs,aufs,diskd,rock' '--enable-removal-policies=lru,heap' '--enable-delay-pools' '--enable-cache-digests' '--enable-icap-client' '--enable-follow-x-forwarded-for' '--enable-auth-basic=DB,fake,getpwnam,LDAP,NCSA,NIS,PAM,POP3,RADIUS,SASL,SMB' '--enable-auth-digest=file,LDAP' '--enable-auth-negotiate=kerberos,wrapper' '--enable-auth-ntlm=fake,smb_lm' '--enable-external-acl-helpers=file_userip,kerberos_ldap_group,LDAP_group,session,SQL_session,time_quota,unix_group,wbinfo_group' '--enable-url-rewrite-helpers=fake' '--enable-eui' '--enable-esi' '--enable-icmp' '--enable-zph-qos' '--enable-ecap' '--enable-ssl' '--enable-ssl-crtd' '--with-openssl' '--disable-translation' '--with-swapdir=/var/spool/squid' '--with-logdir=/var/log/squid' '--with-pidfile=/var/run/squid.pid' '--with-filedescriptors=65536' '--with-large-files' '--with-default-user=proxy' '--enable-build-info=Debian linux' '--enable-linux-netfilter' 'build_alias=x86_64-linux-gnu' 'CFLAGS=-g -O2 -fdebug-prefix-map=/home/user/test/squid3-3.5.23=. -fstack-protector-strong -Wformat -Werror=format-security -Wall' 'LDFLAGS=-Wl,-z,relro -Wl,-z,now -Wl,--as-needed' 'CPPFLAGS=-Wdate-time -D_FORTIFY_SOURCE=2' 'CXXFLAGS=-g -O2 -fdebug-prefix-map=/home/user/test/squid3-3.5.23=. -fstack-protector-strong -Wformat -Werror=format-security'

Цитата:

Цитата anton83ic

Есть варианты? »

По какому мануалу Вы настраивали? Ваш конфиг в приближении соответствует этому Squid-3.5 default config?

Цитата:

Цитата NickM

По какому мануалу Вы настраивали? Ваш конфиг в приближении соответствует этому Squid-3.5 default config? »

Взял дефолтный конфиг squid'а удалил все коменты и добавил то что мне нужно, это я вставил кусок правил, а не весь конфиг..

anton83ic, тогда Вы должны были увидеть, что для https портов применяется метод CONNECT.

Цитата:

HTML код:

...

acl SSL_ports port 443

…

acl Safe_ports port 443         # https

…

acl CONNECT method CONNECT

…

http_access deny CONNECT !SSL_ports

...

Цитата:

Цитата NickM

тогда Вы должны были увидеть, что для https портов применяется метод CONNECT. »

все верно, использую метод, только так сделал

HTML код:

acl Safe_ports port 443         # ssl

acl Safe_ports port 80          # http

acl Safe_ports port 21          # ftp

acl Safe_ports port 443         # https

acl Safe_ports port 70          # gopher

acl Safe_ports port 210         # wais

acl Safe_ports port 1025-65535  # unregistered ports

acl Safe_ports port 280         # http-mgmt

acl Safe_ports port 488         # gss-http

acl Safe_ports port 591         # filemaker

acl Safe_ports port 777         # multiling http



acl CONNECT method CONNECT



http_access deny !Safe_ports

Цитата:

Цитата NickM

тогда Вы должны были увидеть, что для https портов применяется метод CONNECT »

Вот конфиг с еще одного сервера, он аналогичен только авторизация через AD:

Вот конфиг:

HTML код:

http_port 192.168.1.2:3128

shutdown_lifetime 5 seconds

quick_abort_min 0 KB

quick_abort_max 0 KB

log_icp_queries off

auth_param negotiate program /usr/lib/squid/negotiate_kerberos_auth -d



acl inetuser proxy_auth REQUIRED

acl httpblacklist url_regex -i "/etc/squid/block/httpblacklist.acl"

acl httpsblacklist dstdom_regex -i "/etc/squid/block/httpsblacklist.acl"

acl Safe_ports port 443         # ssl

acl Safe_ports port 80          # http

acl Safe_ports port 21          # ftp

acl Safe_ports port 443         # https

acl Safe_ports port 70          # gopher

acl Safe_ports port 210         # wais

acl Safe_ports port 1025-65535  # unregistered ports

acl Safe_ports port 280         # http-mgmt

acl Safe_ports port 488         # gss-http

acl Safe_ports port 591         # filemaker

acl Safe_ports port 777         # multiling http



acl CONNECT method CONNECT

acl localhost src 127.0.0.1/32



http_access deny    !Safe_ports

http_access allow localhost



http_access allow !httpblacklist !httpsblacklist inetuser

http_access deny all

ну там еще про кэш есть, но эти параметры не влияют