Новости
Видео
Microsoft
Windows 10
Железо
Программы
Форум

Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Linux и FreeBSD » Общий по Linux » Debian/Ubuntu - Настройка SQUID для блокировки сайтов HTTPS

Ответить
Настройки темы
Debian/Ubuntu - Настройка SQUID для блокировки сайтов HTTPS

Новый участник


Сообщения: 11
Благодарности: 0

Профиль | Отправить PM | Цитировать

Здравствуйте!

Прокси сервер на SQUID с доменной авторизацией через AD, не блокирует сайты по https, точней соеденение он с ними рвет, но ошибка "Доступ запрещен" не появляется как при блокировки через http. Есть варианты?

кусок правил

Код: Выделить весь код
acl clients src 192.168.0.0/24
acl httpblacklist url_regex -i "/etc/squid/block/httpblacklist.acl"
acl httpsblacklist dstdom_regex -i "/etc/squid/block/httpsblacklist.acl"
http_access allow !httpblacklist !httpsblacklist clients
http_access deny all

http_port 3130
кальмар
Код: Выделить весь код
Squid Cache: Version 3.5.23
Service Name: squid
Debian linux
configure options:  '--build=x86_64-linux-gnu' '--prefix=/usr' '--includedir=${prefix}/include' '--mandir=${prefix}/share/man' '--infodir=${prefix}/share/info' '--sysconfdir=/etc' '--localstatedir=/var' '--libexecdir=${prefix}/lib/squid3' '--srcdir=.' '--disable-maintainer-mode' '--disable-dependency-tracking' '--disable-silent-rules' 'BUILDCXXFLAGS=-g -O2 -fdebug-prefix-map=/home/user/test/squid3-3.5.23=. -fstack-protector-strong -Wformat -Werror=format-security -Wdate-time -D_FORTIFY_SOURCE=2 -Wl,-z,relro -Wl,-z,now -Wl,--as-needed' '--datadir=/usr/share/squid' '--sysconfdir=/etc/squid' '--libexecdir=/usr/lib/squid' '--mandir=/usr/share/man' '--enable-inline' '--disable-arch-native' '--enable-async-io=8' '--enable-storeio=ufs,aufs,diskd,rock' '--enable-removal-policies=lru,heap' '--enable-delay-pools' '--enable-cache-digests' '--enable-icap-client' '--enable-follow-x-forwarded-for' '--enable-auth-basic=DB,fake,getpwnam,LDAP,NCSA,NIS,PAM,POP3,RADIUS,SASL,SMB' '--enable-auth-digest=file,LDAP' '--enable-auth-negotiate=kerberos,wrapper' '--enable-auth-ntlm=fake,smb_lm' '--enable-external-acl-helpers=file_userip,kerberos_ldap_group,LDAP_group,session,SQL_session,time_quota,unix_group,wbinfo_group' '--enable-url-rewrite-helpers=fake' '--enable-eui' '--enable-esi' '--enable-icmp' '--enable-zph-qos' '--enable-ecap' '--enable-ssl' '--enable-ssl-crtd' '--with-openssl' '--disable-translation' '--with-swapdir=/var/spool/squid' '--with-logdir=/var/log/squid' '--with-pidfile=/var/run/squid.pid' '--with-filedescriptors=65536' '--with-large-files' '--with-default-user=proxy' '--enable-build-info=Debian linux' '--enable-linux-netfilter' 'build_alias=x86_64-linux-gnu' 'CFLAGS=-g -O2 -fdebug-prefix-map=/home/user/test/squid3-3.5.23=. -fstack-protector-strong -Wformat -Werror=format-security -Wall' 'LDFLAGS=-Wl,-z,relro -Wl,-z,now -Wl,--as-needed' 'CPPFLAGS=-Wdate-time -D_FORTIFY_SOURCE=2' 'CXXFLAGS=-g -O2 -fdebug-prefix-map=/home/user/test/squid3-3.5.23=. -fstack-protector-strong -Wformat -Werror=format-security'

Отправлено: 08:18, 25-01-2019

 

Аватара для NickM

Ветеран


Contributor


Сообщения: 4241
Благодарности: 994

Профиль | Отправить PM | Цитировать

Цитата anton83ic:
Есть варианты? »
По какому мануалу Вы настраивали? Ваш конфиг в приближении соответствует этому Squid-3.5 default config?

Отправлено: 18:29, 26-01-2019 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Новый участник


Сообщения: 11
Благодарности: 0

Профиль | Отправить PM | Цитировать

Цитата NickM:
По какому мануалу Вы настраивали? Ваш конфиг в приближении соответствует этому Squid-3.5 default config? »
Взял дефолтный конфиг squid'а удалил все коменты и добавил то что мне нужно, это я вставил кусок правил, а не весь конфиг..

Отправлено: 06:57, 28-01-2019 | #3


Аватара для NickM

Ветеран


Contributor


Сообщения: 4241
Благодарности: 994

Профиль | Отправить PM | Цитировать

anton83ic, тогда Вы должны были увидеть, что для https портов применяется метод CONNECT.

Цитата:
HTML код: Выделить весь код
...
acl SSL_ports port 443
…
acl Safe_ports port 443         # https
…
acl CONNECT method CONNECT
…
http_access deny CONNECT !SSL_ports
...

Отправлено: 18:20, 28-01-2019 | #4


Новый участник


Сообщения: 11
Благодарности: 0

Профиль | Отправить PM | Цитировать

Цитата NickM:
тогда Вы должны были увидеть, что для https портов применяется метод CONNECT. »
все верно, использую метод, только так сделал

HTML код: Выделить весь код
acl Safe_ports port 443         # ssl
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http

acl CONNECT method CONNECT

http_access deny !Safe_ports

Цитата NickM:
тогда Вы должны были увидеть, что для https портов применяется метод CONNECT »
Вот конфиг с еще одного сервера, он аналогичен только авторизация через AD:

Вот конфиг:

HTML код: Выделить весь код
http_port 192.168.1.2:3128
shutdown_lifetime 5 seconds
quick_abort_min 0 KB
quick_abort_max 0 KB
log_icp_queries off
auth_param negotiate program /usr/lib/squid/negotiate_kerberos_auth -d

acl inetuser proxy_auth REQUIRED
acl httpblacklist url_regex -i "/etc/squid/block/httpblacklist.acl"
acl httpsblacklist dstdom_regex -i "/etc/squid/block/httpsblacklist.acl"
acl Safe_ports port 443         # ssl
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http

acl CONNECT method CONNECT
acl localhost src 127.0.0.1/32

http_access deny    !Safe_ports
http_access allow localhost

http_access allow !httpblacklist !httpsblacklist inetuser
http_access deny all

ну там еще про кэш есть, но эти параметры не влияют

Отправлено: 21:06, 28-01-2019 | #5



Компьютерный форум OSzone.net » Linux и FreeBSD » Общий по Linux » Debian/Ubuntu - Настройка SQUID для блокировки сайтов HTTPS

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
Squid+HTTPS Ruldik Программное обеспечение Linux и FreeBSD 43 27-01-2018 12:22
Debian/Ubuntu - Готовый debian-сервер с DDNS, OpenVPN, Squid (фильтр https!!!) для младенцев...:D:D:D trancid Общий по Linux 13 26-12-2016 22:30
Squid - не писать блокировки в лог El Scorpio Программное обеспечение Linux и FreeBSD 0 19-10-2015 05:57
Debian/Ubuntu - Прозрачный Squid + HTTPS CJ F.A.N. Общий по Linux 9 15-02-2012 12:29
Вопрос - Подскажите прогу для блокировки сайтов? Raksa Защита компьютерных систем 6 19-03-2009 14:47


« Предыдущая тема | Следующая тема »


 
Переход