Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Linux и FreeBSD » Общий по Linux » Debian/Ubuntu - Настройка SQUID для блокировки сайтов HTTPS

Ответить
Настройки темы
Debian/Ubuntu - Настройка SQUID для блокировки сайтов HTTPS

Новый участник


Сообщения: 11
Благодарности: 0

Профиль | Отправить PM | Цитировать


Здравствуйте!

Прокси сервер на SQUID с доменной авторизацией через AD, не блокирует сайты по https, точней соеденение он с ними рвет, но ошибка "Доступ запрещен" не появляется как при блокировки через http. Есть варианты?

кусок правил

Код: Выделить весь код
acl clients src 192.168.0.0/24
acl httpblacklist url_regex -i "/etc/squid/block/httpblacklist.acl"
acl httpsblacklist dstdom_regex -i "/etc/squid/block/httpsblacklist.acl"
http_access allow !httpblacklist !httpsblacklist clients
http_access deny all

http_port 3130
кальмар
Код: Выделить весь код
Squid Cache: Version 3.5.23
Service Name: squid
Debian linux
configure options:  '--build=x86_64-linux-gnu' '--prefix=/usr' '--includedir=${prefix}/include' '--mandir=${prefix}/share/man' '--infodir=${prefix}/share/info' '--sysconfdir=/etc' '--localstatedir=/var' '--libexecdir=${prefix}/lib/squid3' '--srcdir=.' '--disable-maintainer-mode' '--disable-dependency-tracking' '--disable-silent-rules' 'BUILDCXXFLAGS=-g -O2 -fdebug-prefix-map=/home/user/test/squid3-3.5.23=. -fstack-protector-strong -Wformat -Werror=format-security -Wdate-time -D_FORTIFY_SOURCE=2 -Wl,-z,relro -Wl,-z,now -Wl,--as-needed' '--datadir=/usr/share/squid' '--sysconfdir=/etc/squid' '--libexecdir=/usr/lib/squid' '--mandir=/usr/share/man' '--enable-inline' '--disable-arch-native' '--enable-async-io=8' '--enable-storeio=ufs,aufs,diskd,rock' '--enable-removal-policies=lru,heap' '--enable-delay-pools' '--enable-cache-digests' '--enable-icap-client' '--enable-follow-x-forwarded-for' '--enable-auth-basic=DB,fake,getpwnam,LDAP,NCSA,NIS,PAM,POP3,RADIUS,SASL,SMB' '--enable-auth-digest=file,LDAP' '--enable-auth-negotiate=kerberos,wrapper' '--enable-auth-ntlm=fake,smb_lm' '--enable-external-acl-helpers=file_userip,kerberos_ldap_group,LDAP_group,session,SQL_session,time_quota,unix_group,wbinfo_group' '--enable-url-rewrite-helpers=fake' '--enable-eui' '--enable-esi' '--enable-icmp' '--enable-zph-qos' '--enable-ecap' '--enable-ssl' '--enable-ssl-crtd' '--with-openssl' '--disable-translation' '--with-swapdir=/var/spool/squid' '--with-logdir=/var/log/squid' '--with-pidfile=/var/run/squid.pid' '--with-filedescriptors=65536' '--with-large-files' '--with-default-user=proxy' '--enable-build-info=Debian linux' '--enable-linux-netfilter' 'build_alias=x86_64-linux-gnu' 'CFLAGS=-g -O2 -fdebug-prefix-map=/home/user/test/squid3-3.5.23=. -fstack-protector-strong -Wformat -Werror=format-security -Wall' 'LDFLAGS=-Wl,-z,relro -Wl,-z,now -Wl,--as-needed' 'CPPFLAGS=-Wdate-time -D_FORTIFY_SOURCE=2' 'CXXFLAGS=-g -O2 -fdebug-prefix-map=/home/user/test/squid3-3.5.23=. -fstack-protector-strong -Wformat -Werror=format-security'

Отправлено: 08:18, 25-01-2019

 

Ветеран


Сообщения: 1176
Благодарности: 246

Профиль | Отправить PM | Цитировать


Цитата anton83ic:
Есть варианты? »
По какому мануалу Вы настраивали? Ваш конфиг в приближении соответствует этому Squid-3.5 default config?

Отправлено: 18:29, 26-01-2019 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Новый участник


Сообщения: 11
Благодарности: 0

Профиль | Отправить PM | Цитировать


Цитата NickM:
По какому мануалу Вы настраивали? Ваш конфиг в приближении соответствует этому Squid-3.5 default config? »
Взял дефолтный конфиг squid'а удалил все коменты и добавил то что мне нужно, это я вставил кусок правил, а не весь конфиг..

Отправлено: 06:57, 28-01-2019 | #3


Ветеран


Сообщения: 1176
Благодарности: 246

Профиль | Отправить PM | Цитировать


anton83ic, тогда Вы должны были увидеть, что для https портов применяется метод CONNECT.

Цитата:
HTML код: Выделить весь код
... acl SSL_ports port 443 … acl Safe_ports port 443 # https … acl CONNECT method CONNECT … http_access deny CONNECT !SSL_ports ...


Отправлено: 18:20, 28-01-2019 | #4


Новый участник


Сообщения: 11
Благодарности: 0

Профиль | Отправить PM | Цитировать


Цитата NickM:
тогда Вы должны были увидеть, что для https портов применяется метод CONNECT. »
все верно, использую метод, только так сделал

HTML код: Выделить весь код
acl Safe_ports port 443 # ssl acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT method CONNECT http_access deny !Safe_ports

Цитата NickM:
тогда Вы должны были увидеть, что для https портов применяется метод CONNECT »
Вот конфиг с еще одного сервера, он аналогичен только авторизация через AD:

Вот конфиг:

HTML код: Выделить весь код
http_port 192.168.1.2:3128 shutdown_lifetime 5 seconds quick_abort_min 0 KB quick_abort_max 0 KB log_icp_queries off auth_param negotiate program /usr/lib/squid/negotiate_kerberos_auth -d acl inetuser proxy_auth REQUIRED acl httpblacklist url_regex -i "/etc/squid/block/httpblacklist.acl" acl httpsblacklist dstdom_regex -i "/etc/squid/block/httpsblacklist.acl" acl Safe_ports port 443 # ssl acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT method CONNECT acl localhost src 127.0.0.1/32 http_access deny !Safe_ports http_access allow localhost http_access allow !httpblacklist !httpsblacklist inetuser http_access deny all

ну там еще про кэш есть, но эти параметры не влияют

Отправлено: 21:06, 28-01-2019 | #5



Компьютерный форум OSzone.net » Linux и FreeBSD » Общий по Linux » Debian/Ubuntu - Настройка SQUID для блокировки сайтов HTTPS

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
Squid+HTTPS Ruldik Программное обеспечение Linux и FreeBSD 43 27-01-2018 12:22
Debian/Ubuntu - Готовый debian-сервер с DDNS, OpenVPN, Squid (фильтр https!!!) для младенцев...:D:D:D trancid Общий по Linux 13 26-12-2016 22:30
Squid - не писать блокировки в лог El Scorpio Программное обеспечение Linux и FreeBSD 0 19-10-2015 05:57
Debian/Ubuntu - Прозрачный Squid + HTTPS CJ F.A.N. Общий по Linux 9 15-02-2012 12:29
Вопрос - Подскажите прогу для блокировки сайтов? Raksa Защита компьютерных систем 6 19-03-2009 14:47




 
Переход