LINUX.ORG.RU
ФорумAdmin

squid+каскад нид хелп!

 , ,


0

1

Доброго всем времени суток!
В общем есть такая трабла, не знаю как решить, т.к со squid приходится сталкиваться редко.
Есть сеть, вся сеть ходит в инет через прокси (не прозрачный), в проксе прописан каскад (антивирь).
Т.е схема такая: Клиентский браузер>Прокся с ограничениями и учетом(Squid Cache: Version 2.7.STABLE7)>В проксе прописан каскад (Антивирь eset)>Интернет
Проблема заключается в том, что антивирь криво отрабатывает https, и у юзеров при аплоаде\даунлоаде на всякие облака, происходят обрывы то на 20мегабайтах файла, то на 40 итп, в общем рандомно.
Задача:
Сказать прокси серверу SQUID, чтоб именно https он не отправлял в каскад, а напрямую ходил за ним в инет и отдавал его своим клиентам.Остальное же - каскадировать в антинтивирь.
Прошу сразу исключить реплики типа «Выкинь свой антивирус» итп, т.к это не возможно (деньги за лицуху оплачены и возвращать их никто не собирается, разговоры уже были, разработчики только кормят завтраками о новых релизах в которых проблема будет исправлена, ну и продлевают лицензию нахаляву до момента исправления проблемы) Сканить пользовательский http все-таки нужно, т.к зараза лупится антивирем еще до момента доставки её пользователю (статистика показывает результаты) Насчет https это понятно, что он зашифрован и сканировать его невозможно, но вот антивирь его к сожалению без косяков через себя прожевать не может. Отключить у пользователей прокси для https тоже не возможно, т.к у пользователей нету NAT (инет для них только через пркоси)
В общем прошу помощи :)
Вот squid.conf

cat /etc/squid/squid.conf
#Директория с HTML страницами для ошибок
error_directory /usr/share/squid/errors/Russian-1251
#Параметры аутентификации
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
#Количество дочерних процессов ntlm_auth
auth_param ntlm children 10
#Скрипт аутентификации (читает группы пользователей в AD)
external_acl_type nt_group ttl=90 %LOGIN /usr/lib/squid/wbinfo_group.pl
#Каскадный прокси
cache_peer 127.0.0.1 parent 8082 0 no-query default
acl all src 0.0.0.0/0.0.0.0
never_direct allow all
http_port 192.168.0.254:3128
acl white_list url_regex -i "/etc/squid/white_list"
acl white_list_block url_regex -i "/etc/squid/white_list_block"
acl black_list url_regex -i "/etc/squid/black_list"
acl Internet external nt_group gInternet
acl Full external nt_group gInternetFull
acl Medium external nt_group gInternetMedium
acl Low external nt_group gInternetLow

acl localhost src 192.168.0.254
acl guests src 192.168.5.0/255.255.255.0

acl nt_group proxy_auth REQUIRED
acl manager proto cache_object

http_access allow guests
http_access allow localhost
http_access allow manager localhost
cachemgr_passwd secret all

http_access deny Low white_list_block
http_access allow Low white_list

acl obed time 13:00-14:00
http_access allow Medium black_list obed

http_access deny Medium black_list
http_access allow Medium
http_access allow Full
http_access allow Internet
http_access deny all

access_log /var/log/squid/access.log
logfile_rotate 2


там же есть возможность ацл на запросы к паренту наложить? вот и наложить ацл невключающий хттпс на стандартные порты.

конкретно ответить, в сквиде многое менялось и лень смотреть текущие названия.

psv1967 ★★★★★ ()

Курим ман

acl CONNECT method CONNECT
acl SSL_ports port 443

never_direct deny SSL_ports CONNECT
never_direct allow all

Так пробовал?

Pinkbyte ★★★★★ ()

Зачем кэшировать ответы антинтивиря? Поменяй местами.

anonymous ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.