LINUX.ORG.RU
ФорумAdmin

squid и всяческие ссылки внутри сайта

 


0

1

Здравствуйте. Добавляю я в белый список сайт drive.ru

squid.conf



acl block_https src 192.168.20.37 #наш тестовый комп

#Подключаем файлик белого списка
acl whitelist url_regex -i «/opt/squid/etc/list/whitelist»

#Разрешаем запрещаем
http_access allow whitelist block_https
http_access deny block_https


/opt/squid/etc/list/whitelist


img\.drive\.ru
drive\.ru
tns-counter\.ru
yadro\.ru
scorecardresearch\.com
ads\.adfox\.ru
img\.youtube\.com
scorecardresearch\.com
ad\.adriver\.ru
content\.adfox\.ru
ad\.doubleclick\.net
st\.top100\.ru
scorecardresearch\.com
tns-counter\.ru
cstatic\.weborama\.fr
counter\.rambler\.ru
google-analytics\.com
tns-counter\.ru



Но сайт по прежнему не открывает картинки статей, подскажите пожалуйста, как вы организовываете белый список сайтов? Где найти ссылки которые нужно открыть для определённого сайта?

squid.log


1439283021.510 135 192.168.20.37 TCP_MISS/200 9921 GET http://www.drive.ru/ - HIER_DIRECT/146.255.192.78 text/html
1439283021.522 0 192.168.20.37 NONE/000 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1439283021.529 1 192.168.20.37 NONE/000 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1439283021.529 0 192.168.20.37 NONE/000 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1439283021.529 0 192.168.20.37 NONE/000 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1439283021.531 1 192.168.20.37 NONE/000 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1439283021.531 0 192.168.20.37 NONE/000 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1439283021.531 0 192.168.20.37 NONE/000 0 CONNECT img.youtube.com:443 - HIER_NONE/- -
1439283021.537 0 192.168.20.37 NONE/000 0 CONNECT img.youtube.com:443 - HIER_NONE/- -
1439283021.537 0 192.168.20.37 NONE/000 0 CONNECT img.youtube.com:443 - HIER_NONE/- -
1439283021.538 0 192.168.20.37 NONE/000 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1439283021.538 0 192.168.20.37 NONE/000 0 CONNECT img.youtube.com:443 - HIER_NONE/- -
1439283021.538 0 192.168.20.37 NONE/000 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1439283021.539 0 192.168.20.37 NONE/000 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1439283021.551 0 192.168.20.37 NONE/000 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1439283021.553 0 192.168.20.37 NONE/000 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1439283021.554 0 192.168.20.37 NONE/000 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1439283021.554 0 192.168.20.37 NONE/000 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1439283021.555 0 192.168.20.37 NONE/000 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1439283021.568 0 192.168.20.37 NONE/000 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1439283021.569 0 192.168.20.37 NONE/000 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1439283021.571 0 192.168.20.37 NONE/000 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1439283021.576 0 192.168.20.37 NONE/000 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1439283021.579 0 192.168.20.37 NONE/000 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1439283021.585 3 192.168.20.37 NONE/000 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1439283021.585 3 192.168.20.37 NONE/000 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1439283021.608 0 192.168.20.37 NONE/000 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1439283021.609 0 192.168.20.37 NONE/000 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1439283021.609 0 192.168.20.37 NONE/000 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1439283021.610 0 192.168.20.37 NONE/000 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1439283021.611 0 192.168.20.37 NONE/000 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1439283021.611 0 192.168.20.37 NONE/000 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1439283021.618 6 192.168.20.37 NONE/000 0 CONNECT img.youtube.com:443 - HIER_NONE/- -
1439283021.619 0 192.168.20.37 NONE/000 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1439283021.619 0 192.168.20.37 NONE/000 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1439283021.619 0 192.168.20.37 NONE/000 0 CONNECT img.youtube.com:443 - HIER_NONE/- -
1439283021.620 0 192.168.20.37 NONE/000 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1439283021.620 0 192.168.20.37 NONE/000 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1439283021.620 0 192.168.20.37 NONE/000 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1439283021.620 0 192.168.20.37 NONE/000 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1439283021.621 0 192.168.20.37 NONE/000 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1439283021.633 11 192.168.20.37 NONE/000 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1439283021.635 0 192.168.20.37 NONE/000 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1439283021.635 0 192.168.20.37 NONE/000 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1439283021.636 0 192.168.20.37 NONE/000 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1439283021.636 0 192.168.20.37 NONE/000 0 CONNECT img.youtube.com:443 - HIER_NONE/- -
1439283021.647 0 192.168.20.37 NONE/000 0 CONNECT img.youtube.com:443 - HIER_NONE/- -
1439283021.649 0 192.168.20.37 NONE/000 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1439283021.650 0 192.168.20.37 NONE/000 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1439283021.650 0 192.168.20.37 NONE/000 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1439283021.656 4 192.168.20.37 NONE/000 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1439283021.810 134 192.168.20.37 TCP_MISS/200 670 GET http://ads.adfox.ru/59610/prepareCode - HIER_DIRECT/87.250.250.92 application/x-javascript
1439283021.959 82 192.168.20.37 TCP_MISS/200 9149 GET http://ads.adfox.ru/59610/prepareCode - HIER_DIRECT/87.250.250.92 application/x-javascript
1439283021.980 4 192.168.20.37 TCP_DENIED/403 3881 GET http://www.google-analytics.com/ga.js - HIER_NONE/- text/html
1439283022.004 14 192.168.20.37 TCP_MISS/204 306 GET http://b.scorecardresearch.com/b - HIER_DIRECT/188.43.74.57 -
1439283022.016 0 192.168.20.37 TCP_DENIED/403 4270 GET http://drive.solution.weborama.fr/fcgi-bin/comptage_wreport.fcgi - HIER_NONE/- text/html
1439283022.118 135 192.168.20.37 TCP_MISS/200 326 GET http://counter.yadro.ru/hit;DRIVE - HIER_DIRECT/88.212.201.193 image/gif
1439283022.144 133 192.168.20.37 TCP_MISS/200 538 GET http://counter.rambler.ru/top100.scn - HIER_DIRECT/81.19.88.103 image/gif 1439283022.342 357 192.168.20.37 TCP_MISS/302 627 GET http://www.tns-counter.ru/V13a***R%3E*drive_ru/ru/UTF-8/tmsec=drive_total/539659659 - HIER_DIRECT/194.226.131.227 image/gif 1439283022.717 66 192.168.20.37 TCP_MISS/200 5382 GET http://www.drive.ru/browserconfig.xml - HIER_DIRECT/146.255.192.78 text/html 1439283023.174 831 192.168.20.37 TCP_MISS/200 492 GET http://www.tns-counter.ru/V13b***R%3E*drive_ru/ru/UTF-8/tmsec=drive_total/539659659 - HIER_DIRECT/194.226.131.227 image/gif

ссыль, на картинку, как у меня открывается сайт
И забыл iptables отключён (по умолчанию чистый debian + squid + openssl)



Последнее исправление: MuTbKa (всего исправлений: 1)

NONE/000 0 CONNECT img.drive.ru:443 - HIER_NONE/- -

В качестве бреда: картинки лежат на https который ты забанил?

Pinkbyte ★★★★★
()

Все очень просто, если бы не поленились почитать документацию, то стало бы ясно, что просто так squid не умеет работать с https. То есть грузить от туда он никогда ничего не будет. А совестно откройте людям выход на https через ваш firewall, таким образом что бы 80 порт проксировался squid-ом, а https уходило в обход его. И ваша проблема решена.

yakunin
()
Ответ на: комментарий от MuTbKa

Почитайте в интернете на тему squid Squid3 в режиме SSLBump

А потом народ по делу на какой-нибудь Gmail зайти не может, ибо внешний сервер детектит MitM-атаку и посылает такое соединение как небезопасное. И правильно делает.

KRoN73 ★★★★★
()
Ответ на: комментарий от Pinkbyte

Пытался написать
img\.drive\.ru\:443
по прежнему те же логи

MuTbKa
() автор топика
Ответ на: комментарий от KRoN73

Как тогда вы предложите фильтровать трафик для 100 компьютеров находящихся в одном домене, кроме как раскидать их по группам, а в сквиде уже на эти группы запрещённые и разрешённые правила наложить.

MuTbKa
() автор топика
Ответ на: комментарий от MuTbKa

Я не сказал что squid не умеет https, через свои собственные сертификаты, я сказал что делает он это криво. И какой смысл блочить на уровне фаервола https вообще? Ну, я понимаю, параною никто не отменял, сам страдаю иногда, каюсь! :)

yakunin
()
Ответ на: комментарий от yakunin

Дело не в моей паранои. Дело в прихоти заказчика, у него так настроено, а моя задача уметь восстановить это всё в случае краха... Вот сижу, репу чешу) Началось всё с этого вредного сайта, а теперь и выяснилось что gmail.com тоже не открывается, с ошибкой
1439346682.713 0 192.168.20.37 TCP_DENIED/403 3593 CONNECT mail.google.com:443 - HIER_NONE/- text/html

MuTbKa
() автор топика
Ответ на: комментарий от MuTbKa

Правильно и все по той же причине, и любой другой сайт который будет на https будет вести себя так же. Но проксировать https это конечно сильно, хотя возможно вполне.

Попробуй в конфиг добавить:

acl SSL method CONNECT

И не плохо было бы вообще конфиг морского гада увидеть... ) Ну и вот... сравни (вдруг поможет):

https_port 443
cert=/path/to/CertAuth/testcert.cert key=/path/to/CertAuth/testkey.pem defaultsite=mywebsite.mydomain.com vhost
cache_peer 10.112.62.20 parent 80 0 no-query originserver login=PASS name=websiteA

acl sites_server_1 dstdomain websiteA.mydomain.com
cache_peer_access websiteA allow sites_server_1
http_access allow sites_server_1
yakunin
()
Ответ на: комментарий от yakunin

Извиняюсь что долго не отвечал. В моём конфиге всё пока проще.

squid.conf


#Заводим группы, присваиваим IP адреса
acl block_https src 192.168.20.37 #наш тестовый комп, где мы заблокируем vk.com
acl admin src 192.168.20.1-192.168.20.30 #им мы разрешим всё


#Подключаем файлик белого списка
acl whitelist url_regex -i «/opt/squid/etc/list/whitelist»

#Подключаем файлик чёрного списка
acl blacklist url_regex -i «/opt/squid/etc/list/blacklist»

#Тест блока по ip
acl allownet dst 74.125.143.19

#Разрешаем запрещаем
http_access allow whitelist block_https
http_access allow allownet block_https
http_access deny block_https

#Разрешаем всё
http_access allow admin

#Кол-во ОЗУ для SQUID
cache_mem 32 MB
#Формат хранилища SQUID - ufs. Размер кеша(МБ): 1000. Кеш первого уровня: 16, кеш второго - 256.#назначаем кэш папку
cache_dir ufs /opt/squid/var/cache/squid 200 16 256

#лог доступа
cache_access_log /opt/squid/var/logs/access.log

#Таблица MIME-типов для SQUID
mime_table /opt/squid/etc/mime.conf

#Адрес(а) DNS сервера(ов)
#dns_nameservers 192.168.1.254


acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

# Deny requests to certain unsafe ports
http_access deny !Safe_ports

# Deny CONNECT to other than secure SSL ports
http_access deny CONNECT !SSL_ports

# And finally deny all other access to this proxy
http_access deny all

# Squid normally listens to port 3128
http_port 3128 ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/opt/squid/etc/squidCA.pem
always_direct allow all
ssl_bump allow all
sslproxy_cert_error allow all
sslproxy_flags DONT_VERIFY_PEER

# Leave coredumps in the first cache dir
coredump_dir /opt/squid/var/cache/squid

# Add any of your own refresh_pattern entries above these.
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320

Вот сюда скину прям весь мой конфиг сквида из /etc/

MuTbKa
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.