LINUX.ORG.RU
ФорумAdmin

Правило блокировки (squid) не правильно работает с https

 , ,


0

1

Доброго времени суток, обрабатываю 2 списка доступа, и в одном из них записаны адреса почтовых доменов. При срабатывании этого правила вместо редиректа на страцу с банером (site_error.html) появляется ошибка в браюзере <<•Убедитесь, что веб-адрес https://mail.yandex.ru правильный.>> я так понимаю проблема именно с https ! Подскажите что может быть.

visible_hostname SQUID-Server
http_port 3128
snmp_port 3401
cache_dir ufs /var/cache/squid 100 16 256
coredump_dir /var/cache/squid
ssl_unclean_shutdown off
forwarded_for off

cache_replacement_policy heap GDSF
cache_mem 256 MB
cache_swap_high 90
cache_swap_low 80

maximum_object_size 16384 KB
minimum_object_size 0 KB

cache_effective_user squid
cache_effective_group squid

debug_options ALL,1,28,9,82,9

diskd_program /usr/lib/squid/diskd

connect_timeout 5 minutes
peer_connect_timeout 600 seconds
read_timeout 10 minutes
request_timeout 5 minutes

half_closed_clients off
pconn_timeout 600 seconds
shutdown_lifetime 6 seconds

auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 30

auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 250
auth_param basic realm Squid proxy-caching web server auth_param basic credentialsttl 2 minutes
external_acl_type nt_group ttl=0 %LOGIN /usr/lib/squid/wbinfo_group.pl

acl localnet src 192.168.1.0/24 # RFC1918 possible internal network
acl localnet src fc00::/7 # RFC 4193 local private network range
acl localnet src fe80::/10 # RFC 4291 link-local (directly plugged) machines

acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 901 # SWAT

acl CONNECT method CONNECT
acl DOMAIN proxy_auth REQUIRED

acl Domain_users_internet external nt_group internet
acl Access_No_Limit external nt_group inet_no_limit

acl ban_word url_regex -i «/etc/squid/acls/no_word»
acl site_deny dstdomain -i «/etc/squid/acls/site_deny»
acl mail_deny dstdomain -i «/etc/squid/acls/mail_deny»
####################################################
deny_info http://192.168.1.2/site_error.html site_deny
deny_info http://192.168.1.2/site_error.html mail_deny
deny_info http://192.168.1.2/site_error.html SSL-ports
http_access allow localhost
http_access allow Access_No_Limit

http_access deny CONNECT !SSL_ports
http_access deny DOMAIN Domain_users_internet mail_deny
http_access deny DOMAIN Domain_users_internet site_deny
http_access deny !Safe_ports
http_access deny DOMAIN Domain_users_internet ban_word
http_access allow Domain_users_internet all
http_access deny all

snmp_access allow snmpcommunity localhost
snmp_access deny all

refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320


Защищённые соединения на то и защищённые, чтобы кто-то посередине типа тебя с прокси не мог просто так вмешаться в трафик или подслушать его. Гугли «squid https intercept».

i-rinat ★★★★★ ()

пробуйте прописывать http (без -"s" на последней);

>> и, что-то там менялось в самой хитектуре, я как человек следящий за нетом, с одного ARM(имеется ввиду «по железу») и с Ведроида среднего разлива диста, тоже подмечал некоторые несостыковки.

anonymous ()
Ответ на: комментарий от i-rinat

ой, а попробывать ещё Рамблёра и MyBB, для сравнения доступа.

anonymous ()

С добрым утром, squid не может https. Потому что это https.

targitaj ★★★★★ ()
Ответ на: комментарий от exception13

ну он ж должен сперва сказать CONNECT куда и на какой порт

Браузер будет ждать TLS, а ему в ответ прилетает сообщение простым текстом.

i-rinat ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.