LINUX.ORG.RU
ФорумAdmin

Яндекс браузер обходит squid

 ,


3

1

Имеется сервер на debian с двумя сетевыми картами. squid 2.7 + sams C недавнего времени обнаружил, что Яндекс браузер в режиме турбо с легкостью обходит любую блокировку. Как это можно запретить?

Настройки NAT следующие: #!/bin/sh #Включаем форвадинг пакетов echo 1 > /proc/sys/net/ipv4/ip_forward #Разрешаем трафик на loopback-интерфейсе iptables -A INPUT -i lo -j ACCEPT #Блокировка vpn расширения для хрома iptables -A FORWARD -p tcp --dport 443 -m string --string «chrome.google.com» --algo kmp --to 65535 -j REJECT #Разрешаем доступ из внутренней сети наружу iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT #Включаем NAT iptables -t nat -A POSTROUTING -o eth0 -s 192.168.1.0/24 -j MASQUERADE #Разрешаем ответы из внешней сети iptables -A FORWARD -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT #Запрещаем доступ снаружи во внутреннюю сеть iptables -A FORWARD -i eth0 -o eth1 -j REJECT #Заворачиваем http на прокси iptables -t nat -A PREROUTING -i eth1 ! -d 192.168.1.0/24 -p tcp -m multiport --dports 80,8080 -j DNAT --to 192.168.1.100:3128

Настройки squid: acl all src all acl manager proto cache_object acl localhost src 127.0.0.1/32 acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 acl SSL_ports port 443 # https acl SSL_ports port 563 # snews acl SSL_ports port 873 # rsync acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl Safe_ports port 631 # cups acl Safe_ports port 873 # rsync acl Safe_ports port 901 # SWAT acl purge method PURGE acl CONNECT method CONNECT

acl full-access src 192.168.1.56 192.168.1.58 acl localnet src 192.168.1.0/24 acl dinner time 12:29-13:31 acl bad_url url_regex «/etc/squid/acl/bad_url» acl filetypes urlpath_regex -i «/etc/squid/acl/filetypes» acl bad_hosts url_regex «/etc/squid/acl/bad_hosts» #acl br browser Opera, Mozilla

http_access allow manager localhost http_access deny manager http_access allow purge localhost http_access deny purge http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access allow localhost

#http_access deny !br http_access deny bad_url !dinner !full-access http_access deny filetypes !full-access http_access deny bad_hosts !dinner !full-access http_access allow localnet http_access allow full-access

icp_access allow localnet icp_access deny all

http_port 192.168.1.100:3128 transparent

hierarchy_stoplist cgi-bin ?

cache_dir ufs /var/spool/squid 4096 32 256 access_log /var/log/squid/access.log squid



Последнее исправление: R12 (всего исправлений: 1)

так в нем же опера турбо

anonymous
()

Внимание: прочитайте описание разметки LORCODE

anonymous
()

заблокировать яндексбраузер! в режиме турбо, он ходит через их сервера в туннеле(скорее всего) с шифрованием... хрен заблочишь просто так...

constantis
()

браузер в режиме турбо

ходит на 443 порт шифрованным каналом, который никогда и не перехватывался сквидом?

targitaj ★★★★★
()
Ответ на: комментарий от R12

Что значит не помогает? Может этот был не тот ip?

anc ★★★★★
()

Политика запретов провальная по умолчанию... Сами создаете себе головную боль, заняться больше нечем?

deterok ★★★★★
()
Ответ на: комментарий от blind_oracle

Ну как бы да, если на то пошло. Просто последний раз я подобные веяния видел в гос конторе пару лет назад...

deterok ★★★★★
()
Ответ на: комментарий от tyrpyr

Тему не читал, но сразу скажу что это лажа какаая-то. Запрос HTTPS должен в себя включать хостнейм как в SNI, так и в заголовке HTTP. Если этого нет, то беда у броузера с поддержкой стандартов.

blind_oracle ★★★★★
()
Ответ на: комментарий от tyrpyr

Хоть коменты прочитали бы, там про прозрачный https речь идет, а это вообще отдельная песня.

anc ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin