LINUX.ORG.RU
решено ФорумAdmin

«Прозрачный» Squid с фильтрацией HTTPS ресурсов без подмены сертификатов

 , ,


1

3

Не знаю поможете ли... На компе поднял debian шлюз, установил Squid 3.5.8 как на http://linux-admin.tk/?action=viewArticle&articleId=31 Наверное слишком замахнулся потому что даже просто http-фильтр не работает как на http://break-people.ru/cmsmade/index.php?page=articles_squid_practice_how_to_...

Может не работает из-за неправильной компиляции? но командная строка в вебмине не показывает ошибок, выхлоп похож на тот который в первой ссылке... cache.log тоже не дает ошибок... даже пробовал дефолтный конф с http://wiki.squid-cache.org/Squid-3.5, добавлял свою сеть, список белых сайтов, передвигал на самый верх... кальмар (тестирую на виэмваре) после применения изменений или все блокирует или вообще ничего не фильтрует...

буду очень рад помощи.

-----------------------------------------------немного засраный конф, пытался настроить под белый список http-сайтов... могу дать начальный, т.е. дефолтный + моя сеть и на нем уже ваять рабочий конфиг... для начала пойдет фильтр для http-сайтов...

http_port 3128

acl localnet src 192.168.1.0/24 # RFC1918 possible internal network acl all src all acl allowed_protocol proto http acl allowed_port port 80 acl allowed_sites dstdomain break-people.ru acl whitelist dstdomain «/etc/squid/whitelist»

acl SSL_ports port 443 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl Safe_ports port 1025-65535 # unregistered ports acl CONNECT method CONNECT

http_access deny all http_access deny whitelist http_access allow allowed_protocol allowed_port allowed_sites localnet http_access deny !Safe_ports

# # INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS #

http_access deny CONNECT !SSL_ports #http_access allow localnet http_access allow localhost manager http_access deny manager http_access allow localhost

cache deny all

refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern -i (/cgi-bin/|\?) 0 0% 0 refresh_pattern . 0 20% 4320 cache_effective_user proxy cache_effective_group proxy

dns_nameservers 192.168.1.1



Последнее исправление: trancid (всего исправлений: 1)

Можно оформить в лор код?) хотелось бы весь конфиг кальмара
юзаю 3.5 нареканий нет, правда http, s пока было незачем,

но командная строка в вебмине не показывает ошибок

пробовал самс, еще пару обверток на кальмара, стоит вебмин на сервере но для других сервисов, для конфигурирования squid'a использую только конфиги(пля тофтология)

julixs ★★★
()
Ответ на: комментарий от julixs

как сделать чтобы конфиг отобразился как бы в поле потемнее и без изменений абзацев? по умолчанию в дебиане выключен файрвол, но у меня кажет включен, может ли он мешать? хотя не думаю... попробую с нуля опять поставить дебиана... а можно ли поставить на реальный комп и сам этот комп проксить? как никак он же сам относится к 192.168.1.0/24...

trancid
() автор топика
Ответ на: комментарий от Radjah

какой именно абзац почитать? параграф? цитата? спойлер (почему в ленте и где эта лента?)? если каждую строку отделять строкой? или после каждой строки ставить br? как-то не по-человечески тут...

trancid
() автор топика

уже ваять рабочий конфиг... для начала пойдет фильтр для http-сайтов...

Вот тут посмотри.

julixs ★★★
()
7 ноября 2016 г.

Куча народу с той темы (и с хабра) юзают Squid, ни у кого не возникает проблем таких, судя по комментариям. Я лично поднял 4 сервера с нуля, и прикручивал Squid ровно по тем инструкциям. Когда оформишь нормально свой код на Лоре, тогда и подскажут.

З.Ы.: ты сам глянь на конфиг. Ты видишь отличия от того, который предлагает автор той статьи? Я вижу. При использовании даже копипаста со статьи, настройки подсети ровно такой же, как у автора + правильная настройка файрвола = все работает

NIXoVOD
()
Ответ на: комментарий от thesis

У меня на клиентах везде явно прописано и работает без костылей.
Но видимо, кому-то удобнее делать так.

ArcFi
()
Ответ на: комментарий от ArcFi

Нарезать доступ к хостам при помощи локального ДНС действительно удобно. Требует, конечно, чтобы юзер не имел локального рута, но это, как и локальный днс-сервер - само собой разумеющиеся штуки для корпоративной среды.

thesis ★★★★★
()
Последнее исправление: thesis (всего исправлений: 1)
Ответ на: комментарий от thesis

Нарезать доступ к хостам при помощи локального ДНС действительно удобно.

Быть может, но корректность работы на том же уровне, что и у сабжа.

ArcFi
()
15 января 2017 г.
25 июня 2017 г.

Всем добрый день. Пожалуйста поясните один момент про squid. В статьях https://m.habrahabr.ru/post/267851/ https://m.habrahabr.ru/post/272733/ squid узнает имя домена для https ресурса, на который хочет зайти клиент на основе SNI (Server name indication) это когда имя целевого сервера передается в незашифрованном виде(Вопрос 1 : правильно ли я это понимаю?). Так вот вопрос 2: как будет вести себя squid(при настройках как в статьях), если на целевом сервере sni отключен?

rumgot ★★★★★
()

И еще вопрос. Это клиент решает использовать использовать SNI? Или это сервер говорит клиенту: мол используй ка SNI?

rumgot ★★★★★
()
16 февраля 2018 г.
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin