ShyLion Опубликовано 27 января, 2017 · Жалоба Приветствую. Пытаюсь настроить элементарный прозрачный конфиг, без подделки сертификатов, но получается так, что либо нормально фильтруется https и полностью пропускается http, либо нормально фильтруется http и полностью не пропускается https. Конфиг элементарный: http_port 10.96.243.1:3128 intercept options=NO_SSLv3:NO_SSLv2 http_port 10.96.243.1:3130 options=NO_SSLv3:NO_SSLv2 https_port 10.96.243.1:3129 intercept ssl-bump options=ALL:NO_SSLv3:NO_SSLv2 connection-auth=off cert=/etc/squid/squidCA.pem acl localnet src 10.0.0.0/8 # RFC1918 possible internal network acl SSL_ports port 443 acl Safe_ports port 80 # http acl Safe_ports port 443 # https acl CONNECT method CONNECT acl http_allow dstdomain "/etc/squid/http_allow_domains.txt" acl https_allow ssl::server_name "/etc/squid/https_allow_domains.txt" sslproxy_cert_error allow all sslproxy_flags DONT_VERIFY_PEER acl step1 at_step SslBump1 ssl_bump peek step1 ssl_bump splice https_allow ssl_bump terminate all cache deny all http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access allow localhost manager http_access deny manager http_access allow all http_allow http_access allow all https_allow http_access deny all always_direct allow all coredump_dir /var/spool/squid refresh_pattern . 0 0% 0 logformat ssl %ts.%03tu %6tr %>a %la:%lp %Ss/%03>Hs %<st %rm %ssl::>sni %ru %[un %Sh/%<a %mt access_log daemon:/var/log/squid/access.log logformat=ssl # cat http_allow_domains.txt .google.com # cat https_allow_domains.txt .google.com В таком виде фильтруется http, а https не работает - выдает самоподписаную страницу с отказом доступа. если правила доступа поменять на: http_access allow all То начинает нормально фильтроваться https, а http пропускается весь, что логично. Что я делаю не так???? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 27 января, 2017 · Жалоба Сам спросил, сам ответил: acl http_proto proto http http_access allow all http_allow http_access deny http http_access allow all Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
npokypop Опубликовано 30 января, 2017 · Жалоба зачем сквид нынче в век https ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vlad11 Опубликовано 31 января, 2017 · Жалоба зачем сквид нынче в век https ? Гибче скорость режется, есть кеширование и запреты проще ставятся. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 31 января, 2017 · Жалоба зачем сквид нынче в век https ? В офисе squid+ssl_bump - нормальное решение. Потому что через доменные политики можно свой CA воткнуть Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
npokypop Опубликовано 2 февраля, 2017 · Жалоба Ну если только на уровне офиса или предприятия. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vitos.barboz Опубликовано 4 сентября, 2017 · Жалоба В 02.02.2017 в 21:29, npokypop сказал: Ну если только на уровне офиса или предприятия. А какая альтернатива есть squid, не коммерческое ПО? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 4 сентября, 2017 · Жалоба 4 минуты назад, vitos.barboz сказал: А какая альтернатива есть squid, не коммерческое ПО? Вообще-то, немного не коммерческое железо вполне умеет и политики пользователям нарезать. Сквид - неуместен, эффективность его по кэшу я ни разу не подтверждал у себя. АСЛ сквида - для http только, https - ну не годится никуда. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vitos.barboz Опубликовано 4 сентября, 2017 · Жалоба Доброго времени суток. Вопросики по матчасти без конфигов=) Пытаюсь ограничить аудио, видео потоки. Схема следующая: -ни кто не может выйти без указания прокси-сервера за пределы локальной сети -на шлюзе редирект на страничку с информацией обращения к администратору для настройки прокси-сервера -при настроенном прокси-сервере могу фильтровать обращение к сайтам. Не получается ограничить в правилах аудио, видео потоки (например youtube.com не закрывал, но закрыл googlevideo.com и теперь видео не воспроизводится на ютубе и на любом другом сайте, где вставлена ссылка на видео находящееся на ютуб) Но я так понимаю в https влезть нельзя и из-за этого нельзя ограничить потоковое аудио и видео? Фильтровать получиться, если установить сертификаты на клиентах? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vitos.barboz Опубликовано 5 сентября, 2017 · Жалоба 15 часов назад, YuryD сказал: Вообще-то, немного не коммерческое железо вполне умеет и политики пользователям нарезать. Сквид - неуместен, эффективность его по кэшу я ни разу не подтверждал у себя. АСЛ сквида - для http только, https - ну не годится никуда. Здравствуйте. Какое именно железо? Так если мы говорим о прокси прозрачном, то да. Но когда жестко у клиента прописан прокси, то тут уже acl хоть для http или https работают, так как обращение к внешним ресурсам идет от имени прокси-сервера. То есть прописывая прокси-сервер на клиенте, он заведомо доверяет от своего имени обращаться к внешним ресурсам. Соответственно фильтрацию можно произвести с помощью acl. Разве не так?Поправьте, если я ошибаюсь. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
oleg_n Опубликовано 5 сентября, 2017 · Жалоба В 1/31/2017 в 21:35, s.lobanov сказал: В офисе squid+ssl_bump - нормальное решение. Потому что через доменные политики можно свой CA воткнуть А как у сквида сейчас с HPKP/certificate_pinning? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vop Опубликовано 5 сентября, 2017 · Жалоба Насколько я знаю, для https трафика прокси использует метод CONNECT. Или я уже отстал от жизни? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vitos.barboz Опубликовано 7 сентября, 2017 · Жалоба В 05.09.2017 в 16:07, vop сказал: Насколько я знаю, для https трафика прокси использует метод CONNECT. Или я уже отстал от жизни? Именно Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
terrible Опубликовано 7 сентября, 2017 · Жалоба В 04.09.2017 в 17:57, vitos.barboz сказал: А какая альтернатива есть squid, не коммерческое ПО? 3proxy например, правда конфигов и подсказок в интернете маловато по нему, придётся потрахаццо малец, но работает норм. В режиме intercept тоже работает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...