Яндекс браузер обходит squid

3

1

Имеется сервер на debian с двумя сетевыми картами. squid 2.7 + sams C недавнего времени обнаружил, что Яндекс браузер в режиме турбо с легкостью обходит любую блокировку. Как это можно запретить?

Настройки NAT следующие: #!/bin/sh #Включаем форвадинг пакетов echo 1 > /proc/sys/net/ipv4/ip_forward #Разрешаем трафик на loopback-интерфейсе iptables -A INPUT -i lo -j ACCEPT #Блокировка vpn расширения для хрома iptables -A FORWARD -p tcp --dport 443 -m string --string «chrome.google.com» --algo kmp --to 65535 -j REJECT #Разрешаем доступ из внутренней сети наружу iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT #Включаем NAT iptables -t nat -A POSTROUTING -o eth0 -s 192.168.1.0/24 -j MASQUERADE #Разрешаем ответы из внешней сети iptables -A FORWARD -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT #Запрещаем доступ снаружи во внутреннюю сеть iptables -A FORWARD -i eth0 -o eth1 -j REJECT #Заворачиваем http на прокси iptables -t nat -A PREROUTING -i eth1 ! -d 192.168.1.0/24 -p tcp -m multiport --dports 80,8080 -j DNAT --to 192.168.1.100:3128

Настройки squid: acl all src all acl manager proto cache_object acl localhost src 127.0.0.1/32 acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 acl SSL_ports port 443 # https acl SSL_ports port 563 # snews acl SSL_ports port 873 # rsync acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl Safe_ports port 631 # cups acl Safe_ports port 873 # rsync acl Safe_ports port 901 # SWAT acl purge method PURGE acl CONNECT method CONNECT

acl full-access src 192.168.1.56 192.168.1.58 acl localnet src 192.168.1.0/24 acl dinner time 12:29-13:31 acl bad_url url_regex «/etc/squid/acl/bad_url» acl filetypes urlpath_regex -i «/etc/squid/acl/filetypes» acl bad_hosts url_regex «/etc/squid/acl/bad_hosts» #acl br browser Opera, Mozilla

http_access allow manager localhost http_access deny manager http_access allow purge localhost http_access deny purge http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access allow localhost

#http_access deny !br http_access deny bad_url !dinner !full-access http_access deny filetypes !full-access http_access deny bad_hosts !dinner !full-access http_access allow localnet http_access allow full-access

icp_access allow localnet icp_access deny all

http_port 192.168.1.100:3128 transparent

hierarchy_stoplist cgi-bin ?

cache_dir ufs /var/spool/squid 4096 32 256 access_log /var/log/squid/access.log squid

Ссылка

←	Удаление определенных строк из лога squid

mail relay на debian + exim4

→

так в нем же опера турбо

anonymous
(25.11.15 15:40:26 MSK)

Ссылка

Внимание: прочитайте описание разметки LORCODE

anonymous
(25.11.15 15:58:22 MSK)

Ссылка

заблокировать яндексбраузер! в режиме турбо, он ходит через их сервера в туннеле(скорее всего) с шифрованием... хрен заблочишь просто так...

constantis
(25.11.15 15:58:42 MSK)

Ответ на: комментарий от constantis 25.11.15 15:58:42 MSK

хрен заблочишь просто так

А узлы заблокировать нэ?

~~Valkeru~~ ★★★★
(25.11.15 16:46:41 MSK)

браузер в режиме турбо

ходит на 443 порт шифрованным каналом, который никогда и не перехватывался сквидом?

targitaj ★★★★★
(25.11.15 16:47:58 MSK)

Ответ на: комментарий от Valkeru 25.11.15 16:46:41 MSK

По ip пробовал блокировать, не помогает.

R12
(25.11.15 17:17:49 MSK) автор топика

Ответ на: комментарий от targitaj 25.11.15 16:47:58 MSK

Получается так

R12
(25.11.15 17:19:28 MSK) автор топика

Ссылка

Ответ на: комментарий от R12 25.11.15 17:17:49 MSK

Что значит не помогает? Может этот был не тот ip?

anc ★★★★★
(25.11.15 17:23:38 MSK)

Ссылка

Политика запретов провальная по умолчанию... Сами создаете себе головную боль, заняться больше нечем?

deterok ★★★★★
(25.11.15 17:27:48 MSK)

Ответ на: комментарий от deterok 25.11.15 17:27:48 MSK

Правильно, должен быть белый список сайтов, доступных для посещения!

blind_oracle ★★★★★
(25.11.15 18:13:13 MSK)

Ответ на: комментарий от blind_oracle 25.11.15 18:13:13 MSK

Ну как бы да, если на то пошло. Просто последний раз я подобные веяния видел в гос конторе пару лет назад...

deterok ★★★★★
(25.11.15 19:30:40 MSK)

Ссылка

Ответ на: комментарий от blind_oracle 25.11.15 18:13:13 MSK

Тупая трата человеческих ресурсов...

deterok ★★★★★
(25.11.15 19:30:55 MSK)

Ссылка

Вот тут обсуждается ещё одна проблема SQUID + HTTPS + современные браузеры http://rejik.ru/bb_rus/viewtopic.php?f=1&t=1323

Кратко: Идут запросы по IP, а не по URL

tyrpyr
(26.11.15 05:35:37 MSK)

Ответ на: комментарий от tyrpyr 26.11.15 05:35:37 MSK

Тему не читал, но сразу скажу что это лажа какаая-то. Запрос HTTPS должен в себя включать хостнейм как в SNI, так и в заголовке HTTP. Если этого нет, то беда у броузера с поддержкой стандартов.

blind_oracle ★★★★★
(26.11.15 09:34:00 MSK)