LINUX.ORG.RU

Сообщения zz1666

 

Squid 4.8 выборочно блочит https

Потребовалось уйти от прокси с подменой сертификатов на прозрачный прокси без подмены. Было сделано: CentOS 7+squid4.8+dhcp+dns(named) Цель: работа по белому списку. Пока не отлажу - деление на группы не ввожу, да и тестировать удобней... Результат: некоторые сайты работают нормально - e1.ru, yandex.ru некоторые сайты сквид запрещает, не смотря на то, что они в белом списке
yaklass.ru
dnevnik.ru

Опытным путём выяснилось, что yaklass.ru запрещён из-за компонентов с других сайтов - https://ykl-upl.azureedge.net/upload/CustomLandingPageFiles/id-32610/ver-8/im... и прочих

В чем я дурак?

Белый список:

.e1.ru
.yandex.ru
.azureedge.net
.cdnjs.cloudflare.com
.www.yaklass.ru
.cdn.mathjax.org
.stats.g.doubleclick.net
.adriver.ru
.googleadservices.com
.amazonaws.com
.visualstudio.com
.googleapis.com
.bootstrapcdn.com
.googletagmanager.com
.dnevnik.ru

Конфиг squid:

acl localnet src 192.168.16.0/24 # локалка vm

acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 443 # https
acl CONNECT method CONNECT

#Белый список сайтов, по которому будет работать фильтр
acl _white dstdomain «/etc/squid/acl/white.acl»

#DNS для Squid. на клиентах прилетает по DHCP 192.168.16.1 (ip CentOS)
dns_nameservers 127.0.0.1

#Порты http
http_port 192.168.16.1:3128
http_port 192.168.16.1:3129 intercept
https_port 192.168.16.1:3130 intercept ssl-bump options=ALL:NO_SSLv3 connection-auth=off cert=/etc/squid/squidCA.pem

#принимаем даже ошибочные ssl сертификаты
sslproxy_cert_error allow all

#peek and splice
acl step1 at_step SslBump1
ssl_bump peek step1
ssl_bump splice all

sslcrtd_program /usr/local/squid/libexec/security_file_certgen -s /usr/local/squid/var/cache/squid/ssl_db -M 4MB
#ВРУЧНУЮ ВЫПОЛНИТЬ ПРОГРАММУ /usr/local/squid/libexec/security_file_certgen -c -s /usr/local/squid/var/cache/squid/ssl_db -M 4MB

#НЕ ЗАБЫТЬ НАСТРОИТЬ ПРАВА НА ПАПКУ СКВИДА, ГДЕ КЕШ на [23] squid /usr/local/squid/var/cache/squid

http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow _white
#http_access allow all
http_access deny all

#время завершения работы сквида
shutdown_lifetime 5 seconds

coredump_dir /usr/local/squid/var/cache/squid
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320
#logfile_rotate 4
pid_filename /var/run/squid.pid

 , ,

zz1666
()

Squid 4.x CentOS sslcrtd_program

Добрый день всем! Опишу суть проблемы: Настроена и работает система фильтрации на squid 3.5 с подменой сертификата https сайтам, из-за чего FireFox не пускает на некоторые сайты (недоверенное соединение). Некоторые сайты работают криво-косо, даже если соглашаемся на то, что мы понимаем риск и хотим продолжить, например: когда часть компонентов запрашиваемой страницы грузятся с других ресурсов, которые не были внесены в «игнор-лист безопасности». Попытка обновить сквид до последней, где всё должно нормально работать и без подмены сертификата заканчивается на отсутствии sslcrtd_program по нужному пути (/usr/local/squid/libexec/security_file_certgen или /usr/lib64/squid/ssl_crtd). Где её искать? Из-за этого SQUID падает в ошибку... Пробовал и сам компилировать сквид по инструкциям, и устанавливать из официального репозитория 4.1.5 - не ставится этот компонент и всё...

 

zz1666
()

NGINX https proxy

Добрый день, прошу сильно не пинать. Возник такой вопрос: В школе сейчас работает такая система фильтрации: По http фильтрует по именам, по https фильтрует по именам с подменой сертификата на свой. Частично https открыты пулом ip адресов, либо отдельным ip адресом.

Есть сайт, который работает на https, но открыть пул его адресов - почти нереально: он где-то на облаке размещен и использует множество разных адресов. По именам также открыть не получилось.

Задача: сделать второй nginx, который будет прокси-сервером под данный сайт, без подмены https. В инете нашел настройки только для обладателей таких серверов (когда приватный ключ также доступен). Есть идеи, или даже не думать об этом?

 

zz1666
()

RSS подписка на новые темы