Здравствуйте! Несколько дней не могу разобраться, помогите пожалуйста.
Есть VPN сервер (pptpd (ppp0 Ip 192.168.5.1) на Ubuntu которая крутится на виртуальном сервере digitalocean). К серверу подключаются устройства к которым я не имею доступа.
Появилась необходимость блокировать сайты и ip которые фигурируют в реестре запрещённых сайтов роскомнадзора.
Я понял что это можно сделать с помощью Squid3. Был установлен php и добавлен скрипт который скачивает список заблокированных url и ip с сайта роскомсвободы. (скрипт
отсюда). Также оттуда же добавлены строки в настройки squid3.
Я понимаю что для того чтобы squid начал фильтровать трафик нужно перенаправлять весь трафик pptpd через него. Как это сделать? Ни одно решения из интернета не заработало.
Также как я понял что squid не может блокировать https. Как настроить блокировку и шифрованного трафика. Пробовал решение
отсюда не заработало (возможно из-за того что squid "не видит" трафик.
Содержание конфигурации squid3
отсюда +добавлены строки из статей о блокировке:
http_port 8085
icp_port 0
cache_mem 256 MB
memory_replacement_policy lru
maximum_object_size_in_memory 512 KB
cache_swap_low 90
cache_swap_high 95
access_log /var/log/squid3/access.log squid
logfile_rotate 12
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320
dns_nameservers 8.8.8.8 8.8.4.4
positive_dns_ttl 6 hours
negative_dns_ttl 1 minutes
#auth_param basic program /usr/lib/squid3/basic_ncsa_auth /etc/squid3/passwords
#auth_param basic children 5
#auth_param basic realm Please provide your username and password.
#auth_param basic credentialsttl 24 hour
#acl ncsa_users proxy_auth REQUIRED
acl block_rkn url_regex -i "/etc/squid3/rks_urls.acl"
acl localnet src 10.0.0.0/8 # RFC 1918 possible internal network
acl localnet src 172.16.0.0/12 # RFC 1918 possible internal network
acl localnet src 192.168.0.0/16 # RFC 1918 possible internal network
acl localnet src fc00::/7 # RFC 4193 local private network range
acl localnet src fe80::/10 # RFC 4291 link-local (directly plugged) machines
acl SSL_ports port 443 # https
acl SSL_ports port 22 # ssh
acl All_ports port 1-65535 # unregistered ports
acl CONNECT method CONNECT
http_access deny block_rkn
http_access allow localnet
#http_access allow ncsa_users
http_access allow All_ports
http_access allow CONNECT SSL_ports
http_access deny all
coredump_dir /var/spool/squid3
request_header_access Cache-Control deny all
https_port 127.0.0.1:3130 transparent ssl-bump generate-host-certificates=on cert=/etc/squid/ssl/squid.pem
key=/etc/squid/ssl/squid.key
acl badips dst "/etc/squid/rks_ips.acl"
ssl_bump server-first badips
Простой
