Задать вопрос
@pablosmith

Как перенаправить трафик pptpd через squid?

Здравствуйте! Несколько дней не могу разобраться, помогите пожалуйста.
Есть VPN сервер (pptpd (ppp0 Ip 192.168.5.1) на Ubuntu которая крутится на виртуальном сервере digitalocean). К серверу подключаются устройства к которым я не имею доступа.
Появилась необходимость блокировать сайты и ip которые фигурируют в реестре запрещённых сайтов роскомнадзора.
Я понял что это можно сделать с помощью Squid3. Был установлен php и добавлен скрипт который скачивает список заблокированных url и ip с сайта роскомсвободы. (скрипт отсюда). Также оттуда же добавлены строки в настройки squid3.
Я понимаю что для того чтобы squid начал фильтровать трафик нужно перенаправлять весь трафик pptpd через него. Как это сделать? Ни одно решения из интернета не заработало.
Также как я понял что squid не может блокировать https. Как настроить блокировку и шифрованного трафика. Пробовал решение отсюда не заработало (возможно из-за того что squid "не видит" трафик.

Содержание конфигурации squid3 отсюда +добавлены строки из статей о блокировке:

http_port 8085
icp_port  0

cache_mem 256 MB
memory_replacement_policy lru
maximum_object_size_in_memory 512 KB

cache_swap_low 90
cache_swap_high 95

access_log /var/log/squid3/access.log squid
logfile_rotate 12

refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern .                 0     20%     4320

dns_nameservers 8.8.8.8 8.8.4.4
positive_dns_ttl 6 hours
negative_dns_ttl 1 minutes

#auth_param basic program /usr/lib/squid3/basic_ncsa_auth /etc/squid3/passwords
#auth_param basic children 5
#auth_param basic realm Please provide your username and password.
#auth_param basic credentialsttl 24 hour

#acl ncsa_users proxy_auth REQUIRED

acl block_rkn url_regex -i "/etc/squid3/rks_urls.acl"

acl localnet src 10.0.0.0/8     # RFC 1918 possible internal network
acl localnet src 172.16.0.0/12  # RFC 1918 possible internal network
acl localnet src 192.168.0.0/16 # RFC 1918 possible internal network
acl localnet src fc00::/7       # RFC 4193 local private network range
acl localnet src fe80::/10      # RFC 4291 link-local (directly plugged) machines

acl SSL_ports port 443          # https
acl SSL_ports port 22           # ssh

acl All_ports port 1-65535  # unregistered ports

acl CONNECT method CONNECT

http_access deny block_rkn

http_access allow localnet
#http_access allow ncsa_users
http_access allow All_ports
http_access allow CONNECT SSL_ports
http_access deny all

coredump_dir /var/spool/squid3

request_header_access Cache-Control deny all

https_port 127.0.0.1:3130 transparent ssl-bump generate-host-certificates=on cert=/etc/squid/ssl/squid.pem 
key=/etc/squid/ssl/squid.key

acl badips dst "/etc/squid/rks_ips.acl"
ssl_bump server-first badips
  • Вопрос задан
  • 307 просмотров
Подписаться 1 Оценить Комментировать
Пригласить эксперта
Ответы на вопрос 1
martin74ua
@martin74ua
Linux administrator
transparent proxy, копайте в эту сторону.
И да, https так не заблокируете
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы