Как заставить работать deny_info с HTTPS в Squid?

Question

[reaper666]

Есть Squid 3.5.28. Непрозрачный, работает с указанием адреса в прокси.
Включил директиву deny_info с перенаправлением на другой адрес.
deny_info 303:url.com block_users
В ACL block_users попадают пользователи, у которых закончился трафик.
Проблема в том, что если пользователь идет на HTTP-сайт, то его перенаправляет, а если на HTTPS, то просто браузер выводит сообщение о том, что не может установить соединение.
Работа идет с поддержкой метода peek and splice. Логи следующие.
TCP_DENIED/407 4169 GET rejik.ru - HIER_NONE/- text/html
TCP_DENIED/407 4398 GET rejik.ru - HIER_NONE/- text/html
TCP_DENIED/303 471 GET rejik.ru login HIER_NONE/- text/html
TCP_DENIED/407 3884 CONNECT ya.ru:443 - HIER_NONE/- text/html
TCP_DENIED/407 4113 CONNECT ya.ru:443 - HIER_NONE/- text/html
TCP_DENIED/303 470 CONNECT ya.ru:443 login HIER_NONE/- text/html

Насколько я понял, при заходе на http он получает TCP_DENIED и обращается к директиве deny_info и перенаправляет юзера туда, поскольку вернулся код 303. В случае захода на HTTPS он тоже получает TCP_DENIED и пытается перенаправить, но поскольку SSL-туннель уже поднят, адреса хоста в нем уже не изменить. У меня работало перенаправление в случае подмены сертификатов, но это не вариант, поскольку добавлением сертификата в доверенные проблему того, что браузеры ругаются на неверный сертификат, не решить.
Как еще можно решить эту проблему?

Answer 1

[Kalombyr]

К счастью, без "предупреждения" от браузера это не обойти т.к. в этом прелесть ssl.
У меня когда-то было сделана блокировка через bind+nginx с автогенерацией сертификата под каждый домен, но смысла в этом особо не видел.
Навсякий случай подпишусь на вопрос, ибо могу быть не прав.

Comments

[reaper666]

Я, собственно, решил этот вопрос. Совместил peek and splice и динамическую генерацию сертификатов.
Привожу конфиг.
http_port 3128 ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB options=ALL:NO_SSLv3:NO_SSLv2 connection-auth=off cert=/etc/squid/ssl/squid_CA.pem key=/etc/squid/ssl/squid_CA.key

acl step1 at_step SslBump1
ssl_bump peek step1
ssl_bump terminate blocked
ssl_bump splice all

Схема работы следующая. Пока пользователю можно в инет, все работает стабильно, и подмены сертификатов не происходит. Как только у пользователя кончается трафик, он переходит в запрещающий ACL и вот тогда начинается подмена сертификата, но поскольку сразу же происходит редирект на сайт-заглушку, то пользователь и не в курсе. Само собой, корневой сертификат распространен по всем компам через GPO. Пока полмесяца тестируем, пользователи не возмущаются и спокойно работаем.

[Kalombyr]

reaper666, спасибо за ответ! Вы немогли бы полный конфиг привести?

[reaper666]

Kalombyr,

#  TAG: auth_param
##NTLM-autentification
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 1500
auth_param basic credentialsttl 1 hours
auth_param ntlm keep_alive on
##
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 150
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours

# ACCESS CONTROLS
# -----------------------------------------------------------------------------
#  TAG: acl
acl Sams2Time1 time MTWHFAS 00:00-23:59
#Доменная аутентификация для пользователей домена
acl Sams2Template1 proxy_auth $login # Кому можно
acl Sams2BlockedUsers proxy_auth $login # И кому нельзя
# Список сайтов, на которые ходить без аутентификации
acl no_auth url_regex -i "/etc/squid/no-auth.txt"
# Для доступа к Skype
acl skype dstdomain apps.skypeassets.com mscrl.microsoft.com
# Локальная сеть
acl localnet src 10.0.0.0/8
#-----------ICQ----------------
acl icq dstdomain login.icq.com
acl icqport port 443
acl icqport port 5190
acl icqip dst 178.237.16.0/20
#------------------------------

#---------SSL и Безопасные порты---------------------------
acl SSL_ports port 443 5190
acl Safe_ports port 80		# http
acl Safe_ports port 21		# ftp
acl Safe_ports port 443		# https
acl Safe_ports port 70		# gopher
acl Safe_ports port 210		# wais
acl Safe_ports port 1025-65535	# unregistered ports
acl Safe_ports port 280		# http-mgmt
acl Safe_ports port 488		# gss-http
acl Safe_ports port 591		# filemaker
acl Safe_ports port 777		# multiling http
acl CONNECT method CONNECT
-----------------------------------------------------------
# Для хождения на сайты без аутентификации
http_access allow no_auth
#  TAG: http_access
# Setup Sams2 HTTP Access here
http_access deny Sams2BlockedUsers
http_access allow Sams2Template1 Sams2Time1
http_access allow skype
# Only allow cachemgr access from localhost
http_access allow manager localhost
http_access allow localhost
http_access deny manager

# Deny requests to certain unsafe ports
http_access deny !Safe_ports

# Deny CONNECT to other than secure SSL ports
http_access deny CONNECT !SSL_ports

http_access allow localhost
http_access allow localnet

# Запрещаем все неразрешенное
http_access deny all

# -----------------------------------------------------------------------------

#  TAG: http_port

http_port 9999 ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB options=ALL:NO_SSLv3:NO_SSLv2 connection-auth=off cert=/etc/squid/ssl/squid_CA.pem key=/etc/squid/ssl/squid_CA.key cipher=ECDHE-RSA-RC4-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES128-SHA:DHE-RSA-CAMELLIA128-SHA:AES128-SHA:RC4-SHA:HIGH:!aNULL:!MD5:!ADH

# 	SSL OPTIONS
# 	TAG: ssl_bump
#	HTTPS без подмены
acl blocked ssl::server_name "/etc/squid/blocked_https.txt" # Для блокировки сайтов

acl step1 at_step SslBump1
#---- Для работы ICQ----------------
ssl_bump splice step1 icq
ssl_bump splice step1 icqip icqport
#-----------------------------------
ssl_bump peek step1
ssl_bump splice all

#-----------Telegram-----------------------------------------------------
# SSL-bump rules
acl DiscoverSNIHost at_step SslBump1
# Splice specified servers
acl NoSSLIntercept ssl::server_name_regex "/etc/squid/acl.url.nobump"
ssl_bump peek DiscoverSNIHost
ssl_bump splice NoSSLIntercept
------------------------------------------------------------------------
#  TAG: sslproxy_flags
sslproxy_flags DONT_VERIFY_PEER

#  TAG: sslproxy_cert_error
sslproxy_cert_error allow all

# LOGFILE OPTIONS
# -----------------------------------------------------------------------------

#  TAG: logformat
logformat squid %ts.%03tu %6tr %>a %Ss/%03>Hs %<st %rm %ru %un %Sh/%<A %mt

#  TAG: access_log
access_log /var/log/squid/access.log squid

# OPTIONS FOR URL REWRITING
# -----------------------------------------------------------------------------
#  TAG: url_rewrite_access
acl Sams2Proxy dst $ProxyIP
url_rewrite_access deny Sams2Proxy
# OPTIONS FOR TUNING THE CACHE
# -----------------------------------------------------------------------------
#  TAG: refresh_pattern
# Add any of your own refresh_pattern entries above these.
refresh_pattern ^ftp:		1440	20%	10080
refresh_pattern ^gopher:	1440	0%	1440
refresh_pattern -i (/cgi-bin/|\?) 0	0%	0
refresh_pattern .		0	20%	4320

#  TAG: error_log_languages
#Default:
error_log_languages off

deny_info 303:http://url.domain.local/index.html?login=%a&url=%U Sams2BlockedUsers
#  TAG: deny_info

[Kalombyr]

reaper666, спасибо!