borisdenis
@borisdenis
Ленив и вреден...

SQUID не блокирует http сайты, почему?

Есть сервер squid 3.5.28, все работает кроме одного, не блокирует сайты заданные в файле (/opt/squid/etc/blocked_reklama) при доступе к ним по http протоколу, а вот при доступе через https прекрасно блокирует. Не могу понять такого поведения, где и что исправить?
Конфиг:
spoiler
#Для авторизации через AD
auth_param negotiate program /opt/squid/libexec/negotiate_kerberos_auth -s HTTP/xxx.xx.xx
auth_param negotiate children 40 startup=0 idle=1
auth_param negotiate keep_alive on

acl localnet src 10.16.0.0/16 # RFC1918 possible internal network
acl pcname srcdomain "/opt/squid/etc/block_comp_name" # компьютеров из имен компьютеров в файле block_comp_name 
acl nohttps dstdomain "/opt/squid/etc/no_https"
acl blocked_ads dstdomain "/opt/squid/etc/blocked_reklama" # сайтов для блокировки (реклама)

acl userauth proxy_auth REQUIRED # аутентифицированный пользователь попадает в группу userauth

acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
acl manager proto cache_object


http_access deny pcname #запрещаем доступ группе pcname
http_access deny blocked_ads #Запрещаем доступ к сайтам из указанных списков
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager
http_access allow userauth #Разрешаем интернет аутентифицированным пользователям
http_access allow localnet #Разрешаем интернет из нашей сети
http_access allow localhost #Разрешаем интернет локально
http_access deny all #Запрещаем все остальное


#################################################################################################################################
#Для http прозрачного прокси
http_port 3129 intercept
#Для https без подмены сертификата
#https_port 3130 intercept
https_port 3130 intercept ssl-bump options=ALL:NO_SSLv3:NO_SSLv2 connection-auth=off cert=/opt/squid/etc/squidCA.pem
always_direct allow all
acl blocked_ads_ssl ssl::server_name "/opt/squid/etc/blocked_reklama" # сайтов для блокировки (реклама и т.п.)
acl step1 at_step SslBump1
ssl_bump peek step1
ssl_bump terminate blocked_ads_ssl #Закрываем соединение на сайт
ssl_bump bump userauth !nohttps #Расшифровываем трафик для пользователей группы userauth кроме сайтов из файла no_https
ssl_bump splice all #Без расшифровки для всех остальных

#################################################################################################################################
http_port 3128 ssl-bump options=ALL:NO_SSLv3:NO_SSLv2 generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/opt/squid/etc/adkey.pem
sslcrtd_program /opt/squid/libexec/ssl_crtd -s /opt/squid/var/squid3_ssldb -M 4MB
sslcrtd_children 10

always_direct allow all # не использовать кэш

sslproxy_cert_error allow all #разрешает обрабатывать запрос при ошибке проверки сертификата веб сайта
sslproxy_flags DONT_VERIFY_PEER #отключает проверку по списку СА по умолчанию и принимает сертификат, издатель которых неизвестен

ssl_bump server-first all #режим для установки соединения сначала с веб-сервером, затем SSL-соединение с клиентом

coredump_dir /opt/squid/var/cache/squid

#
# Add any of your own refresh_pattern entries above these.
#
refresh_pattern ^ftp:		1440	20%	10080
refresh_pattern ^gopher:	1440	0%	1440
refresh_pattern -i (/cgi-bin/|\?) 0	0%	0
refresh_pattern .		0	20%	4320


max_filedescriptors 4096
cache_replacement_policy GDSF
persistent_connection_after_error off #после возникновения HTTP ошибки, Squid перестанет использовать persistent соединение с этим клиентом

icap_enable on
icap_send_client_ip on
icap_send_client_username on
icap_client_username_encode off
icap_client_username_header X-Authenticated-User
icap_preview_enable on
icap_preview_size 1024
#icap_service_failure_limit 10 in 5 seconds #После 10 ошибок в течении 5 секунд приостанавливается использование icap
icap_service service_avi_req reqmod_precache icap://127.0.0.1:1344/virus_scan bypass=on
adaptation_access service_avi_req allow all
icap_service service_avi_resp respmod_precache icap://127.0.0.1:1344/virus_scan bypass=on
adaptation_access service_avi_resp allow all

logfile_rotate 0



Содержимое файла /opt/squid/etc/blocked_reklama
spoiler
www.mult.ru
www.securitylab.ru



При таком конфиге доступ на https://www.securitylab.ru закрыт, а на www.mult.ru прекрасно заходит, сайты указаны просто для теста, потом будут заменены на другие. squidguard использовать не предлагать, должно же и так работать. Что я пропустил?

squid -v
Squid Cache: Version 3.5.28
Service Name: squid

This binary uses OpenSSL 1.0.2n  7 Dec 2017. For legal restrictions on distribution see https://www.openssl.org/source/license.html

configure options:  '--prefix=/opt/squid' '--with-large-files' '--enable-ssl' '--enable-ssl-crtd' '--enable-ltdl-convenienc' '--enable-auth-negotiate=kerberos,wrapper' '--enable-icap-client' '--with-openssl=/opt/openssl-1.0.2p' '--enable-http-violations' --enable-ltdl-convenience
  • Вопрос задан
  • 645 просмотров
Решения вопроса 1
borisdenis
@borisdenis Автор вопроса
Ленив и вреден...
Вопрос снят, пересобрал squid с теми же параметрами и все заработало... чудеса...
Ответ написан
Комментировать
Пригласить эксперта
Ответы на вопрос 1
dimonchik2013
@dimonchik2013
non progredi est regredi
логи вас спасут
ACL там всякие сверху вниз и все такое
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы