URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID12
Нить номер: 6608
[ Назад ]
Исходное сообщение
"Squid доступ к определенному ip по https"
Отправлено neptun1942 , 21-Фев-11 16:45 
Задача такая:
Требуется определенному ip(источнику) дать доступ на определенный url или ip по https(то есть методом CONNECT). Можно ли это организовать  ? Если да то как ?

Содержание
Сообщения в этом обсуждении
"Squid доступ к определенному ip по https"
Отправлено Andrey Mitrofanov , 22-Фев-11 10:18 
Да. Как-то так,

acl https_m method CONNECT
acl https_p port 443
acl https_u src 10.0.0.1
http_access allow https_u https_m https_p
http_access deny https_u

"Squid доступ к определенному ip по https"
Отправлено neptun1942 , 22-Фев-11 17:48 
> Да. Как-то так,
> acl https_m method CONNECT
> acl https_p port 443
> acl https_u src 10.0.0.1
> http_access allow https_u https_m https_p
> http_access deny https_u

Данная конструкция позволяет зайти пользователю на любой url по https, а требуется на 1 или несколько определенных.


"Squid доступ к определенному ip по https"
Отправлено reader , 22-Фев-11 21:42 
>> Да. Как-то так,
>> acl https_m method CONNECT
>> acl https_p port 443
>> acl https_u src 10.0.0.1
>> http_access allow https_u https_m https_p
>> http_access deny https_u
> Данная конструкция позволяет зайти пользователю на любой url по https, а требуется
> на 1 или несколько определенных.

добавьте еще один acl в котором и перечислите нужные ip

"Squid доступ к определенному ip по https"
Отправлено Andrey Mitrofanov , 23-Фев-11 13:59 
>на любой url по https, а требуется  на 1 или несколько определенных.

И кстати, да, ограничить по именно URL не получится, _максимум_ по ip сервера (acl ... dst ...).

http прокси "видит" только соединение на ip. Не "виден" даже hostname (?чаще всего) (ну, можно reverse dns посмотреть, но это не совсем/не всегда то имя, на которое пользователь "идёт"), не говоря уж о "пути" в URL.

Более того, прокси не отличает https от любого другого "третьего" tcp протокола/соединения при соединении через http метод CONNECT. (Пример, какой-нибудь ICQ или потоковый сервер, слушающий на порту 443.)

"Squid доступ к определенному ip по https"
Отправлено neptun1942 , 23-Фев-11 16:18 
>>на любой url по https, а требуется  на 1 или несколько определенных.
> И кстати, да, ограничить по именно URL не получится, _максимум_ по ip
> сервера (acl ... dst ...).
> http прокси "видит" только соединение на ip. Не "виден" даже hostname (?чаще
> всего) (ну, можно reverse dns посмотреть, но это не совсем/не всегда
> то имя, на которое пользователь "идёт"), не говоря уж о "пути"
> в URL.
> Более того, прокси не отличает https от любого другого "третьего" tcp протокола/соединения
> при соединении через http метод CONNECT. (Пример, какой-нибудь ICQ или потоковый
> сервер, слушающий на порту 443.)

Если не сложно, приведи пример или дополни свою конструкцию так, чтобы доступ был к одному ip по https.


"Squid доступ к определенному ip по https"
Отправлено Andrey Mitrofanov , 23-Фев-11 17:53 
> Да. Как-то так,
> acl https_m method CONNECT
> acl https_p port 443
> acl https_u src 10.0.0.1

acl https_S dst 8.8.8.8 9.9.9.9 2.2.2.2

http_access allow https_u https_m https_p https_S

> http_access deny https_u

"Squid доступ к определенному ip по https"
Отправлено neptun1942 , 24-Фев-11 12:12 
>> Да. Как-то так,
>> acl https_m method CONNECT
>> acl https_p port 443
>> acl https_u src 10.0.0.1
> acl https_S dst 8.8.8.8 9.9.9.9 2.2.2.2
> http_access allow https_u https_m https_p https_S
>> http_access deny https_u

спасибо за просветление в этом вопросе - тема закрыта.