forum.opennet.ru

Составление сообщения

Исходное сообщение

"Прозрачный прокси ssl по белым спискам некорректное отображение"
Отправлено Михаил, 17-Май-17 10:00

Здравствуйте товарищи! Помогите решить проблему и направить на путь праведный!
Система - FreeBSD 11, squid - 3.5.25
Squid настроил в прозрачном режиме, вот конфиг:
visible_hostname squid
dns_nameservers  10.86.31.254
acl localnet src 192.168.100.0/24    # RFC1918 possible internal network
acl SSL_ports  port 443
acl Safe_ports port 80        # http
acl Safe_ports port 21        # ftp
acl Safe_ports port 443        # https
acl Safe_ports port 70        # gopher
acl Safe_ports port 210        # wais
acl Safe_ports port 1025-65535    # unregistered ports
acl Safe_ports port 280        # http-mgmt
acl Safe_ports port 488        # gss-http
acl Safe_ports port 591        # filemaker
acl Safe_ports port 777        # multiling http
acl CONNECT method CONNECT
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager
http_access allow localnet CONNECT
acl admins src 192.168.100.13 192.168.100.10
acl white_list url_regex -i "/usr/local/etc/squid/white_list"
acl administration src "/usr/local/etc/squid/lists/administration"
acl pupils_215 src "/usr/local/etc/squid/lists/pupils_215"
http_access allow admins
http_access allow administration
http_access allow white_list pupils_215
http_access deny all
http_port 127.0.0.1:3128 intercept options=NO_SSLv3:NO_SSLv2
https_port 127.0.0.1:3129 intercept ssl-bump options=ALL:NO_SSLv3:NO_SSLv2 connection-auth=off cert=/usr/local/etc/squid/squidCA.pem
always_direct allow all
sslproxy_cert_error allow all
sslproxy_flags DONT_VERIFY_PEER
acl white_list_ssl ssl::server_name_regex "/usr/local/etc/squid/white_list"
acl step1 at_step SslBump1
ssl_bump peek step1
ssl_bump terminate !white_list_ssl !admins
ssl_bump splice all
sslcrtd_program /usr/local/libexec/squid/ssl_crtd -s /var/db/ssl_db -M 4MB
error_directory /usr/local/etc/squid/errors/ru
coredump_dir /var/squid/cache
cache deny all
pid_filename /var/run/squid/squid.pid

refresh_pattern ^ftp:        1440    20%    10080
refresh_pattern ^gopher:    1440    0%    1440
refresh_pattern -i (/cgi-bin/|\?) 0    0%    0
refresh_pattern .        0    20%    4320
Работает все хорошо, все как надо. Админов и администрацию пускает куда угодно. Учеников пускает только на сайты из белого списка, но есть одно большое НО! Некоторые сайты(в белом списке) отображаются не полностью. К примеру gosuslugi.ru. Для этого сайта нужно добавить в белый список сайт gu-st.ru, но это я узнал из интернета(считаем, что пока я его не добавил). При попытки открыть сайт госуслуг в access.log пишет такое:
1495003400.855  24433 192.168.100.44 TCP_TUNNEL/200 18256 CONNECT www.gosuslugi.ru:443 - ORIGINAL_DST/109.207.1.97 -
1495003400.866      5 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.97:443 - HIER_NONE/- -
1495003401.096      4 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- -
1495003401.096      5 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- -
1495003401.098      4 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- -
1495003401.100      4 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- -
1495003401.102      9 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- -
1495003401.113     11 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- -
1495003401.124      4 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- -
1495003401.126      5 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- -
1495003401.133      8 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- -
1495003401.137      8 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- -
1495003401.144      7 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- -
1495003401.147      6 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- -
1495003401.152      8 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- -
1495003401.171      6 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- -
1495003401.174      2 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- -
1495003401.183      4 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- -
1495003401.203      2 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- -
1495003401.211      2 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- -
1495003401.221      2 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- -
1495003401.241      2 192.168.100.44 TAG_NONE/200 0 CONNECT 5.143.224.43:443 - HIER_NONE/- -
Начну с конца. ip 5.143.224.43 - мне не понятный и даже не пингуется! ip 109.207.1.34 - nslookup говорит что это mail.gas-u.ru, я его добавляю в белый список и ничего!! А при попытке пингануть gu-st.ru выдает туже айпишку, что и для mail.gas-u.ru. То есть как мне узнать что мне нужно конкретно добавить сайт gu-st.ru в белый список я не понял.
Из этого вытекает другой вопрос, мне нужно для каждого такого сайта добавлять нужные им доменные имена?
Тот же некорректно отображаемый habrahabr.ru в access.log выдает кучу ip адресов которые не понятны для nslookup.
Сам вопрос! Как мне сделать так, чтобы сайты из белого списка подтягивали все что им нужно от куда угодно и все хорошо отображалось?

Исходное сообщение
"Прозрачный прокси ssl по белым спискам некорректное отображение" Отправлено Михаил, 17-Май-17 10:00
Здравствуйте товарищи! Помогите решить проблему и направить на путь праведный! Система - FreeBSD 11, squid - 3.5.25 Squid настроил в прозрачном режиме, вот конфиг: visible_hostname squid dns_nameservers 10.86.31.254 acl localnet src 192.168.100.0/24 # RFC1918 possible internal network acl SSL_ports port 443 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT method CONNECT http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access allow localhost manager http_access deny manager http_access allow localnet CONNECT acl admins src 192.168.100.13 192.168.100.10 acl white_list url_regex -i "/usr/local/etc/squid/white_list" acl administration src "/usr/local/etc/squid/lists/administration" acl pupils_215 src "/usr/local/etc/squid/lists/pupils_215" http_access allow admins http_access allow administration http_access allow white_list pupils_215 http_access deny all http_port 127.0.0.1:3128 intercept options=NO_SSLv3:NO_SSLv2 https_port 127.0.0.1:3129 intercept ssl-bump options=ALL:NO_SSLv3:NO_SSLv2 connection-auth=off cert=/usr/local/etc/squid/squidCA.pem always_direct allow all sslproxy_cert_error allow all sslproxy_flags DONT_VERIFY_PEER acl white_list_ssl ssl::server_name_regex "/usr/local/etc/squid/white_list" acl step1 at_step SslBump1 ssl_bump peek step1 ssl_bump terminate !white_list_ssl !admins ssl_bump splice all sslcrtd_program /usr/local/libexec/squid/ssl_crtd -s /var/db/ssl_db -M 4MB error_directory /usr/local/etc/squid/errors/ru coredump_dir /var/squid/cache cache deny all pid_filename /var/run/squid/squid.pid refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern -i (/cgi-bin/\|\?) 0 0% 0 refresh_pattern . 0 20% 4320 Работает все хорошо, все как надо. Админов и администрацию пускает куда угодно. Учеников пускает только на сайты из белого списка, но есть одно большое НО! Некоторые сайты(в белом списке) отображаются не полностью. К примеру gosuslugi.ru. Для этого сайта нужно добавить в белый список сайт gu-st.ru, но это я узнал из интернета(считаем, что пока я его не добавил). При попытки открыть сайт госуслуг в access.log пишет такое: 1495003400.855 24433 192.168.100.44 TCP_TUNNEL/200 18256 CONNECT www.gosuslugi.ru:443 - ORIGINAL_DST/109.207.1.97 - 1495003400.866 5 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.97:443 - HIER_NONE/- - 1495003401.096 4 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- - 1495003401.096 5 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- - 1495003401.098 4 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- - 1495003401.100 4 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- - 1495003401.102 9 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- - 1495003401.113 11 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- - 1495003401.124 4 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- - 1495003401.126 5 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- - 1495003401.133 8 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- - 1495003401.137 8 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- - 1495003401.144 7 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- - 1495003401.147 6 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- - 1495003401.152 8 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- - 1495003401.171 6 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- - 1495003401.174 2 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- - 1495003401.183 4 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- - 1495003401.203 2 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- - 1495003401.211 2 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- - 1495003401.221 2 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- - 1495003401.241 2 192.168.100.44 TAG_NONE/200 0 CONNECT 5.143.224.43:443 - HIER_NONE/- - Начну с конца. ip 5.143.224.43 - мне не понятный и даже не пингуется! ip 109.207.1.34 - nslookup говорит что это mail.gas-u.ru, я его добавляю в белый список и ничего!! А при попытке пингануть gu-st.ru выдает туже айпишку, что и для mail.gas-u.ru. То есть как мне узнать что мне нужно конкретно добавить сайт gu-st.ru в белый список я не понял. Из этого вытекает другой вопрос, мне нужно для каждого такого сайта добавлять нужные им доменные имена? Тот же некорректно отображаемый habrahabr.ru в access.log выдает кучу ip адресов которые не понятны для nslookup. Сам вопрос! Как мне сделать так, чтобы сайты из белого списка подтягивали все что им нужно от куда угодно и все хорошо отображалось?

Ваше сообщение
Имя*:
EMail:	Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	> Здравствуйте товарищи! Помогите решить проблему и направить на путь праведный! > Система - FreeBSD 11, squid - 3.5.25 > Squid настроил в прозрачном режиме, вот конфиг: > visible_hostname squid > dns_nameservers 10.86.31.254 > acl localnet src 192.168.100.0/24 # RFC1918 possible internal network > acl SSL_ports port 443 > acl Safe_ports port 80 # http > acl Safe_ports port 21 # ftp > acl Safe_ports port 443 # https > acl Safe_ports port 70 # gopher > acl Safe_ports port 210 # wais > acl Safe_ports port 1025-65535 # unregistered ports > acl Safe_ports port 280 # http-mgmt > acl Safe_ports port 488 # gss-http > acl Safe_ports port 591 # filemaker > acl Safe_ports port 777 # multiling http > acl CONNECT method CONNECT > http_access deny !Safe_ports > http_access deny CONNECT !SSL_ports > http_access allow localhost manager > http_access deny manager > http_access allow localnet CONNECT > acl admins src 192.168.100.13 192.168.100.10 > acl white_list url_regex -i "/usr/local/etc/squid/white_list" > acl administration src "/usr/local/etc/squid/lists/administration" > acl pupils_215 src "/usr/local/etc/squid/lists/pupils_215" > http_access allow admins > http_access allow administration > http_access allow white_list pupils_215 > http_access deny all > http_port 127.0.0.1:3128 intercept options=NO_SSLv3:NO_SSLv2 > https_port 127.0.0.1:3129 intercept ssl-bump options=ALL:NO_SSLv3:NO_SSLv2 connection-auth=off > cert=/usr/local/etc/squid/squidCA.pem > always_direct allow all > sslproxy_cert_error allow all > sslproxy_flags DONT_VERIFY_PEER > acl white_list_ssl ssl::server_name_regex "/usr/local/etc/squid/white_list" > acl step1 at_step SslBump1 > ssl_bump peek step1 > ssl_bump terminate !white_list_ssl !admins > ssl_bump splice all > sslcrtd_program /usr/local/libexec/squid/ssl_crtd -s /var/db/ssl_db -M 4MB > error_directory /usr/local/etc/squid/errors/ru > coredump_dir /var/squid/cache > cache deny all > pid_filename /var/run/squid/squid.pid > refresh_pattern ^ftp: 1440 20% 10080 > refresh_pattern ^gopher: 1440 0% 1440 > refresh_pattern -i (/cgi-bin/\|\?) 0 0% 0 > refresh_pattern . 0 20% 4320 > Работает все хорошо, все как надо. Админов и администрацию пускает куда угодно. > Учеников пускает только на сайты из белого списка, но есть одно > большое НО! Некоторые сайты(в белом списке) отображаются не полностью. К примеру > gosuslugi.ru. Для этого сайта нужно добавить в белый список сайт gu-st.ru, > но это я узнал из интернета(считаем, что пока я его не > добавил). При попытки открыть сайт госуслуг в access.log пишет такое: > 1495003400.855 24433 192.168.100.44 TCP_TUNNEL/200 18256 CONNECT www.gosuslugi.ru:443 > - ORIGINAL_DST/109.207.1.97 - > 1495003400.866 5 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.97:443 > - HIER_NONE/- - > 1495003401.096 4 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 > - HIER_NONE/- - > 1495003401.096 5 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 > - HIER_NONE/- - > 1495003401.098 4 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 > - HIER_NONE/- - > 1495003401.100 4 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 > - HIER_NONE/- - > 1495003401.102 9 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 > - HIER_NONE/- - > 1495003401.113 11 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - > HIER_NONE/- - > 1495003401.124 4 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 > - HIER_NONE/- - > 1495003401.126 5 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 > - HIER_NONE/- - > 1495003401.133 8 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 > - HIER_NONE/- - > 1495003401.137 8 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 > - HIER_NONE/- - > 1495003401.144 7 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 > - HIER_NONE/- - > 1495003401.147 6 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 > - HIER_NONE/- - > 1495003401.152 8 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 > - HIER_NONE/- - > 1495003401.171 6 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 > - HIER_NONE/- - > 1495003401.174 2 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 > - HIER_NONE/- - > 1495003401.183 4 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 > - HIER_NONE/- - > 1495003401.203 2 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 > - HIER_NONE/- - > 1495003401.211 2 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 > - HIER_NONE/- - > 1495003401.221 2 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 > - HIER_NONE/- - > 1495003401.241 2 192.168.100.44 TAG_NONE/200 0 CONNECT 5.143.224.43:443 > - HIER_NONE/- - > Начну с конца. ip 5.143.224.43 - мне не понятный и даже не > пингуется! ip 109.207.1.34 - nslookup говорит что это mail.gas-u.ru, я его > добавляю в белый список и ничего!! А при попытке пингануть gu-st.ru > выдает туже айпишку, что и для mail.gas-u.ru. То есть как мне > узнать что мне нужно конкретно добавить сайт gu-st.ru в белый список > я не понял. > Из этого вытекает другой вопрос, мне нужно для каждого такого сайта добавлять > нужные им доменные имена? > Тот же некорректно отображаемый habrahabr.ru в access.log выдает кучу ip адресов которые > не понятны для nslookup. > Сам вопрос! Как мне сделать так, чтобы сайты из белого списка подтягивали > все что им нужно от куда угодно и все хорошо отображалось?
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру