The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  правила/FAQ  поиск  регистрация  вход/выход  слежка  RSS
"Прозрачный прокси ssl по белым спискам некорректное отображение"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Настройка Squid и других прокси серверов (Прозрачный proxy)
Изначальное сообщение [ Отслеживать ]

"Прозрачный прокси ssl по белым спискам некорректное отображение"  +/
Сообщение от Михаил email(??) on 17-Май-17, 10:00 
Здравствуйте товарищи! Помогите решить проблему и направить на путь праведный!
Система - FreeBSD 11, squid - 3.5.25
Squid настроил в прозрачном режиме, вот конфиг:

visible_hostname squid
dns_nameservers  10.86.31.254

acl localnet src 192.168.100.0/24    # RFC1918 possible internal network

acl SSL_ports  port 443
acl Safe_ports port 80        # http
acl Safe_ports port 21        # ftp
acl Safe_ports port 443        # https
acl Safe_ports port 70        # gopher
acl Safe_ports port 210        # wais
acl Safe_ports port 1025-65535    # unregistered ports
acl Safe_ports port 280        # http-mgmt
acl Safe_ports port 488        # gss-http
acl Safe_ports port 591        # filemaker
acl Safe_ports port 777        # multiling http
acl CONNECT method CONNECT

http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager
http_access allow localnet CONNECT

acl admins src 192.168.100.13 192.168.100.10

acl white_list url_regex -i "/usr/local/etc/squid/white_list"

acl administration src "/usr/local/etc/squid/lists/administration"

acl pupils_215 src "/usr/local/etc/squid/lists/pupils_215"

http_access allow admins
http_access allow administration
http_access allow white_list pupils_215

http_access deny all

http_port 127.0.0.1:3128 intercept options=NO_SSLv3:NO_SSLv2
https_port 127.0.0.1:3129 intercept ssl-bump options=ALL:NO_SSLv3:NO_SSLv2 connection-auth=off cert=/usr/local/etc/squid/squidCA.pem

always_direct allow all
sslproxy_cert_error allow all
sslproxy_flags DONT_VERIFY_PEER

acl white_list_ssl ssl::server_name_regex "/usr/local/etc/squid/white_list"
acl step1 at_step SslBump1
ssl_bump peek step1
ssl_bump terminate !white_list_ssl !admins
ssl_bump splice all

sslcrtd_program /usr/local/libexec/squid/ssl_crtd -s /var/db/ssl_db -M 4MB

error_directory /usr/local/etc/squid/errors/ru

coredump_dir /var/squid/cache
cache deny all

pid_filename /var/run/squid/squid.pid


refresh_pattern ^ftp:        1440    20%    10080
refresh_pattern ^gopher:    1440    0%    1440
refresh_pattern -i (/cgi-bin/|\?) 0    0%    0
refresh_pattern .        0    20%    4320

Работает все хорошо, все как надо. Админов и администрацию пускает куда угодно. Учеников пускает только на сайты из белого списка, но есть одно большое НО! Некоторые сайты(в белом списке) отображаются не полностью. К примеру gosuslugi.ru. Для этого сайта нужно добавить в белый список сайт gu-st.ru, но это я узнал из интернета(считаем, что пока я его не добавил). При попытки открыть сайт госуслуг в access.log пишет такое:

1495003400.855  24433 192.168.100.44 TCP_TUNNEL/200 18256 CONNECT www.gosuslugi.ru:443 - ORIGINAL_DST/109.207.1.97 -
1495003400.866      5 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.97:443 - HIER_NONE/- -
1495003401.096      4 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- -
1495003401.096      5 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- -
1495003401.098      4 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- -
1495003401.100      4 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- -
1495003401.102      9 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- -
1495003401.113     11 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- -
1495003401.124      4 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- -
1495003401.126      5 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- -
1495003401.133      8 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- -
1495003401.137      8 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- -
1495003401.144      7 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- -
1495003401.147      6 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- -
1495003401.152      8 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- -
1495003401.171      6 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- -
1495003401.174      2 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- -
1495003401.183      4 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- -
1495003401.203      2 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- -
1495003401.211      2 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- -
1495003401.221      2 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- -
1495003401.241      2 192.168.100.44 TAG_NONE/200 0 CONNECT 5.143.224.43:443 - HIER_NONE/- -

Начну с конца. ip 5.143.224.43 - мне не понятный и даже не пингуется! ip 109.207.1.34 - nslookup говорит что это mail.gas-u.ru, я его добавляю в белый список и ничего!! А при попытке пингануть gu-st.ru выдает туже айпишку, что и для mail.gas-u.ru. То есть как мне узнать что мне нужно конкретно добавить сайт gu-st.ru в белый список я не понял.

Из этого вытекает другой вопрос, мне нужно для каждого такого сайта добавлять нужные им доменные имена?
Тот же некорректно отображаемый habrahabr.ru в access.log выдает кучу ip адресов которые не понятны для nslookup.

Сам вопрос! Как мне сделать так, чтобы сайты из белого списка подтягивали все что им нужно от куда угодно и все хорошо отображалось?

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по ответам | RSS]

1. "Прозрачный прокси ssl по белым спискам некорректное отображение"  +/
Сообщение от ACCA (ok) on 17-Май-17, 20:05 
> Начну с конца. ip 5.143.224.43 - мне не понятный и даже не

whois 5.143.224.43

"ООО Спутник". А говорят, что дятлы стаями не летают. Зачем ICMP, не знают, потому и режут. Про обратные DNS зоны тоже не в курсе. Зато хватает подвязок на оттяпать себе 8 сетей класса C.


> пингуется! ip 109.207.1.34 - nslookup говорит что это mail.gas-u.ru, я его
> добавляю в белый список и ничего!! А при попытке пингануть gu-st.ru

Ты можешь иметь более, чем одну A запись с разными именами, но одним и тем же IP. А вот в обратной зоне не делают более одной записи PTR для каждого адреса. Домашнее задание - прочитай, почему.


> узнать что мне нужно конкретно добавить сайт gu-st.ru в белый список
> я не понял.

Открываешь эту битую страницу в Firefox, запускаешь отладчик (Ctrl+Shift+J). Тыкаешь во все заголовки, кроме Net, (CSS, JS и проч.), чтобы они погасли. Заодно тыкаешь Clear, чтобы почистить окно.

Переключаешься в окно со страницой, обновляешь её. Переключаешься снова в отладчик, смотришь чего не хватает. Потом либо добавляешь это в whitelist, либо нет.


> Из этого вытекает другой вопрос, мне нужно для каждого такого сайта добавлять
> нужные им доменные имена?

Либо поставить чужой whitelist.


> Тот же некорректно отображаемый habrahabr.ru в access.log выдает кучу ip адресов
> которые не понятны для nslookup.

Они ему понятны. Это тебе не понятно, что он тебе ответил.


> Сам вопрос! Как мне сделать так, чтобы сайты из белого списка подтягивали
> все что им нужно от куда угодно и все хорошо отображалось?

Хорошая идея.

Заходят дети на анально огороженый mail.gas-u.ru, оттуда подсасывают НЁХ со sputnik.ru (см.выше), а там ссылочка на баннерную сеть, откуда приезжает JavaScript. Открывает под сотню XMLHTTPrequest соединений на все помойки, между делом притаскивает Wanna Cry, который разбегается по SMB внутри локалки.

Потом тебя публично сношают в неприличные места и вычитают из зарплаты по $300 в биткойнах за каждую станцию в сети. В дар братскому Корейскому народу на продвижение идей чучхэ.

Возможно, что это наведёт тебя на мысль - "А может не нужно было откуда угодно?"

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Прозрачный прокси ssl по белым спискам некорректное отображение"  +/
Сообщение от Михаил email(??) on 18-Май-17, 06:23 
>[оверквотинг удален]
> Хорошая идея.
> Заходят дети на анально огороженый mail.gas-u.ru, оттуда подсасывают НЁХ со sputnik.ru
> (см.выше), а там ссылочка на баннерную сеть, откуда приезжает JavaScript. Открывает
> под сотню XMLHTTPrequest соединений на все помойки, между делом притаскивает Wanna
> Cry, который разбегается по SMB внутри локалки.
> Потом тебя публично сношают в неприличные места и вычитают из зарплаты по
> $300 в биткойнах за каждую станцию в сети. В дар братскому
> Корейскому народу на продвижение идей чучхэ.
> Возможно, что это наведёт тебя на мысль - "А может не нужно
> было откуда угодно?"

Ну от куда угодно я погорячился! А так очень разборчивый и ясный ответ! Большое спасибо!

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру