Исходное сообщение
"Squid, HTTPS и современные браузеры" Отправлено vladadm, 04-Сен-14 12:26
Приветствую. Hекоторое время назад перестала срабатывать блокировка по HTTPS (при прозрачном проксировании, с использованием ssl_bump). Сначала грешил на сквид (давно обновился на 3.3). После изучения логов, я увидел, что по https-запросам в строке CONNECT, вместо домена всегда висит IP, при этом, от пользователей, сидящих на Win XP и IE 8 - я продолжаю видеть запросы по домену. === выдержка из документации сквида === Примерный перевод: Hекоторые браузеры отправляют IP-адреса в запросы на подключение, даже если пользователь ввел имя сервера (url - не ip) в адресной строке. Hичего не можем с этим поделать, т.к мы не отвечаем за исходный код браузеров. Оригинал: Some browsers (e.g., Rekonq browser v0.7.x) send IP addresses in CONNECT requests even when the user typed a host name in the address bar. Squid cannot handle both such browsers and URLs with IP addresses instead of host names because Squid cannot distinguish one case from another. There is nothing we can do about it until somebody contributes code to reliably detect CONNECT requests from those  browsers. === выдержка из документации сквида === И эти <некоторые браузеры> - это все современные (хром, ie11 и прочие) просто перестали обращатся в сайтам по доменному имени, передавая в строке не URL, а исключительно IP :( Соответственно, если мы хотим запретить, например, вход на mail.ru по домену - то мы можем это сделать только для пользователей с Win XP, и максимально IE8. Пример из лога сквида (вырезка 1 строчки из входа на mail.ru): === https-запрос от пользователя на XP с IE8 === 1409725807.296 317 192.168.21.6 TCP_MISS/200 341 CONNECT rs.mail.ru:443 - HIER_DIRECT/94.100.181.196 - === https-запрос от пользователя на XP с IE8 === === https-запрос от пользователя на Win7 с IE11 === 1409733165.939 2034 192.168.21.77 TCP_MISS/200 1392 CONNECT 94.100.181.196:443 - HIER_DIRECT/94.100.181.196 - === https-запрос от пользователя на Win7 с IE11 === Кто-нибудь по URL (не по IP) фильтрует трафик? Что посоветуете? p.s: пока придумали только кривокостыль: регулярно резолвим банлисты, преобразуем их в список ip. Блокируем эти ip по https, в отдельных секциях. Так же запросил тут: http://rejik.ru/bb_rus/viewtopic.php?f=1&t=1323 upd: это наблюдается только при прозрачном проксировании https, с ssl_bump. Похоже не в браузерах дело. Вообщем, кто сталкивался, кто наблюдал такое?

Ваше сообщение
Имя*:
EMail:	Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	> Приветствую. > Hекоторое время назад перестала срабатывать блокировка по HTTPS (при прозрачном проксировании, > с использованием ssl_bump). Сначала грешил на сквид (давно обновился на 3.3). > После изучения логов, я увидел, что по https-запросам в строке CONNECT, > вместо домена всегда висит IP, при этом, от пользователей, сидящих на > Win XP и IE 8 - я продолжаю видеть запросы по > домену. > === выдержка из документации сквида === > Примерный перевод: > Hекоторые браузеры отправляют IP-адреса в запросы на подключение, даже если пользователь > ввел имя сервера (url - не ip) в адресной строке. Hичего > не можем с этим поделать, т.к мы не отвечаем за исходный > код браузеров. > Оригинал: > Some browsers (e.g., Rekonq browser v0.7.x) send IP addresses in CONNECT requests > even when the user typed a host name in the address > bar. Squid cannot handle both such browsers and URLs with IP > addresses instead of host names because Squid cannot distinguish one case > from another. There is nothing we can do about it until > somebody contributes code to reliably detect CONNECT requests from those > browsers. > === выдержка из документации сквида === > И эти <некоторые браузеры> - это все современные (хром, ie11 и прочие) > просто перестали обращатся в сайтам по доменному имени, передавая в строке > не URL, а исключительно IP :( > Соответственно, если мы хотим запретить, например, вход на mail.ru по домену - > то мы можем это сделать только для пользователей с Win XP, > и максимально IE8. > Пример из лога сквида (вырезка 1 строчки из входа на mail.ru): > === https-запрос от пользователя на XP с IE8 === > 1409725807.296 317 192.168.21.6 TCP_MISS/200 341 CONNECT rs.mail.ru:443 - > HIER_DIRECT/94.100.181.196 - > === https-запрос от пользователя на XP с IE8 === > === https-запрос от пользователя на Win7 с IE11 === > 1409733165.939 2034 192.168.21.77 TCP_MISS/200 1392 CONNECT 94.100.181.196:443 > - HIER_DIRECT/94.100.181.196 - > === https-запрос от пользователя на Win7 с IE11 === > Кто-нибудь по URL (не по IP) фильтрует трафик? Что посоветуете? > p.s: пока придумали только кривокостыль: регулярно резолвим банлисты, преобразуем их в > список ip. Блокируем эти ip по https, в отдельных секциях. > Так же запросил тут: http://rejik.ru/bb_rus/viewtopic.php?f=1&t=1323 > upd: это наблюдается только при прозрачном проксировании https, с ssl_bump. Похоже не > в браузерах дело. > Вообщем, кто сталкивался, кто наблюдал такое?
	Введите код, изображенный на картинке: