forum.opennet.ru - "Прозрачный прокси ssl по белым спискам некорректное отображение" (2)

форумы

правила/FAQ

поиск

регистрация

вход/выход

слежка

"Прозрачный прокси ssl по белым спискам некорректное отображение"

Форум Настройка Squid и других прокси серверов (Прозрачный proxy)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Прозрачный прокси ssl по белым спискам некорректное отображение"	+/–
Сообщение от Михаил (??) on 17-Май-17, 10:00
Здравствуйте товарищи! Помогите решить проблему и направить на путь праведный! Система - FreeBSD 11, squid - 3.5.25 Squid настроил в прозрачном режиме, вот конфиг: visible_hostname squid dns_nameservers 10.86.31.254 acl localnet src 192.168.100.0/24 # RFC1918 possible internal network acl SSL_ports port 443 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT method CONNECT http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access allow localhost manager http_access deny manager http_access allow localnet CONNECT acl admins src 192.168.100.13 192.168.100.10 acl white_list url_regex -i "/usr/local/etc/squid/white_list" acl administration src "/usr/local/etc/squid/lists/administration" acl pupils_215 src "/usr/local/etc/squid/lists/pupils_215" http_access allow admins http_access allow administration http_access allow white_list pupils_215 http_access deny all http_port 127.0.0.1:3128 intercept options=NO_SSLv3:NO_SSLv2 https_port 127.0.0.1:3129 intercept ssl-bump options=ALL:NO_SSLv3:NO_SSLv2 connection-auth=off cert=/usr/local/etc/squid/squidCA.pem always_direct allow all sslproxy_cert_error allow all sslproxy_flags DONT_VERIFY_PEER acl white_list_ssl ssl::server_name_regex "/usr/local/etc/squid/white_list" acl step1 at_step SslBump1 ssl_bump peek step1 ssl_bump terminate !white_list_ssl !admins ssl_bump splice all sslcrtd_program /usr/local/libexec/squid/ssl_crtd -s /var/db/ssl_db -M 4MB error_directory /usr/local/etc/squid/errors/ru coredump_dir /var/squid/cache cache deny all pid_filename /var/run/squid/squid.pid refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern -i (/cgi-bin/\|\?) 0 0% 0 refresh_pattern . 0 20% 4320 Работает все хорошо, все как надо. Админов и администрацию пускает куда угодно. Учеников пускает только на сайты из белого списка, но есть одно большое НО! Некоторые сайты(в белом списке) отображаются не полностью. К примеру gosuslugi.ru. Для этого сайта нужно добавить в белый список сайт gu-st.ru, но это я узнал из интернета(считаем, что пока я его не добавил). При попытки открыть сайт госуслуг в access.log пишет такое: 1495003400.855 24433 192.168.100.44 TCP_TUNNEL/200 18256 CONNECT www.gosuslugi.ru:443 - ORIGINAL_DST/109.207.1.97 - 1495003400.866 5 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.97:443 - HIER_NONE/- - 1495003401.096 4 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- - 1495003401.096 5 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- - 1495003401.098 4 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- - 1495003401.100 4 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- - 1495003401.102 9 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- - 1495003401.113 11 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- - 1495003401.124 4 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- - 1495003401.126 5 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- - 1495003401.133 8 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- - 1495003401.137 8 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- - 1495003401.144 7 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- - 1495003401.147 6 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- - 1495003401.152 8 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- - 1495003401.171 6 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- - 1495003401.174 2 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- - 1495003401.183 4 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- - 1495003401.203 2 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- - 1495003401.211 2 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- - 1495003401.221 2 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- - 1495003401.241 2 192.168.100.44 TAG_NONE/200 0 CONNECT 5.143.224.43:443 - HIER_NONE/- - Начну с конца. ip 5.143.224.43 - мне не понятный и даже не пингуется! ip 109.207.1.34 - nslookup говорит что это mail.gas-u.ru, я его добавляю в белый список и ничего!! А при попытке пингануть gu-st.ru выдает туже айпишку, что и для mail.gas-u.ru. То есть как мне узнать что мне нужно конкретно добавить сайт gu-st.ru в белый список я не понял. Из этого вытекает другой вопрос, мне нужно для каждого такого сайта добавлять нужные им доменные имена? Тот же некорректно отображаемый habrahabr.ru в access.log выдает кучу ip адресов которые не понятны для nslookup. Сам вопрос! Как мне сделать так, чтобы сайты из белого списка подтягивали все что им нужно от куда угодно и все хорошо отображалось?
Ответить \| Правка \| Cообщить модератору

Оглавление

Прозрачный прокси ssl по белым спискам некорректное отображение, ACCA, 20:05 , 17-Май-17, (1)

Прозрачный прокси ssl по белым спискам некорректное отображение, Михаил, 06:23 , 18-Май-17, (2)

Сообщения по теме [Сортировка по времени | RSS]

1. "Прозрачный прокси ssl по белым спискам некорректное отображение" +/–

Сообщение от ACCA (ok) on 17-Май-17, 20:05

> Начну с конца. ip 5.143.224.43 - мне не понятный и даже не
whois 5.143.224.43
"ООО Спутник". А говорят, что дятлы стаями не летают. Зачем ICMP, не знают, потому и режут. Про обратные DNS зоны тоже не в курсе. Зато хватает подвязок на оттяпать себе 8 сетей класса C.

> пингуется! ip 109.207.1.34 - nslookup говорит что это mail.gas-u.ru, я его
> добавляю в белый список и ничего!! А при попытке пингануть gu-st.ru
Ты можешь иметь более, чем одну A запись с разными именами, но одним и тем же IP. А вот в обратной зоне не делают более одной записи PTR для каждого адреса. Домашнее задание - прочитай, почему.

> узнать что мне нужно конкретно добавить сайт gu-st.ru в белый список
> я не понял.
Открываешь эту битую страницу в Firefox, запускаешь отладчик (Ctrl+Shift+J). Тыкаешь во все заголовки, кроме Net, (CSS, JS и проч.), чтобы они погасли. Заодно тыкаешь Clear, чтобы почистить окно.
Переключаешься в окно со страницой, обновляешь её. Переключаешься снова в отладчик, смотришь чего не хватает. Потом либо добавляешь это в whitelist, либо нет.

> Из этого вытекает другой вопрос, мне нужно для каждого такого сайта добавлять
> нужные им доменные имена?
Либо поставить чужой whitelist.

> Тот же некорректно отображаемый habrahabr.ru в access.log выдает кучу ip адресов
> которые не понятны для nslookup.
Они ему понятны. Это тебе не понятно, что он тебе ответил.

> Сам вопрос! Как мне сделать так, чтобы сайты из белого списка подтягивали
> все что им нужно от куда угодно и все хорошо отображалось?
Хорошая идея.
Заходят дети на анально огороженый mail.gas-u.ru, оттуда подсасывают НЁХ со sputnik.ru (см.выше), а там ссылочка на баннерную сеть, откуда приезжает JavaScript. Открывает под сотню XMLHTTPrequest соединений на все помойки, между делом притаскивает Wanna Cry, который разбегается по SMB внутри локалки.
Потом тебя публично сношают в неприличные места и вычитают из зарплаты по $300 в биткойнах за каждую станцию в сети. В дар братскому Корейскому народу на продвижение идей чучхэ.
Возможно, что это наведёт тебя на мысль - "А может не нужно было откуда угодно?"

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Прозрачный прокси ssl по белым спискам некорректное отображение" +/–

Сообщение от Михаил (??) on 18-Май-17, 06:23

>[оверквотинг удален]
> Хорошая идея.
> Заходят дети на анально огороженый mail.gas-u.ru, оттуда подсасывают НЁХ со sputnik.ru
> (см.выше), а там ссылочка на баннерную сеть, откуда приезжает JavaScript. Открывает
> под сотню XMLHTTPrequest соединений на все помойки, между делом притаскивает Wanna
> Cry, который разбегается по SMB внутри локалки.
> Потом тебя публично сношают в неприличные места и вычитают из зарплаты по
> $300 в биткойнах за каждую станцию в сети. В дар братскому
> Корейскому народу на продвижение идей чучхэ.
> Возможно, что это наведёт тебя на мысль - "А может не нужно
> было откуда угодно?"
Ну от куда угодно я погорячился! А так очень разборчивый и ясный ответ! Большое спасибо!

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Прозрачный прокси ssl по белым спискам некорректное отображение"	+/–
Сообщение от ACCA (ok) on 17-Май-17, 20:05
> Начну с конца. ip 5.143.224.43 - мне не понятный и даже не whois 5.143.224.43 "ООО Спутник". А говорят, что дятлы стаями не летают. Зачем ICMP, не знают, потому и режут. Про обратные DNS зоны тоже не в курсе. Зато хватает подвязок на оттяпать себе 8 сетей класса C. > пингуется! ip 109.207.1.34 - nslookup говорит что это mail.gas-u.ru, я его > добавляю в белый список и ничего!! А при попытке пингануть gu-st.ru Ты можешь иметь более, чем одну A запись с разными именами, но одним и тем же IP. А вот в обратной зоне не делают более одной записи PTR для каждого адреса. Домашнее задание - прочитай, почему. > узнать что мне нужно конкретно добавить сайт gu-st.ru в белый список > я не понял. Открываешь эту битую страницу в Firefox, запускаешь отладчик (Ctrl+Shift+J). Тыкаешь во все заголовки, кроме Net, (CSS, JS и проч.), чтобы они погасли. Заодно тыкаешь Clear, чтобы почистить окно. Переключаешься в окно со страницой, обновляешь её. Переключаешься снова в отладчик, смотришь чего не хватает. Потом либо добавляешь это в whitelist, либо нет. > Из этого вытекает другой вопрос, мне нужно для каждого такого сайта добавлять > нужные им доменные имена? Либо поставить чужой whitelist. > Тот же некорректно отображаемый habrahabr.ru в access.log выдает кучу ip адресов > которые не понятны для nslookup. Они ему понятны. Это тебе не понятно, что он тебе ответил. > Сам вопрос! Как мне сделать так, чтобы сайты из белого списка подтягивали > все что им нужно от куда угодно и все хорошо отображалось? Хорошая идея. Заходят дети на анально огороженый mail.gas-u.ru, оттуда подсасывают НЁХ со sputnik.ru (см.выше), а там ссылочка на баннерную сеть, откуда приезжает JavaScript. Открывает под сотню XMLHTTPrequest соединений на все помойки, между делом притаскивает Wanna Cry, который разбегается по SMB внутри локалки. Потом тебя публично сношают в неприличные места и вычитают из зарплаты по $300 в биткойнах за каждую станцию в сети. В дар братскому Корейскому народу на продвижение идей чучхэ. Возможно, что это наведёт тебя на мысль - "А может не нужно было откуда угодно?"
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "Прозрачный прокси ssl по белым спискам некорректное отображение"	+/–
	Сообщение от Михаил (??) on 18-Май-17, 06:23
	>[оверквотинг удален] > Хорошая идея. > Заходят дети на анально огороженый mail.gas-u.ru, оттуда подсасывают НЁХ со sputnik.ru > (см.выше), а там ссылочка на баннерную сеть, откуда приезжает JavaScript. Открывает > под сотню XMLHTTPrequest соединений на все помойки, между делом притаскивает Wanna > Cry, который разбегается по SMB внутри локалки. > Потом тебя публично сношают в неприличные места и вычитают из зарплаты по > $300 в биткойнах за каждую станцию в сети. В дар братскому > Корейскому народу на продвижение идей чучхэ. > Возможно, что это наведёт тебя на мысль - "А может не нужно > было откуда угодно?" Ну от куда угодно я погорячился! А так очень разборчивый и ясный ответ! Большое спасибо!
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору