Форум русскоязычного сообщества Ubuntu


Увидели сообщение с непонятной ссылкой, спам, непристойность или оскорбление?
Воспользуйтесь ссылкой «Сообщить модератору» рядом с сообщением!

Автор Тема: проксирование https для пользователей без полного доступа в инет  (Прочитано 979 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн netraven

  • Автор темы
  • Новичок
  • *
  • Сообщений: 9
    • Просмотр профиля
На шлюзе интернета настроен прокси на squid 3.1.8
 Изначально в режиме прозрачного прокси, но теперь его адрес и порт указывается явно в настройках IE большинства  пользователей из-за необходимости жестко исключать внутренние подсетки.
 Пользователи ,компьютерам  которых разрешен доступ только по списку необходимых  сайтов не могут зайти на них по https,  а пользователи с более широким и неограниченным доступом - спокойно туда же заходят.
 Группы доступа настроены по  IP .
В логах для первой группы "...tcp_denied/403 connect ... адрес_сайта:443"
Фрагмент squid.conf
..... стандартные наборы безопасных и портов  и тд..
.......
acl CONNECT method CONNECT

acl deny_url url_regex "/etc/squid/access/deny_url.txt" адреса запрещенные компьютерам из группы native_access
acl allow_url url_regex "/etc/squid/access/allow_url.txt" адреса сайтов доступные всем компьютерам нашей сети

acl full_access src "/etc/squid/access/access_full.txt" адреса компьютеров с неограниченным доступом
acl native_access src "/etc/squid/access/access.txt"  адреса компьютеров с слегка ограниченным доступом

acl HTTP proto HTTP
acl FTP proto FTP.


http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

http_access allow localhost

http_access allow full_access  # проблем с https нет
http_access deny deny_url native_access
http_access deny !allow_url FTP
http_access allow native_access # проблем с https нет 
http_access allow allow_url all # по этому правилу предполагалось разрешить Http и Https  "безынтернетным"
http_access allow localhost

always_direct allow localhost
## allow connections from localhost (HAVP) #вышестоящий прокси с проверкой траффика антивирем, не участвуeт при CONNECT
always_direct allow CONNECT.
## always allow SSL connections direct without havp

То есть, стоит мне добавить ip компьютера в access.txt ,и всё начинает работать.
Как же правильно разрешить общедоступные адреса по HTTPS в таком случае? 

Оффлайн KPbIC

  • Любитель
  • *
  • Сообщений: 55
    • Просмотр профиля
Ммм... Не совсем понял. Есть группа юзеров, которые могут зайти допустим на http://site.ru, а на https://site.ru уже не пускает?
Попробуй в списке правил создать новый acl:
acl good_url dst site.ru
acl unpriv_users src ip/32
http_access allow unpriv_users good_url
http_access deny unpriv_users all
И проверь, чтоб стояла галочка "использовать (твой) прокси сервер для всех протоколов".

Оффлайн netraven

  • Автор темы
  • Новичок
  • *
  • Сообщений: 9
    • Просмотр профиля
Есть группа адресов сайтов  с именем allow_url, которые должны быть доступны всем компьютерам. Пользователей как таковых нет. Пропуск в инет  ведется по группам IP адресов или целым подсетям .
Http_access allow allow_url и разрешает проход на "хорошие" сайты с любого внутреннего  ip , даже не находящегося ни в каком ACL . Это удобно.
Вот только не получается тоже самое с доступом по HTTPS 
Метод CONNECT разрешен для всех по безопасным портам .  А проблема началась с того , что тот же www.translate.google.ru теперь перенаправляет всех на https://translate.google.ru/* , и пользователи с ограниченным доступом не могут открыть страницу.
« Последнее редактирование: 07 Май 2014, 12:17:37 от netraven »

Оффлайн KPbIC

  • Любитель
  • *
  • Сообщений: 55
    • Просмотр профиля
Попробуй сначала перечислить все разрешающие правила, а после них - запрещающие.
В "allow_url.txt" сайты как перечислены? Тот же translate.google.ru?

Оффлайн netraven

  • Автор темы
  • Новичок
  • *
  • Сообщений: 9
    • Просмотр профиля
Разрешающее правило для всех  уже поднимал повыше, никакого эффекта. В списке разрешенных URL занесено так  : .translate.google.ru.
Порядок правил рабочий , иначе бы не было и http доступа. И порт 443  разрешенный.
Правило для группы IP и правило для всех буквально рядом стоят. Не могу понять почему разрешение  группе компов отрабатывает для метода CONNECT , а разрешение выхода всем  на список внешних  URL -нет.  Вот так выглядит в логе  попытка выйти с машины "без интернета" на разрешенный всем адрес.
1399532959.300     72 192.168.0.29 TCP_MISS/302 795 GET http://www.translate.google.ru/ - DIRECT/173.194.71.94 text/html
1399532959.446     61 192.168.0.29 TCP_MISS/302 787 GET http://translate.google.ru/ - DIRECT/173.194.71.94 text/html
1399532959.448      0 192.168.0.29 TCP_DENIED/403 3767 CONNECT translate.google.ru:443 - NONE/- text/html
« Последнее редактирование: 08 Май 2014, 11:15:46 от netraven »

Оффлайн KPbIC

  • Любитель
  • *
  • Сообщений: 55
    • Просмотр профиля
Цитировать
.translate.google.ru
Перед translate стоит точка?

Оффлайн netraven

  • Автор темы
  • Новичок
  • *
  • Сообщений: 9
    • Просмотр профиля
Да. Иначе ничего ниже уровнем не пройдет. А отслеживать все изменения адресов сайта запаришься.

Оффлайн KPbIC

  • Любитель
  • *
  • Сообщений: 55
    • Просмотр профиля
https://translate.google.ru/
намек ясен? :coolsmiley:

Оффлайн netraven

  • Автор темы
  • Новичок
  • *
  • Сообщений: 9
    • Просмотр профиля
Если намек на то ,что надо в список разрешенных адресов добавить адрес с указанием протокола, то не сработало.

Оффлайн KPbIC

  • Любитель
  • *
  • Сообщений: 55
    • Просмотр профиля
Если намек на то ,что надо в список разрешенных адресов добавить адрес с указанием протокола, то не сработало.
Перед translate.google.ru убрать точку.

Оффлайн netraven

  • Автор темы
  • Новичок
  • *
  • Сообщений: 9
    • Просмотр профиля
Да, так действительно заработало.) Странно , что на других сайтах, где только http доступ, подобная  точка не влияет. Этому конфигу не один месяц и до этого никаких проблем с этими же сайтами.
На версии сквида  3.1.19 точки перед именем домена  уже не влияют так , кстати.
« Последнее редактирование: 13 Май 2014, 17:15:04 от netraven »

 

Страница сгенерирована за 0.056 секунд. Запросов: 24.