Форум русскоязычного сообщества Ubuntu


Увидели сообщение с непонятной ссылкой, спам, непристойность или оскорбление?
Воспользуйтесь ссылкой «Сообщить модератору» рядом с сообщением!

Автор Тема: Squid пропускает https.  (Прочитано 4570 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн chiba-sobaka

  • Автор темы
  • Новичок
  • *
  • Сообщений: 22
    • Просмотр профиля
Squid пропускает https.
« : 24 Июля 2017, 19:32:34 »
Добрый всем день! Столкнулся с тобой проблемой:
На ubuntu поднят Squid.
В настройках squid не прозрачный. Т.е. Весь трафик завернул на стандартный порт, 3128. В настройках пользователя стоит обязательная прокси, интернет работает великолепно. Но у остальных пользователей у кого в настройках не стоит использовать прокси, все равно, есть интернет по https.  Вопрос, как нужно блочить правильно интернет для пользователей у кого не стоит  прокся???

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13758
    • Просмотр профиля
Re: Squid пропускает https.
« Ответ #1 : 24 Июля 2017, 19:37:29 »
Предлагаю начать рассматривать шлюз с другого ракурса
sysctl net.ipv4.ip_forward
sudo iptables-save

Оффлайн chiba-sobaka

  • Автор темы
  • Новичок
  • *
  • Сообщений: 22
    • Просмотр профиля
Re: Squid пропускает https.
« Ответ #2 : 25 Июля 2017, 02:30:33 »
А можно немного точнее. а то год назад поднимал настраивал и не все сразу понял.

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13758
    • Просмотр профиля
Re: Squid пропускает https.
« Ответ #3 : 25 Июля 2017, 06:34:34 »
куда же точнее?
Вводите эти команды в терминал и вываливаете выхлоп этих команд сюда и мы убеждаемся, что кальмар тут не при чём.

Оффлайн chiba-sobaka

  • Автор темы
  • Новичок
  • *
  • Сообщений: 22
    • Просмотр профиля
Re: Squid пропускает https.
« Ответ #4 : 25 Июля 2017, 15:15:02 »
Вот я втупил! )))))
вот что значит один раз настроил и забыл!
root@shlyz:~# sysctl net.ipv4.ip_forward
net.ipv4.ip_forward = 1
root@shlyz:~# sudo iptables-save
# Generated by iptables-save v1.6.0 on Tue Jul 25 21:12:39 2017
*nat
:PREROUTING ACCEPT [14072262:1223856447]
:INPUT ACCEPT [9076388:581069559]
:OUTPUT ACCEPT [1149346:77838022]
:POSTROUTING ACCEPT [1149346:77838022]
-A PREROUTING ! -d 192.168.1.0/24 -i enp3s0 -p tcp -m multiport --dports 80,8080                                                                                                                      -j DNAT --to-destination 192.168.1.1:3128
-A POSTROUTING -s 192.168.1.0/24 -o enp4s0 -j MASQUERADE
-A POSTROUTING -o enp4sO -j MASQUERADE
COMMIT
# Completed on Tue Jul 25 21:12:39 2017
# Generated by iptables-save v1.6.0 on Tue Jul 25 21:12:39 2017
*filter
:INPUT ACCEPT [93075503:98662241700]
:FORWARD ACCEPT [79114816:71818218859]
:OUTPUT ACCEPT [129999450:111614023734]
:monitorix_IN_0 - [0:0]
:monitorix_IN_1 - [0:0]
:monitorix_IN_2 - [0:0]
:monitorix_IN_3 - [0:0]
:monitorix_IN_4 - [0:0]
:monitorix_IN_5 - [0:0]
:monitorix_IN_6 - [0:0]
:monitorix_IN_7 - [0:0]
:monitorix_IN_8 - [0:0]
-A INPUT -p tcp -m tcp --sport 1024:65535 --dport 143 -m conntrack --ctstate NEW                                                                                                                     ,RELATED,ESTABLISHED -j monitorix_IN_8
-A INPUT -p udp -m udp --sport 1024:65535 --dport 53 -m conntrack --ctstate NEW,                                                                                                                     RELATED,ESTABLISHED -j monitorix_IN_7
-A INPUT -p tcp -m tcp --sport 1024:65535 --dport 3306 -m conntrack --ctstate NE                                                                                                                     W,RELATED,ESTABLISHED -j monitorix_IN_6
-A INPUT -p tcp -m tcp --sport 1024:65535 --dport 139 -m conntrack --ctstate NEW                                                                                                                     ,RELATED,ESTABLISHED -j monitorix_IN_5
-A INPUT -p tcp -m tcp --sport 1024:65535 --dport 110 -m conntrack --ctstate NEW                                                                                                                     ,RELATED,ESTABLISHED -j monitorix_IN_4
-A INPUT -p tcp -m tcp --sport 1024:65535 --dport 22 -m conntrack --ctstate NEW,                                                                                                                     RELATED,ESTABLISHED -j monitorix_IN_3
-A INPUT -p tcp -m tcp --sport 1024:65535 --dport 80 -m conntrack --ctstate NEW,                                                                                                                     RELATED,ESTABLISHED -j monitorix_IN_2
-A INPUT -p tcp -m tcp --sport 1024:65535 --dport 21 -m conntrack --ctstate NEW,                                                                                                                     RELATED,ESTABLISHED -j monitorix_IN_1
-A INPUT -p tcp -m tcp --sport 1024:65535 --dport 25 -m conntrack --ctstate NEW,                                                                                                                     RELATED,ESTABLISHED -j monitorix_IN_0
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -i enp4s0 -o enp4sO -j REJECT --reject-with icmp-port-unreachable
-A OUTPUT -p tcp -m tcp --sport 143 --dport 1024:65535 -m conntrack --ctstate RE                                                                                                                     LATED,ESTABLISHED -j monitorix_IN_8
-A OUTPUT -p udp -m udp --sport 53 --dport 1024:65535 -m conntrack --ctstate REL                                                                                                                     ATED,ESTABLISHED -j monitorix_IN_7
-A OUTPUT -p tcp -m tcp --sport 3306 --dport 1024:65535 -m conntrack --ctstate R                                                                                                                     ELATED,ESTABLISHED -j monitorix_IN_6
-A OUTPUT -p tcp -m tcp --sport 139 --dport 1024:65535 -m conntrack --ctstate RE                                                                                                                     LATED,ESTABLISHED -j monitorix_IN_5
-A OUTPUT -p tcp -m tcp --sport 110 --dport 1024:65535 -m conntrack --ctstate RE                                                                                                                     LATED,ESTABLISHED -j monitorix_IN_4
-A OUTPUT -p tcp -m tcp --sport 22 --dport 1024:65535 -m conntrack --ctstate REL                                                                                                                     ATED,ESTABLISHED -j monitorix_IN_3
-A OUTPUT -p tcp -m tcp --sport 80 --dport 1024:65535 -m conntrack --ctstate REL                                                                                                                     ATED,ESTABLISHED -j monitorix_IN_2
-A OUTPUT -p tcp -m tcp --sport 21 --dport 1024:65535 -m conntrack --ctstate REL                                                                                                                     ATED,ESTABLISHED -j monitorix_IN_1
-A OUTPUT -p tcp -m tcp --sport 25 --dport 1024:65535 -m conntrack --ctstate REL                                                                                                                     ATED,ESTABLISHED -j monitorix_IN_0
COMMIT
# Completed on Tue Jul 25 21:12:39 2017

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13758
    • Просмотр профиля
Re: Squid пропускает https.
« Ответ #5 : 25 Июля 2017, 17:20:10 »
Вы бы ещё тегом [соdе] воспользовались бы - было бы крутее.

Собственно, видим, то чего и ожидали увидеть (как минимум я ожидал).
Все кто не хочет пользоваться проксей, просто убирают её из настроек и юзают https-трафик бесконтрольно.
Решение зависит от преследуемых задач.
Пара примеров:
1.
sudo sysctl -w net.ipv4.ip_forward = 0и больше никто не сможет пройти мимо кальмара... вообще
2.
sudo iptables FORWARD -P DROPИ мимо кальмара смогут ходить только те кому разрешит админ шлюза добавлением разрешающего правила.

Оффлайн SYN

  • Участник
  • *
  • Сообщений: 235
    • Просмотр профиля
Re: Squid пропускает https.
« Ответ #6 : 25 Июля 2017, 17:59:27 »
Может чуточку не в тему. Скажите, есть настройка у Squid ограничить размер кеша? Разрастается непомерно, не сумел найти как автоматически ограничить. Хочу ограничить размер кеша 300-400 Мб, что бы при превышении старые данные затирались автоматом.

Оффлайн chiba-sobaka

  • Автор темы
  • Новичок
  • *
  • Сообщений: 22
    • Просмотр профиля
Re: Squid пропускает https.
« Ответ #7 : 27 Июля 2017, 12:07:55 »
sudo sysctl -w net.ipv4.ip_forward = 0
-данная команда отключает пропуск по HTTPs все заработало, как директор захотел.
но теперь стала другая проблема. перестал работать Континет АП (казначейский)
я в файле nat прописываю правило проброса, но что то не работает проброс.
Подскажите, вообще верно ли я вообще nat собрал:
#!/bin/sh
/
#Включаем форвардинг пакетов
echo 1 > /proc/sys/net/ipv4/ip_forward

#Разрешаем траффик на lo
iptables -A INPUT -i lo -j ACCEPT

#Разрешаем доступ из внутренней сети наружу
iptables -A FORWARD -i enp3s0 -o enp4s0 -j ACCEPT

#Разрешаем Континенту АП работать мимо прокси
iptables -t nat -I PREROUTING -s 192.168.1.66 -t 85.26.247.148 -j ACCEPT
iptables -t nat -A FORWARD -s 192.168.1.66 -t 85.26.247.148 -j ACCEPT
iptables -t nat -A POSTROUTING  -s 192.168.1.66 -t 85.26.247.148 -j MASQUERADE

#Запрещаем подключение MAC адрессу!
#iptables -I INPUT -m mac --mac-source 00:1A:4D:29:B5:97 -j DROP #192.168.1.60

#Включаем NAT
iptables -t nat -A POSTROUTING -o enp4s0 -s 192.168.1.0/24 -j MASQUERADE

#Разрешаем ответы из внешней сети
iptables -A FORWARD -i enp4s0 -m state --state ESTABLISHED,RELATED -j ACCEPT

# Заворачиваем http на прокси
iptables -t nat -A PREROUTING -i enp3s0 ! -d 192.168.1.0/24 -p tcp -m multiport$

#Запрещаем доступ снаружи во внутреннюю сеть
iptables -A FORWARD -i enp4s0 -o enp3s0 -j DROP

#Закрыть все неоткрытые порты
iptables -A INPUT -j DROP

Буду очень благодарен за помощь! и повторюсь настраивал давно, уже почти все забыл. просьба поподробнее ответ дать! :)

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13758
    • Просмотр профиля
Re: Squid пропускает https.
« Ответ #8 : 27 Июля 2017, 13:07:03 »
Вспоминайте, это, судя по всему, Ваш хлеб. Вы же не забываете как ложкой пользоваться.

Могу только сказать, что есть правила из цикла "правила плохого тона".
1.
iptables -t nat -I PREROUTING -s 192.168.1.66 -t 85.26.247.148 -j ACCEPT
для фильтрации трафика применяется таблица filter
2.
iptables -t nat -A FORWARD -s 192.168.1.66 -t 85.26.247.148 -j ACCEPT
В таблице nat нет цепочки FORWARD
3.
iptables -t nat -A POSTROUTING  -s 192.168.1.66 -t 85.26.247.148 -j MASQUERADE
Зачем маскарадить отдельный хост на отдельный сервис, когда есть правило маскарада для всей локальной сети
iptables -t nat -A POSTROUTING -o enp4s0 -s 192.168.1.0/24 -j MASQUERADE
Не мешает, конечно, но указывает на плохой почерк админа. Ему бы (админу) нужно определиться в необходимости того или иного правила.

4. Не решена проблема безконтрольного выхода в интернет всех пользователей по портам отличным от принудительно перенаправленных на кальмара (Вы упорно не хотите пользоваться тегами на форуме, потому какие именно порты остаётся за кадром). А туда входит не только https, но и (ТАДАААМ) с ftp можно гигабайты покачать и торренты погонять.

Оффлайн chiba-sobaka

  • Автор темы
  • Новичок
  • *
  • Сообщений: 22
    • Просмотр профиля
Re: Squid пропускает https.
« Ответ #9 : 28 Июля 2017, 02:36:37 »
   fisher74
- есть вопрос, на который нужно ответить в личном сообщении.

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13758
    • Просмотр профиля
Re: Squid пропускает https.
« Ответ #10 : 28 Июля 2017, 06:56:40 »
Нужно Вам, а не мне.

Не хотите разбираться? Нанимайте специалиста.
Я даю бесплатные консультации и помощь исключительно в рамках открытого форума.
За деньги я на форуме не консультирую и не помогаю, извините.


Оффлайн chiba-sobaka

  • Автор темы
  • Новичок
  • *
  • Сообщений: 22
    • Просмотр профиля
Re: Squid пропускает https.
« Ответ #11 : 29 Июля 2017, 14:55:41 »
Такое ощущение что вы не русский! ))))
Ну ладно!
Тогда рекомендуйте материал, в котором хорошо написано и расписано с примерами как настраивать нат в моем случае!

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28466
    • Просмотр профиля
Re: Squid пропускает https.
« Ответ #12 : 29 Июля 2017, 17:25:17 »
вы не русский
Интернет не имеет национальности. Только национализм. Который не стоит демонстрировать, особенно здесь. Вас просто не поймут.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13758
    • Просмотр профиля
Re: Squid пропускает https.
« Ответ #13 : 30 Июля 2017, 23:01:22 »
Такое ощущение что вы не русский! ))))
И что это для Вас значит? Линус Торвальдс, например, не русский.

Тогда рекомендуйте материал
Легко. Даже далеко ходить не нужно. Читайте

Оффлайн chiba-sobaka

  • Автор темы
  • Новичок
  • *
  • Сообщений: 22
    • Просмотр профиля
Re: Squid пропускает https.
« Ответ #14 : 31 Июля 2017, 19:32:46 »
Зачем делать это:
Установите и запустите пакет для раздачи пакетов по сети:
sudo apt-get install dnsmasq

 

Страница сгенерирована за 0.05 секунд. Запросов: 25.