Как заставить работать deny_info с HTTPS в Squid?

Question

reaper666 @reaper666

Proxy
Squid

Как заставить работать deny_info с HTTPS в Squid?

Есть Squid 3.5.28. Непрозрачный, работает с указанием адреса в прокси.
Включил директиву deny_info с перенаправлением на другой адрес.
deny_info 303:url.com block_users
В ACL block_users попадают пользователи, у которых закончился трафик.
Проблема в том, что если пользователь идет на HTTP-сайт, то его перенаправляет, а если на HTTPS, то просто браузер выводит сообщение о том, что не может установить соединение.
Работа идет с поддержкой метода peek and splice. Логи следующие.
TCP_DENIED/407 4169 GET rejik.ru - HIER_NONE/- text/html
TCP_DENIED/407 4398 GET rejik.ru - HIER_NONE/- text/html
TCP_DENIED/303 471 GET rejik.ru login HIER_NONE/- text/html
TCP_DENIED/407 3884 CONNECT ya.ru:443 - HIER_NONE/- text/html
TCP_DENIED/407 4113 CONNECT ya.ru:443 - HIER_NONE/- text/html
TCP_DENIED/303 470 CONNECT ya.ru:443 login HIER_NONE/- text/html

Насколько я понял, при заходе на http он получает TCP_DENIED и обращается к директиве deny_info и перенаправляет юзера туда, поскольку вернулся код 303. В случае захода на HTTPS он тоже получает TCP_DENIED и пытается перенаправить, но поскольку SSL-туннель уже поднят, адреса хоста в нем уже не изменить. У меня работало перенаправление в случае подмены сертификатов, но это не вариант, поскольку добавлением сертификата в доверенные проблему того, что браузеры ругаются на неверный сертификат, не решить.
Как еще можно решить эту проблему?

Вопрос задан более трёх лет назад
1400 просмотров

Комментировать

Подписаться 2 Средний Комментировать

Решения вопроса 1

4 комментария

reaper666 @reaper666 Автор вопроса

Я, собственно, решил этот вопрос. Совместил peek and splice и динамическую генерацию сертификатов.
Привожу конфиг.
http_port 3128 ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB options=ALL:NO_SSLv3:NO_SSLv2 connection-auth=off cert=/etc/squid/ssl/squid_CA.pem key=/etc/squid/ssl/squid_CA.key

acl step1 at_step SslBump1
ssl_bump peek step1
ssl_bump terminate blocked
ssl_bump splice all

Схема работы следующая. Пока пользователю можно в инет, все работает стабильно, и подмены сертификатов не происходит. Как только у пользователя кончается трафик, он переходит в запрещающий ACL и вот тогда начинается подмена сертификата, но поскольку сразу же происходит редирект на сайт-заглушку, то пользователь и не в курсе. Само собой, корневой сертификат распространен по всем компам через GPO. Пока полмесяца тестируем, пользователи не возмущаются и спокойно работаем.

Написано более трёх лет назад
Kalombyr @Kalombyr

reaper666, спасибо за ответ! Вы немогли бы полный конфиг привести?

Написано более трёх лет назад

reaper666 @reaper666 Автор вопроса

Kalombyr,

#  TAG: auth_param
##NTLM-autentification
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 1500
auth_param basic credentialsttl 1 hours
auth_param ntlm keep_alive on
##
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 150
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours

# ACCESS CONTROLS
# -----------------------------------------------------------------------------
#  TAG: acl
acl Sams2Time1 time MTWHFAS 00:00-23:59
#Доменная аутентификация для пользователей домена
acl Sams2Template1 proxy_auth $login # Кому можно
acl Sams2BlockedUsers proxy_auth $login # И кому нельзя
# Список сайтов, на которые ходить без аутентификации
acl no_auth url_regex -i "/etc/squid/no-auth.txt"
# Для доступа к Skype
acl skype dstdomain apps.skypeassets.com mscrl.microsoft.com
# Локальная сеть
acl localnet src 10.0.0.0/8
#-----------ICQ----------------
acl icq dstdomain login.icq.com
acl icqport port 443
acl icqport port 5190
acl icqip dst 178.237.16.0/20
#------------------------------

#---------SSL и Безопасные порты---------------------------
acl SSL_ports port 443 5190
acl Safe_ports port 80		# http
acl Safe_ports port 21		# ftp
acl Safe_ports port 443		# https
acl Safe_ports port 70		# gopher
acl Safe_ports port 210		# wais
acl Safe_ports port 1025-65535	# unregistered ports
acl Safe_ports port 280		# http-mgmt
acl Safe_ports port 488		# gss-http
acl Safe_ports port 591		# filemaker
acl Safe_ports port 777		# multiling http
acl CONNECT method CONNECT
-----------------------------------------------------------
# Для хождения на сайты без аутентификации
http_access allow no_auth
#  TAG: http_access
# Setup Sams2 HTTP Access here
http_access deny Sams2BlockedUsers
http_access allow Sams2Template1 Sams2Time1
http_access allow skype
# Only allow cachemgr access from localhost
http_access allow manager localhost
http_access allow localhost
http_access deny manager

# Deny requests to certain unsafe ports
http_access deny !Safe_ports

# Deny CONNECT to other than secure SSL ports
http_access deny CONNECT !SSL_ports

http_access allow localhost
http_access allow localnet

# Запрещаем все неразрешенное
http_access deny all

# -----------------------------------------------------------------------------

#  TAG: http_port

http_port 9999 ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB options=ALL:NO_SSLv3:NO_SSLv2 connection-auth=off cert=/etc/squid/ssl/squid_CA.pem key=/etc/squid/ssl/squid_CA.key cipher=ECDHE-RSA-RC4-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES128-SHA:DHE-RSA-CAMELLIA128-SHA:AES128-SHA:RC4-SHA:HIGH:!aNULL:!MD5:!ADH

# 	SSL OPTIONS
# 	TAG: ssl_bump
#	HTTPS без подмены
acl blocked ssl::server_name "/etc/squid/blocked_https.txt" # Для блокировки сайтов

acl step1 at_step SslBump1
#---- Для работы ICQ----------------
ssl_bump splice step1 icq
ssl_bump splice step1 icqip icqport
#-----------------------------------
ssl_bump peek step1
ssl_bump splice all

#-----------Telegram-----------------------------------------------------
# SSL-bump rules
acl DiscoverSNIHost at_step SslBump1
# Splice specified servers
acl NoSSLIntercept ssl::server_name_regex "/etc/squid/acl.url.nobump"
ssl_bump peek DiscoverSNIHost
ssl_bump splice NoSSLIntercept
------------------------------------------------------------------------
#  TAG: sslproxy_flags
sslproxy_flags DONT_VERIFY_PEER

#  TAG: sslproxy_cert_error
sslproxy_cert_error allow all

# LOGFILE OPTIONS
# -----------------------------------------------------------------------------

#  TAG: logformat
logformat squid %ts.%03tu %6tr %>a %Ss/%03>Hs %<st %rm %ru %un %Sh/%<A %mt

#  TAG: access_log
access_log /var/log/squid/access.log squid

# OPTIONS FOR URL REWRITING
# -----------------------------------------------------------------------------
#  TAG: url_rewrite_access
acl Sams2Proxy dst $ProxyIP
url_rewrite_access deny Sams2Proxy
# OPTIONS FOR TUNING THE CACHE
# -----------------------------------------------------------------------------
#  TAG: refresh_pattern
# Add any of your own refresh_pattern entries above these.
refresh_pattern ^ftp:		1440	20%	10080
refresh_pattern ^gopher:	1440	0%	1440
refresh_pattern -i (/cgi-bin/|\?) 0	0%	0
refresh_pattern .		0	20%	4320

#  TAG: error_log_languages
#Default:
error_log_languages off

deny_info 303:http://url.domain.local/index.html?login=%a&url=%U Sams2BlockedUsers
#  TAG: deny_info

Написано более трёх лет назад

Kalombyr @Kalombyr

reaper666, спасибо!

Написано более трёх лет назад

Пригласить эксперта

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

Proxy

Сложный
Как сделать конфиг для 3proxy с распределением по url на разные прокси?
- 3 подписчика
- 16 часов назад
- 451 просмотр
0

ответов
VPN

+1 ещё

Средний
Openvpn насколько хорошо сжимает весь трафик?
- 1 подписчик
- 23 часа назад
- 74 просмотра
2

ответа
Linux

+1 ещё

Средний
Какой выбрать socks прокси и как правильно его настроить для большого количества юзеров?
- 2 подписчика
- 17 апр.
- 117 просмотров
1

ответ
Android

+2 ещё

Средний
Какие программы использовать для создания тикток аккаунта в разных регионах?
- 1 подписчик
- 15 апр.
- 84 просмотра
1

ответ
Windows

+1 ещё

Простой
Как сделать чтобы всё в windows 11 пропускалось через proxy?
- 2 подписчика
- 15 апр.
- 215 просмотров
2

ответа
Linux

+2 ещё

Простой
Как фильтровать сайты для пользователей?
- 1 подписчик
- 10 апр.
- 127 просмотров
1

ответ
Python

+1 ещё

Средний
Есть ли в Python библиотека для работы с экзотическими видами прокси?
- 2 подписчика
- 09 апр.
- 189 просмотров
2

ответа
Ubuntu

+1 ещё

Простой
Не подключается shadowShadowsocks в чем может быть причина?
- 1 подписчик
- 07 апр.
- 60 просмотров
2

ответа
PHP

+3 ещё

Средний
Почему может быть долгое ожидание ответа при запросе из Docker контейнера?
- 2 подписчика
- 07 апр.
- 292 просмотра
1

ответ
Python

+1 ещё

Простой
Как перенаправить траффик отдельного python скрипта через VPN?
- 1 подписчик
- 22 мар.
- 105 просмотров
1

ответ
Показать ещё Загружается…

Backend Developer в бьюти-платформу LUUK

УК «Решения» • Москва

от 200 000 ₽

Angular frontend developer, разработчик middle+

IT Force • Краснодар

от 200 000 ₽

Middle+ Marketing manager

Правое полушарие Интроверта

от 120 000 ₽

Доработка аддона для Xenforo v2.2.13

20 апр. 2024, в 06:06

200 руб./за проект

Привязка к Маркетплейсам 1С Розница 2.3

20 апр. 2024, в 05:26

10000 руб./за проект

Дописать функцию на Flutter, работа с yandex map kit

20 апр. 2024, в 04:18

3000 руб./за проект

Answer 1 · 2018-10-13 15:50:17

К счастью, без "предупреждения" от браузера это не обойти т.к. в этом прелесть ssl.
У меня когда-то было сделана блокировка через bind+nginx с автогенерацией сертификата под каждый домен, но смысла в этом особо не видел.
Навсякий случай подпишусь на вопрос, ибо могу быть не прав.

Как заставить работать deny_info с HTTPS в Squid?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт