squid https прозрачный прокси без подмены сертификатов и правильная блокировка ресурсов.

Метки: Centos

очень много статей на тему сквида, но нигде не нашел информацию по блокировке определенных https имен хостов, к примеру:
1. согласно этой статье https://habrahabr.ru/post/267851/
блокировка сайта ok.ru будет работать, но при этом буду блокироваться все ресурсы содержащие ok.ru: goodok.ru / smorchok.ru и т.п.
2. также будет проблема с блокированием TLD типа .tv .xxx в результате получим блокировку очень многих ресурсов, содержащих сочетание букв.

есть решение:

[root@centos01 squid]# cat ./denied_urls_ssl
^ok.ru
^vk.com
\.tv$

squid.conf:

acl blocked_fast ssl::server_name "/etc/squid/denied_urls"
acl blocked_ssl ssl::server_name_regex -i "/etc/squid/denied_urls_ssl"
acl step1 at_step SslBump1
ssl_bump peek step1
ssl_bump terminate !good_mac
ssl_bump splice allowed_mac
ssl_bump terminate blocked_fast
ssl_bump terminate blocked_ssl
ssl_bump splice all

полный конфиг сквида:

acl localnet src 192.168.1.0/24 # RFC1918 possible internal network

acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

dns_nameservers 192.168.1.1

acl denied_urls_fast url_regex -i "/etc/squid/denied_urls"
acl denied_urls_slow url_regex -i "/etc/squid/denied_urls_slow"
acl allowed_urls url_regex "/etc/squid/allowed_urls"
acl extended_access_group src "/etc/squid/extended_access_group"
acl blocked_mac arp "/etc/squid/blocked_mac"
acl allowed_mac arp "/etc/squid/allowed_mac"
acl good_mac arp "/etc/squid/good_mac"

http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

http_access allow all CONNECT
http_access deny !good_mac
http_access allow allowed_mac
http_access deny denied_urls_fast
http_access deny denied_urls_slow
http_access allow localnet
http_access allow localhost
http_access deny all

http_port 192.168.1.5:3130 ssl-bump cert=/etc/squid/ssl_cert/myca.pem
http_port 192.168.1.5:3128 intercept
https_port 192.168.1.5:3129 intercept ssl-bump cert=/etc/squid/ssl_cert/myca.pem

always_direct allow all
sslproxy_cert_error allow all
sslproxy_flags DONT_VERIFY_PEER

acl blocked_fast ssl::server_name "/etc/squid/denied_urls"
acl blocked_ssl ssl::server_name_regex -i "/etc/squid/denied_urls_ssl"
acl step1 at_step SslBump1
ssl_bump peek step1
ssl_bump terminate !good_mac
ssl_bump splice allowed_mac
ssl_bump terminate blocked_fast
ssl_bump terminate blocked_ssl
ssl_bump splice all

coredump_dir /var/spool/squid

refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320

cache_dir ufs /var/spool/squid 4000 16 256
shutdown_lifetime 1 second

Tags for squid https прозрачный прокси без подмены сертификатов и правильная блокировка ресурсов.
Вход в систему
Image CAPTCHA
Enter the characters shown in the image.