Добро пожаловать на форум, Гость!
Войдите или зарегистрируйтесь!
Имя пользователя:   Пароль:  
Запомнить меня 




Начать новую тему Ответить на тему   [ Сообщений: 5 ] 
Автор Сообщение
 Заголовок сообщения: Squid ограничение https
СообщениеДобавлено: 19 авг 2013, 12:02 
Эникейщик
Аватар пользователя
Статус: Не в сети

GeoIP: Russian Federation

Сообщений: 267
Откуда: Брянск
Зарегистрирован: 18 май 2012, 16:34
Благодарил (а): 0 раз.
Поблагодарили: 18 раз.
ОС: ARCH Linux
Сегодня с утра решил, что коннект по IP через кальмара есть зло. Закрыть 80 порт с протоколом http не проблема, но как быть с 443 и https.... Вот тут незадача, поскольку стандартные методы применения http_access не работают. Ну по крайней мере у меня нет. Вот я и придумал следующего монстра который блочит по IP по всему диапазону портов.
Код:
acl whiteip method CONNECT # Объявляем акл с коннект методом
acl sourcip src "/....../userip" # Тут IP адреса зверей сети которым можно коннектится по IP (этот акл я вынужден использовать, поскольку зона DHCP выходит за пределы squid, а это дыра)
acl blockrule url_regex -i ".[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\:[0-9]{1,5}."  # Объявляем дефолтное правило блокировки
acl dstip dst "/....../allowip" # Не все коннекты по IP следует запрещать....к примеру тот же скайп загнется, а ИМ надо(тут разрешенные IP к которым коннект нада)))
http_access allow sourcip whiteip dstip # Разрешаем доступ правильным пользователям используя метод CONNECT к разрешенным IP
http_access deny whiteip blockrule # Запрещаем всем кто сюда прилетел доступ по IP используя метод коннект

Вот теперь вопрос. Правильна ли последовательность в http_access перечисление acl и будет ли это работать как задумано....и можно ли как то минимизировать ЭТО?


01010000011010000110000101101110011101000110111101101101


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Squid ограничение https
СообщениеДобавлено: 19 авг 2013, 23:14 
Бородатый сис
Аватар пользователя
Статус: Не в сети

GeoIP: Kyrgyzstan

Сообщений: 2902
Откуда: Из серверной
Зарегистрирован: 03 мар 2010, 15:12
Благодарил (а): 19 раз.
Поблагодарили: 122 раз.
ОС: RHEL 6.7
Код:
acl CONNECT method CONNECT
acl whiteusers src "/....../userip"
acl whiteip dst "/....../allowip"
http_access allow whiteusers CONNECT whiteip
http_access deny all

не кавай, не?

либо что-то вроде
Код:
http_access deny whiteusers CONNECT !whiteip


Я не злопамятный, я просто часто ковыряю логи
Изображение


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Squid ограничение https
СообщениеДобавлено: 20 авг 2013, 00:43 
Эникейщик
Аватар пользователя
Статус: Не в сети

GeoIP: Russian Federation

Сообщений: 267
Откуда: Брянск
Зарегистрирован: 18 май 2012, 16:34
Благодарил (а): 0 раз.
Поблагодарили: 18 раз.
ОС: ARCH Linux
Не. Так не проканает. Коннект по именам должен беспрепятственно пролетать через это правило ограничиваясь лишь списком пользователей которым вообще можно через кальмара топать.
http_access deny all на корню прибивает весь траф, а это низя.

http_access deny whiteusers CONNECT !whiteip

Тут вообще не понял. Запретить коннект к аклу определяющему метод коннект?
Блочится должно безумие ака 78.230.132.45:443 но одобряться someaddr.ru Вот в чем затея. :)
На кой болт это надо? Скажу по секрету....vpn, анонимайзеры...... *MONAH*
Ну а общественно полезный скайп прописать в dstip :)


01010000011010000110000101101110011101000110111101101101


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Squid ограничение https
СообщениеДобавлено: 20 авг 2013, 15:29 
Аватар пользователя
Статус: Не в сети

GeoIP: Kyrgyzstan

Сообщений: 1887

Зарегистрирован: 03 мар 2010, 11:25
Благодарил (а): 4 раз.
Поблагодарили: 39 раз.
ОС: Slackware-current
Phantom
не проще ли выпустить внутренний документ и под роспись всем, типа ознакомлен, что за юзание всякого шлака ака впн\анонимы и т.п. кал (как и всякого рода социалки) за первый раз выговор, а за рецидив - увольнение по статье...

и себе головняк уберешь и заодно особо ретивых нахер выпрут - тебе же проще будет... а так - проще тады уже вайтлист сайтов сделать и только туды пускать юзверей ;)


Изображение

Изображение

Work: Slackware Linux 14.0 х 'all Servers'
Laptop: Slackware64-current / Xfce 4.10 / Linux 3.10.5


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Squid ограничение https
СообщениеДобавлено: 21 авг 2013, 00:46 
Эникейщик
Аватар пользователя
Статус: Не в сети

GeoIP: Russian Federation

Сообщений: 267
Откуда: Брянск
Зарегистрирован: 18 май 2012, 16:34
Благодарил (а): 0 раз.
Поблагодарили: 18 раз.
ОС: ARCH Linux
Ну вообще так и делается. только тут не прокатит. Особенности работы скажем так. Кстати заработало, после небольшого допила, но вот скайп завести не смог. Долбанный пиринг.... *WALL BREAK*


01010000011010000110000101101110011101000110111101101101


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 5 ] 
   Похожие темы   Автор   Ответов   Просмотров   Последнее сообщение 
Перенесенная ^_^

в форуме Linux

root

3

38

02 мар 2010, 16:15

Gen1us2k Перейти к последнему сообщению

Нет новых непрочитанных сообщений в этой теме [Книга:] Лукас Майкл "FreeBSD. Подробное руководство"

в форуме Документация *nix

Raven

2

3393

06 фев 2012, 11:56

Raven Перейти к последнему сообщению

Нет новых непрочитанных сообщений в этой теме Доступен клиент мгновенного обмена сообщениями Tkabber 1.0

в форуме Новости *nix

[Ботя]

0

493

25 янв 2014, 00:00

Гость Перейти к последнему сообщению



Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 3


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  

Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
Собрано Raven. Русская поддержка phpBB
phpBB SEO