Страница 1 из 1
Squid ограничение https
Добавлено: 19 авг 2013, 12:02
Phantom
Сегодня с утра решил, что коннект по IP через кальмара есть зло. Закрыть 80 порт с протоколом http не проблема, но как быть с 443 и https.... Вот тут незадача, поскольку стандартные методы применения http_access не работают. Ну по крайней мере у меня нет. Вот я и придумал следующего монстра который блочит по IP по всему диапазону портов.
Код: Выделить всё
acl whiteip method CONNECT # Объявляем акл с коннект методом
acl sourcip src "/....../userip" # Тут IP адреса зверей сети которым можно коннектится по IP (этот акл я вынужден использовать, поскольку зона DHCP выходит за пределы squid, а это дыра)
acl blockrule url_regex -i ".[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\:[0-9]{1,5}." # Объявляем дефолтное правило блокировки
acl dstip dst "/....../allowip" # Не все коннекты по IP следует запрещать....к примеру тот же скайп загнется, а ИМ надо(тут разрешенные IP к которым коннект нада)))
http_access allow sourcip whiteip dstip # Разрешаем доступ правильным пользователям используя метод CONNECT к разрешенным IP
http_access deny whiteip blockrule # Запрещаем всем кто сюда прилетел доступ по IP используя метод коннект
Вот теперь вопрос. Правильна ли последовательность в http_access перечисление acl и будет ли это работать как задумано....и можно ли как то минимизировать ЭТО?
Re: Squid ограничение https
Добавлено: 19 авг 2013, 23:14
Raven
Код: Выделить всё
acl CONNECT method CONNECT
acl whiteusers src "/....../userip"
acl whiteip dst "/....../allowip"
http_access allow whiteusers CONNECT whiteip
http_access deny all
не кавай, не?
либо что-то вроде
Код: Выделить всё
http_access deny whiteusers CONNECT !whiteip
Re: Squid ограничение https
Добавлено: 20 авг 2013, 00:43
Phantom
Не. Так не проканает. Коннект по именам должен беспрепятственно пролетать через это правило ограничиваясь лишь списком пользователей которым вообще можно через кальмара топать.
http_access deny all на корню прибивает весь траф, а это низя.
http_access deny whiteusers CONNECT !whiteip
Тут вообще не понял. Запретить коннект к аклу определяющему метод коннект?
Блочится должно безумие ака 78.230.132.45:443 но одобряться someaddr.ru Вот в чем затея.
На кой болт это надо? Скажу по секрету....vpn, анонимайзеры......
Ну а общественно полезный скайп прописать в dstip
Re: Squid ограничение https
Добавлено: 20 авг 2013, 15:29
Infernal Flame
Phantom
не проще ли выпустить внутренний документ и под роспись всем, типа ознакомлен, что за юзание всякого шлака ака впн\анонимы и т.п. кал (как и всякого рода социалки) за первый раз выговор, а за рецидив - увольнение по статье...
и себе головняк уберешь и заодно особо ретивых нахер выпрут - тебе же проще будет... а так - проще тады уже вайтлист сайтов сделать и только туды пускать юзверей
Re: Squid ограничение https
Добавлено: 21 авг 2013, 00:46
Phantom
Ну вообще так и делается. только тут не прокатит. Особенности работы скажем так. Кстати заработало, после небольшого допила, но вот скайп завести не смог. Долбанный пиринг....