Squid 4.8 выборочно блочит https

понедельник, 30 сентября 2019

20:32

Stalkert

И это всё МОЁ

Потребовалось уйти от прокси с подменой сертификатов на прозрачный прокси без подмены.
Было сделано:
CentOS 7+squid4.8+dhcp+dns(named)
Цель: работа по белому списку. Пока не отлажу - деление на группы не ввожу, да и тестировать удобней...
Результат: некоторые сайты работают нормально - e1.ru, yandex.ru
некоторые сайты сквид запрещает, не смотря на то, что они в белом списке
yaklass.ru
dnevnik.ru

Опытным путём выяснилось, что yaklass.ru запрещён из-за компонентов с других сайтов - https://ykl-upl.azureedge.net/upload/CustomLandingPageFiles/id-32610/ver-8/im... и прочих

В чем я дурак?

Белый список:

.e1.ru

.yandex.ru

.azureedge.net

.cdnjs.cloudflare.com

.www.yaklass.ru

.cdn.mathjax.org

.stats.g.doubleclick.net

.adriver.ru

.googleadservices.com

.amazonaws.com

.visualstudio.com

.googleapis.com

.bootstrapcdn.com

.googletagmanager.com

.dnevnik.ru

Конфиг squid:

acl localnet src 192.168.16.0/24 # локалка vm

acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 443 # https
acl CONNECT method CONNECT

#Белый список сайтов, по которому будет работать фильтр
acl _white dstdomain «/etc/squid/acl/white.acl»

#DNS для Squid. на клиентах прилетает по DHCP 192.168.16.1 (ip CentOS)
dns_nameservers 127.0.0.1

#Порты http
http_port 192.168.16.1:3128
http_port 192.168.16.1:3129 intercept
https_port 192.168.16.1:3130 intercept ssl-bump options=ALL:NO_SSLv3 connection-auth=off cert=/etc/squid/squidCA.pem

#принимаем даже ошибочные ssl сертификаты
sslproxy_cert_error allow all

#peek and splice
acl step1 at_step SslBump1
ssl_bump peek step1
ssl_bump splice all

sslcrtd_program /usr/local/squid/libexec/security_file_certgen -s /usr/local/squid/var/cache/squid/ssl_db -M 4MB
#ВРУЧНУЮ ВЫПОЛНИТЬ ПРОГРАММУ /usr/local/squid/libexec/security_file_certgen -c -s /usr/local/squid/var/cache/squid/ssl_db -M 4MB

#НЕ ЗАБЫТЬ НАСТРОИТЬ ПРАВА НА ПАПКУ СКВИДА, ГДЕ КЕШ на [23] squid /usr/local/squid/var/cache/squid

http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow _white
#http_access allow all
http_access deny all

#время завершения работы сквида
shutdown_lifetime 5 seconds

coredump_dir /usr/local/squid/var/cache/squid
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320
#logfile_rotate 4
pid_filename /var/run/squid.pid

centos 7, squid, whitelist