Проблема блокировки сайта в squid3 на ubuntu 12.04 [закрыто]

Question 1

Я пытаюсь заблокировать некоторые сайты на моем ubuntu 12.04 с Squid 3.1.19. Ниже приведен список моих ACL's.`

Отказ от доменов, основанных на списке запрета доступа

acl ym dstdomain .yahoo.com  microsoft.com facebook.com youtube.com
http_access deny ym

с вышеупомянутым скриптом, не работает. Запомнить! squid3.conf открывается в редакторе gedit. Пожалуйста, объясните, где я ошибаюсь?

Question 2

Если мы прочитаем оговорку, указанную в документации Squid:

Ни при каких обстоятельствах обработка ssl_bump не приведет к работе dstdomain ACL. Этот ACL использует детали сообщений HTTP, которые еще не дешифрованы. Вместо этого указывается тип acl ssl :: server_name acl, который использует имя объекта CONNECT, SNI или сервер. Имя объекта (в зависимости от того, что доступно).

dstdomain просто проверяет отправитель Host: -header, отправленный клиентом. Это недоступно для сеанса SSL / TLS.

Мы также видим следующее в предостережении , которое приведено в документации Squid под New в Squid 3.5:

Ни при каких условиях обработка ssl_bump не будет работать с dstdomain ACL. Этот ACL использует детали сообщений HTTP, которые еще не дешифрованы. Вместо этого указывается тип ssl :: server_name acl, который использует имя темы CONNECT, SNI или сервера. (!)

Новые типы ssl :: имя_сервера и ssl :: server_name_regex для имя сервера сопоставления из разных источников (имя органа управления CONNECT, домен SNI TLS или имя объекта X.509 Subject Name).

Так что squid> 3.5 поддерживает проверку SNI и может блокироваться на основе сертификатов HTTPS и SNI. Squid 3.1 не может.

Полная документация ACL можно найти по адресу http://www.squid-cache.org/Doc/config/acl/

Question 3

Question 4

Если мы прочитаем оговорку, указанную в документации Squid:

Ни при каких обстоятельствах обработка ssl_bump не приведет к работе dstdomain ACL. Этот ACL использует детали сообщений HTTP, которые еще не дешифрованы. Вместо этого указывается тип acl ssl :: server_name acl, который использует имя объекта CONNECT, SNI или сервер. Имя объекта (в зависимости от того, что доступно).

dstdomain просто проверяет отправитель Host: -header, отправленный клиентом. Это недоступно для сеанса SSL / TLS.

Мы также видим следующее в предостережении , которое приведено в документации Squid под New в Squid 3.5:

Ни при каких условиях обработка ssl_bump не будет работать с dstdomain ACL. Этот ACL использует детали сообщений HTTP, которые еще не дешифрованы. Вместо этого указывается тип ssl :: server_name acl, который использует имя темы CONNECT, SNI или сервера. (!)

Новые типы ssl :: имя_сервера и ssl :: server_name_regex для имя сервера сопоставления из разных источников (имя органа управления CONNECT, домен SNI TLS или имя объекта X.509 Subject Name).

Так что squid> 3.5 поддерживает проверку SNI и может блокироваться на основе сертификатов HTTPS и SNI. Squid 3.1 не может.

Полная документация ACL можно найти по адресу http://www.squid-cache.org/Doc/config/acl/

vidarlo · Answer 1 · 18 July 2018 в 00:05

Если мы прочитаем оговорку, указанную в документации Squid:

Ни при каких обстоятельствах обработка ssl_bump не приведет к работе dstdomain ACL. Этот ACL использует детали сообщений HTTP, которые еще не дешифрованы. Вместо этого указывается тип acl ssl :: server_name acl, который использует имя объекта CONNECT, SNI или сервер. Имя объекта (в зависимости от того, что доступно).

dstdomain просто проверяет отправитель Host: -header, отправленный клиентом. Это недоступно для сеанса SSL / TLS.

Мы также видим следующее в предостережении , которое приведено в документации Squid под New в Squid 3.5:

Ни при каких условиях обработка ssl_bump не будет работать с dstdomain ACL. Этот ACL использует детали сообщений HTTP, которые еще не дешифрованы. Вместо этого указывается тип ssl :: server_name acl, который использует имя темы CONNECT, SNI или сервера. (!)

Новые типы ssl :: имя_сервера и ssl :: server_name_regex для имя сервера сопоставления из разных источников (имя органа управления CONNECT, домен SNI TLS или имя объекта X.509 Subject Name).

Так что squid> 3.5 поддерживает проверку SNI и может блокироваться на основе сертификатов HTTPS и SNI. Squid 3.1 не может.

Полная документация ACL можно найти по адресу http://www.squid-cache.org/Doc/config/acl/

vidarlo · Answer 2 · 24 July 2018 в 17:09

Если мы прочитаем оговорку, указанную в документации Squid:

Ни при каких обстоятельствах обработка ssl_bump не приведет к работе dstdomain ACL. Этот ACL использует детали сообщений HTTP, которые еще не дешифрованы. Вместо этого указывается тип acl ssl :: server_name acl, который использует имя объекта CONNECT, SNI или сервер. Имя объекта (в зависимости от того, что доступно).

dstdomain просто проверяет отправитель Host: -header, отправленный клиентом. Это недоступно для сеанса SSL / TLS.

Мы также видим следующее в предостережении , которое приведено в документации Squid под New в Squid 3.5:

Ни при каких условиях обработка ssl_bump не будет работать с dstdomain ACL. Этот ACL использует детали сообщений HTTP, которые еще не дешифрованы. Вместо этого указывается тип ssl :: server_name acl, который использует имя темы CONNECT, SNI или сервера. (!)

Новые типы ssl :: имя_сервера и ssl :: server_name_regex для имя сервера сопоставления из разных источников (имя органа управления CONNECT, домен SNI TLS или имя объекта X.509 Subject Name).

Так что squid> 3.5 поддерживает проверку SNI и может блокироваться на основе сертификатов HTTPS и SNI. Squid 3.1 не может.

Полная документация ACL можно найти по адресу http://www.squid-cache.org/Doc/config/acl/

Проблема блокировки сайта в squid3 на ubuntu 12.04 [закрыто]

Отказ от доменов, основанных на списке запрета доступа

2 ответа

Другие вопросы по тегам:

Похожие вопросы: