Я пытаюсь заблокировать некоторые сайты на моем ubuntu 12.04 с Squid 3.1.19. Ниже приведен список моих ACL's.`
acl ym dstdomain .yahoo.com microsoft.com facebook.com youtube.com
http_access deny ym
с вышеупомянутым скриптом, не работает. Запомнить! squid3.conf открывается в редакторе gedit. Пожалуйста, объясните, где я ошибаюсь?
Если мы прочитаем оговорку, указанную в документации Squid:
Ни при каких обстоятельствах обработка ssl_bump не приведет к работе dstdomain ACL. Этот ACL использует детали сообщений HTTP, которые еще не дешифрованы. Вместо этого указывается тип acl ssl :: server_name acl, который использует имя объекта CONNECT, SNI или сервер. Имя объекта (в зависимости от того, что доступно).dstdomain просто проверяет отправитель Host: -header, отправленный клиентом. Это недоступно для сеанса SSL / TLS.
Мы также видим следующее в предостережении , которое приведено в документации Squid под New в Squid 3.5:
Ни при каких условиях обработка ssl_bump не будет работать с dstdomain ACL. Этот ACL использует детали сообщений HTTP, которые еще не дешифрованы. Вместо этого указывается тип ssl :: server_name acl, который использует имя темы CONNECT, SNI или сервера. (!)
Новые типы ssl :: имя_сервера и ssl :: server_name_regex для имя сервера сопоставления из разных источников (имя органа управления CONNECT, домен SNI TLS или имя объекта X.509 Subject Name).
Так что squid> 3.5 поддерживает проверку SNI и может блокироваться на основе сертификатов HTTPS и SNI. Squid 3.1 не может.
Полная документация ACL можно найти по адресу http://www.squid-cache.org/Doc/config/acl/
Если мы прочитаем оговорку, указанную в документации Squid:
Ни при каких обстоятельствах обработка ssl_bump не приведет к работе dstdomain ACL. Этот ACL использует детали сообщений HTTP, которые еще не дешифрованы. Вместо этого указывается тип acl ssl :: server_name acl, который использует имя объекта CONNECT, SNI или сервер. Имя объекта (в зависимости от того, что доступно).dstdomain просто проверяет отправитель Host: -header, отправленный клиентом. Это недоступно для сеанса SSL / TLS.
Мы также видим следующее в предостережении , которое приведено в документации Squid под New в Squid 3.5:
Ни при каких условиях обработка ssl_bump не будет работать с dstdomain ACL. Этот ACL использует детали сообщений HTTP, которые еще не дешифрованы. Вместо этого указывается тип ssl :: server_name acl, который использует имя темы CONNECT, SNI или сервера. (!)
Новые типы ssl :: имя_сервера и ssl :: server_name_regex для имя сервера сопоставления из разных источников (имя органа управления CONNECT, домен SNI TLS или имя объекта X.509 Subject Name).
Так что squid> 3.5 поддерживает проверку SNI и может блокироваться на основе сертификатов HTTPS и SNI. Squid 3.1 не может.
Полная документация ACL можно найти по адресу http://www.squid-cache.org/Doc/config/acl/