SQUID 443 банк-клиент Русского Стандарта

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
KaMa-CyTpA
мл. сержант
Сообщения: 127
Зарегистрирован: 2006-11-10 12:48:45
Откуда: Мурманск
Контактная информация:

SQUID 443 банк-клиент Русского Стандарта

Непрочитанное сообщение KaMa-CyTpA » 2008-09-20 11:48:25

Код: Выделить всё

acl comp_bank src 192.168.0.45 #Комп работника банка
acl site_bank url_regex -i rs.ru #Сайт куда надо щемиться

http_access allow comp_bank site_bank
http_access deny CONNECT !SSL_ports
http_access deny !Safe_ports
http_access deny all

redirector_access deny localhost
redirector_access allow SSL_ports
При таком раскладе пишется "Доступ Запрещен"
Логи говорят

Код: Выделить всё

1221899432.989      2 bank-rus.local.local TCP_DENIED/403 1289 CONNECT 194.67.29.137:443 as NONE/- text/html [User-Agent: fxApacheSSL/2.0.6.293\r\nProxy-Authorization: Basic YXM6QWJjMTAw\r\n] [HTTP/1.0 403 Forbidden\r\nServer: squid/2.6.STABLE21\r\nDate: Sat, 20 Sep 2008 08:30:32 GMT\r\nContent-Type: text/html\r\nContent-Length: 983\r\nExpires: Sat, 20 Sep 2008 08:30:32 GMT\r\nX-Squid-Error: ERR_ACCESS_DENIED 0\r\n\r]
1221899433.004     14 bank-rus.local.local TCP_DENIED/403 1287 CONNECT 194.84.87.12:443 as NONE/- text/html [User-Agent: fxApacheSSL/2.0.6.293\r\nProxy-Authorization: Basic YXM6QWJjMTAw\r\n] [HTTP/1.0 403 Forbidden\r\nServer: squid/2.6.STABLE21\r\nDate: Sat, 20 Sep 2008 08:30:32 GMT\r\nContent-Type: text/html\r\nContent-Length: 981\r\nExpires: Sat, 20 Sep 2008 08:30:32 GMT\r\nX-Squid-Error: ERR_ACCESS_DENIED 0\r\n\r]
1221899433.020     13 bank-rus.local.local TCP_DENIED/403 1287 CONNECT 194.84.87.12:443 as NONE/- text/html [User-Agent: fxApacheSSL/2.0.6.293\r\nProxy-Authorization: Basic YXM6QWJjMTAw\r\n] [HTTP/1.0 403 Forbidden\r\nServer: squid/2.6.STABLE21\r\nDate: Sat, 20 Sep 2008 08:30:33 GMT\r\nContent-Type: text/html\r\nContent-Length: 981\r\nExpires: Sat, 20 Sep 2008 08:30:33 GMT\r\nX-Squid-Error: ERR_ACCESS_DENIED 0\r\n\r]
1221899433.036     14 bank-rus.local.local TCP_DENIED/403 1289 CONNECT 194.67.29.120:443 as NONE/- text/html [User-Agent: fxApacheSSL/2.0.6.293\r\nProxy-Authorization: Basic YXM6QWJjMTAw\r\n] [HTTP/1.0 403 Forbidden\r\nServer: squid/2.6.STABLE21\r\nDate: Sat, 20 Sep 2008 08:30:33 GMT\r\nContent-Type: text/html\r\nContent-Length: 983\r\nExpires: Sat, 20 Sep 2008 08:30:33 GMT\r\nX-Squid-Error: ERR_ACCESS_DENIED 0\r\n\r]
1221899433.051     13 bank-rus.local.local TCP_DENIED/403 1289 CONNECT 194.67.29.137:443 as NONE/- text/html [User-Agent: fxApacheSSL/2.0.6.293\r\nProxy-Authorization: Basic YXM6QWJjMTAw\r\n] [HTTP/1.0 403 Forbidden\r\nServer: squid/2.6.STABLE21\r\nDate: Sat, 20 Sep 2008 08:30:33 GMT\r\nContent-Type: text/html\r\nContent-Length: 983\r\nExpires: Sat, 20 Sep 2008 08:30:33 GMT\r\nX-Squid-Error: ERR_ACCESS_DENIED 0\r\n\r]
Как только я меняю строку

Код: Выделить всё

http_access allow comp_bank site_bank
на

Код: Выделить всё

http_access allow comp_bank
Логи начинают радоваться

Код: Выделить всё

1221899481.402   3184 bank-rus.local.local TCP_MISS/200 8193 CONNECT 194.67.29.120:443 as DIRECT/194.67.29.120 - [User-Agent: fxApacheSSL/2.0.6.293\r\nProxy-Authorization: Basic YXM6QWJjMTAw\r\n] []
1221899482.437    655 bank-rus.local.local TCP_MISS/200 8193 CONNECT 194.67.29.120:443 as DIRECT/194.67.29.120 - [User-Agent: fxApacheSSL/2.0.6.293\r\nProxy-Authorization: Basic YXM6QWJjMTAw\r\n] []
1221899483.198    429 bank-rus.local.local TCP_MISS/200 5201 CONNECT 194.67.29.120:443 as DIRECT/194.67.29.120 - [User-Agent: fxApacheSSL/2.0.6.293\r\nProxy-Authorization: Basic YXM6QWJjMTAw\r\n] []
1221899483.664    428 bank-rus.local.local TCP_MISS/200 5257 CONNECT 194.67.29.120:443 as DIRECT/194.67.29.120 - [User-Agent: fxApacheSSL/2.0.6.293\r\nProxy-Authorization: Basic YXM6QWJjMTAw\r\n] []
Но мне надо чтобы комп ходил _ТОЛЬКО_ на rs.ru
а, да.
IPFW

Код: Выделить всё

01900 fwd 127.0.0.1,8080 tcp from 192.168.0.0/24 to any dst-port 80 via net0
02000 fwd 127.0.0.1,8080 tcp from 192.168.0.0/24 to any dst-port 443 via net0

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
MASiK
лейтенант
Сообщения: 625
Зарегистрирован: 2008-09-19 20:09:41
Откуда: Оттуда
Контактная информация:

Re: SQUID 443 банк-клиент Русского Стандарта

Непрочитанное сообщение MASiK » 2008-09-20 16:21:49

А если попробывать сайт вынести отдельным фалом разрешонных сайтов?

Аля:

Код: Выделить всё

acl squid_opensite url_regex -i "/usr/local/etc/squid/opensite.txt"
acl squid_openfile url_regex -i "/usr/local/etc/squid/openfile.txt"

http_access allow squid_blocksite
http_access allow squid_blockfile
Ну естевтенно добавить в опенсайты rs.ru а в опенфайлы например *.cgi я ХЗ на чём там Банк РС.
Самурай

KaMa-CyTpA
мл. сержант
Сообщения: 127
Зарегистрирован: 2006-11-10 12:48:45
Откуда: Мурманск
Контактная информация:

Re: SQUID 443 банк-клиент Русского Стандарта

Непрочитанное сообщение KaMa-CyTpA » 2008-09-20 16:47:10

Вынес по Вашему совету - теперь два файла
со списком айпи локальных компов для кредитов
и со списком внешних адресов.
но мне необходимо чтобы эти компьютеры больше _НИКУДА_ не ходили
только на эти сайты.....


Добавка:
В этом списке у меня еще компы хоумкредита (не SSL) - очень даже шикарно работают...
то есть это правило может обслаживать только http запросы?
По совету знакомого сменил

Код: Выделить всё

acl site_bank url_regex -i rs.ru
на

Код: Выделить всё

acl site_bank  dstdomain rs.ru
Не пускает никуда кроме http://rs.ru
SSL просто игнорирует

neyro
сержант
Сообщения: 187
Зарегистрирован: 2008-03-07 20:24:25
Контактная информация:

Re: SQUID 443 банк-клиент Русского Стандарта

Непрочитанное сообщение neyro » 2008-09-20 21:17:34

Я конечно могу ошибаться, но насколько мне известно https (ssl..?) не работает через сквид (читаем маны), и вобще пускать https через прокси это просто глупо(и в 2х раз глупо делать это для банковской информации (опятьже - маны рулят)).
Но если несмотря на это хочеш сделать через проксю - поищи инфу о sslbump в гугле(модуль сквида который позволяет ссл работать хотя у юзеров будут валиться варнинги о возможном перехвате). Правильно и проще сделать ссл через нат(т.е. убрать редирект 443 порта на проксю).
ИМХО.

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Re: SQUID 443 банк-клиент Русского Стандарта

Непрочитанное сообщение dikens3 » 2008-09-20 21:35:59

но мне необходимо чтобы эти компьютеры больше _НИКУДА_ не ходили
http_access deny comp_bank !site_bank
Я конечно могу ошибаться, но насколько мне известно https (ssl..?) не работает через сквид
вот и я думаю сижу. В прозрачном режиме https работать не должно вовсе.(может я старый уже стал конечно)
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

KaMa-CyTpA
мл. сержант
Сообщения: 127
Зарегистрирован: 2006-11-10 12:48:45
Откуда: Мурманск
Контактная информация:

Re: SQUID 443 банк-клиент Русского Стандарта

Непрочитанное сообщение KaMa-CyTpA » 2008-09-22 9:24:21

В прозрачном режиме
Не. Он не Transparent.
Дело в том что мне надо учитывать трафик.
По сайтам.
Сквид это делает хорошо.
Но если никак - то сделаю через НАТ.
Спасибо!

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Re: SQUID 443 банк-клиент Русского Стандарта

Непрочитанное сообщение dikens3 » 2008-09-22 10:34:17

KaMa-CyTpA писал(а):
В прозрачном режиме
Не. Он не Transparent.

Код: Выделить всё

02000 fwd 127.0.0.1,8080 tcp from 192.168.0.0/24 to any dst-port 443 via net0
Это тогда зачем?
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

KaMa-CyTpA
мл. сержант
Сообщения: 127
Зарегистрирован: 2006-11-10 12:48:45
Откуда: Мурманск
Контактная информация:

Re: SQUID 443 банк-клиент Русского Стандарта

Непрочитанное сообщение KaMa-CyTpA » 2008-09-22 10:43:15

Ну чтобы принудительно заворачивать клиентов...
У меня перед этим еще правило чтобы 80-й порт заворачивать.

Сорри я по статье с сайта делал - может что-то не так понял.
Там не было про 443 порт - я уже сам добавил.

Аватара пользователя
Grishun_U_S
сержант
Сообщения: 221
Зарегистрирован: 2008-04-12 18:26:54
Откуда: Samara
Контактная информация:

Re: SQUID 443 банк-клиент Русского Стандарта

Непрочитанное сообщение Grishun_U_S » 2008-09-23 9:34:58

Смотри как у меня сделано :
юзеры user1, user2, user3, user4
могут ходить только на опр. список сайтов. Остальные везде.
Файлы во вложении. Конфиг справедлив для сквида 2.7
Вложения
squid-2_7.zip
(50.4 КБ) 67 скачиваний
Изображение

KaMa-CyTpA
мл. сержант
Сообщения: 127
Зарегистрирован: 2006-11-10 12:48:45
Откуда: Мурманск
Контактная информация:

SQUID 443 банк-клиент Русского Стандарта

Непрочитанное сообщение KaMa-CyTpA » 2008-09-25 12:17:36

Не знаю как у меня блин он работает, но...
Повторюсь:
при раскладе

Код: Выделить всё

http_access allow comp_bank
клиент-банк _РАБОТАЕТ_
а при раскладе

Код: Выделить всё

http_access allow comp_bank site_bank
клиент банк _НЕ_РАБОТАЕТ_
в первом случае я что - перевожу клиента на НАТ штоле?
или во втором я НАТ отключаю???