squid + мобильное приложение youtube

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
colombo
проходил мимо
Сообщения: 9
Зарегистрирован: 2019-01-02 15:57:54

squid + мобильное приложение youtube

Непрочитанное сообщение colombo » 2019-02-28 17:20:50

Здравствуйте
Появилась у меня задача ограничить доступ к youtube.
Поставил squid, настроил прозрачный прокси и все заработало, кроме мобильного приложения. Оно как будто не замечает блокировку
Моблиные устройства пулучают по DHCP теже настройки, что и все остальные.
Из странностей заметил, что если смотреть youtube из приложения trafshow показывает, что-то качаю (смотрю видео) с ip который пренадлежит моему провайдеру.

Как заблокировать youtube на мобильном приложении?

конфиг squid

Код: Выделить всё

acl localnet src 10.100.0.1/24  # RFC1918 possible internal network

acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT

acl BLOCKED_SITES dstdomain "/usr/local/etc/squid/blocked.txt"
acl BLOCKED_TIME time 21:30-23:59

http_access deny localnet BLOCKED_TIME BLOCKED_SITES
http_access deny !Safe_ports

http_access deny CONNECT !SSL_ports

http_access allow localhost manager
http_access deny manager

http_access allow localnet
http_access allow localhost
http_access deny all

http_port 10.100.0.1:3128 intercept options=NO_SSLv3:NO_SSLv2 cert=/usr/local/etc/squid/squidCA.pem

http_port 10.100.0.1:3130 options=NO_SSLv3:NO_SSLv2 cert=/usr/local/etc/squid/squidCA.pem

https_port 10.100.0.1:3129 intercept ssl-bump options=ALL:NO_SSLv3:NO_SSLv2 connection-auth=off cert=/usr/local/etc/squid/squidCA.pem

always_direct allow all
sslproxy_cert_error allow all

acl step1 at_step SslBump1
ssl_bump peek step1


#ssl_bump terminate blocked
ssl_bump splice all


refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern .               0       20%     4320
maximum_object_size 61440 KB
minimum_object_size 3 KB

cache_swap_low 90
cache_swap_high 95
maximum_object_size_in_memory 512 KB
memory_replacement_policy lru
logfile_rotate 4
Правила pf

Код: Выделить всё

prov_if="re0" #провайдер
int_if="em0" #моя сеть
inet_if="ng0"  #интернет
internal_net="{10.100.0.0/24}" #
internal_net1="{10.100.1.0/24}" #

rdr on $int_if proto { tcp, udp } from $internal_net to any port www -> 10.100.0.1 port 3128
rdr on $int_if proto { tcp, udp } from $internal_net to any port 443 -> 10.100.0.1 port 3129

nat on $inet_if from $internal_net to any -> $inet_if
nat on $inet_if from $internal_net1 to any -> $inet_if

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
novik
мл. сержант
Сообщения: 146
Зарегистрирован: 2018-07-26 23:52:57

squid + мобильное приложение youtube

Непрочитанное сообщение novik » 2019-03-04 22:54:55

colombo писал(а):
2019-02-28 17:20:50
Как заблокировать youtube на мобильном приложении?
Посмотреть куда там это приложение подключается можно в /var/log/squid/access.log И добавить этот хост в ваш
colombo писал(а):
2019-02-28 17:20:50
/usr/local/etc/squid/blocked.txt
«О сколько нам открытий чудных готовит просвещения дух...»™

colombo
проходил мимо
Сообщения: 9
Зарегистрирован: 2019-01-02 15:57:54

squid + мобильное приложение youtube

Непрочитанное сообщение colombo » 2019-03-25 14:14:58

Спасибо
Видимо стоило получить пинка, чтоб догадаться отфильтровать access.log по двум параметра ip и имени хоста

Код: Выделить всё

cat /var/log/squid/access.log | greep 10.100.0.40 | greep google

После такого фильтра быстро нашелся хост ".googlevideo.com"