Пытаюсь заставить squidguard блокировать https-сайты.
Настроить. (Это базовая конфигурация http://thejimmahknows.com/proxy-wccp-cisco-asa-squid-3-4/)
Сервер под управлением centos 7. Установлен squid + squidguard.
Сквид работает как прозрачный. Общаемся с нашим ASA через wccpv2.
Что работает: Блокировка http сайтов по имени. IE disney.com HTTPS-проксирование вроде работает. Получение записей журнала доступа
1447775591.689 408846 192.168.203.110 TCP_MISS/200 63828 CONNECT 104.16.92.254:443 - HIER_DIRECT/104.16.92.254 -
Что не работает.
Фильтрация https сайтов.
Ошибок нет, просто ничего не происходит. Я легко могу попасть на сайт. Я не уверен, что это проблема с моим кальмаром или кальмаром.
Журнал показывает, что ваше HTTPS-соединение передается в SquidGuard как IP-адрес, а не имя домена; это ожидаемое поведение, поскольку браузер всегда подключается по IP в прозрачных развертываниях. Пожалуйста, используйте последнюю версию Squid, которая может передавать информацию SNI внешним фильтрам, и узнайте, как настроить Squid Guard для использования этой информации.
Если вам нужно изучить SSL-контент - настройте SSL bump, например, в http://docs.diladele.com/administrator_guide_4_3/https_filtering/index.html; затем позвольте веб-фильтру ICAP (qlproxy) блокировать следующий запрос из браузера (имя домена будет взято из заголовка запроса Host).
Ответ: не используйте squidguard. Он старый и неподдерживаемый.
Поговорив с некоторыми людьми из списка рассылки Squid, посмотрите и склейте их.
Также при использовании squid, встроенного в acl, будет работать find и нет необходимости в sg.
Только будьте осторожны, вы должны использовать самую новую версию squid. Обновленные пакеты для squid и centos можно найти здесь.
Извините, но ваш вопрос не так понятен для меня, но если я правильно понимаю, вы используете squid в прозрачном режиме, тогда вы никогда не сможете фильтровать и перехватывать https! Возьми сделку! Я надеюсь, что это помогает