Здравствуйте товарищи! Помогите решить проблему и направить на путь праведный!
Система - FreeBSD 11, squid - 3.5.25
Squid настроил в прозрачном режиме, вот конфиг:visible_hostname squid
dns_nameservers 10.86.31.254acl localnet src 192.168.100.0/24 # RFC1918 possible internal network
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECThttp_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager
http_access allow localnet CONNECTacl admins src 192.168.100.13 192.168.100.10
acl white_list url_regex -i "/usr/local/etc/squid/white_list"
acl administration src "/usr/local/etc/squid/lists/administration"
acl pupils_215 src "/usr/local/etc/squid/lists/pupils_215"
http_access allow admins
http_access allow administration
http_access allow white_list pupils_215http_access deny all
http_port 127.0.0.1:3128 intercept options=NO_SSLv3:NO_SSLv2
https_port 127.0.0.1:3129 intercept ssl-bump options=ALL:NO_SSLv3:NO_SSLv2 connection-auth=off cert=/usr/local/etc/squid/squidCA.pemalways_direct allow all
sslproxy_cert_error allow all
sslproxy_flags DONT_VERIFY_PEERacl white_list_ssl ssl::server_name_regex "/usr/local/etc/squid/white_list"
acl step1 at_step SslBump1
ssl_bump peek step1
ssl_bump terminate !white_list_ssl !admins
ssl_bump splice allsslcrtd_program /usr/local/libexec/squid/ssl_crtd -s /var/db/ssl_db -M 4MB
error_directory /usr/local/etc/squid/errors/ru
coredump_dir /var/squid/cache
cache deny allpid_filename /var/run/squid/squid.pid
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320Работает все хорошо, все как надо. Админов и администрацию пускает куда угодно. Учеников пускает только на сайты из белого списка, но есть одно большое НО! Некоторые сайты(в белом списке) отображаются не полностью. К примеру gosuslugi.ru. Для этого сайта нужно добавить в белый список сайт gu-st.ru, но это я узнал из интернета(считаем, что пока я его не добавил). При попытки открыть сайт госуслуг в access.log пишет такое:
1495003400.855 24433 192.168.100.44 TCP_TUNNEL/200 18256 CONNECT www.gosuslugi.ru:443 - ORIGINAL_DST/109.207.1.97 -
1495003400.866 5 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.97:443 - HIER_NONE/- -
1495003401.096 4 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- -
1495003401.096 5 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- -
1495003401.098 4 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- -
1495003401.100 4 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- -
1495003401.102 9 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- -
1495003401.113 11 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- -
1495003401.124 4 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- -
1495003401.126 5 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- -
1495003401.133 8 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- -
1495003401.137 8 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- -
1495003401.144 7 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- -
1495003401.147 6 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- -
1495003401.152 8 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- -
1495003401.171 6 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- -
1495003401.174 2 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- -
1495003401.183 4 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- -
1495003401.203 2 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- -
1495003401.211 2 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- -
1495003401.221 2 192.168.100.44 TAG_NONE/200 0 CONNECT 109.207.1.34:443 - HIER_NONE/- -
1495003401.241 2 192.168.100.44 TAG_NONE/200 0 CONNECT 5.143.224.43:443 - HIER_NONE/- -Начну с конца. ip 5.143.224.43 - мне не понятный и даже не пингуется! ip 109.207.1.34 - nslookup говорит что это mail.gas-u.ru, я его добавляю в белый список и ничего!! А при попытке пингануть gu-st.ru выдает туже айпишку, что и для mail.gas-u.ru. То есть как мне узнать что мне нужно конкретно добавить сайт gu-st.ru в белый список я не понял.
Из этого вытекает другой вопрос, мне нужно для каждого такого сайта добавлять нужные им доменные имена?
Тот же некорректно отображаемый habrahabr.ru в access.log выдает кучу ip адресов которые не понятны для nslookup.Сам вопрос! Как мне сделать так, чтобы сайты из белого списка подтягивали все что им нужно от куда угодно и все хорошо отображалось?
> Начну с конца. ip 5.143.224.43 - мне не понятный и даже неwhois 5.143.224.43
"ООО Спутник". А говорят, что дятлы стаями не летают. Зачем ICMP, не знают, потому и режут. Про обратные DNS зоны тоже не в курсе. Зато хватает подвязок на оттяпать себе 8 сетей класса C.
> пингуется! ip 109.207.1.34 - nslookup говорит что это mail.gas-u.ru, я его
> добавляю в белый список и ничего!! А при попытке пингануть gu-st.ruТы можешь иметь более, чем одну A запись с разными именами, но одним и тем же IP. А вот в обратной зоне не делают более одной записи PTR для каждого адреса. Домашнее задание - прочитай, почему.
> узнать что мне нужно конкретно добавить сайт gu-st.ru в белый список
> я не понял.Открываешь эту битую страницу в Firefox, запускаешь отладчик (Ctrl+Shift+J). Тыкаешь во все заголовки, кроме Net, (CSS, JS и проч.), чтобы они погасли. Заодно тыкаешь Clear, чтобы почистить окно.
Переключаешься в окно со страницой, обновляешь её. Переключаешься снова в отладчик, смотришь чего не хватает. Потом либо добавляешь это в whitelist, либо нет.
> Из этого вытекает другой вопрос, мне нужно для каждого такого сайта добавлять
> нужные им доменные имена?Либо поставить чужой whitelist.
> Тот же некорректно отображаемый habrahabr.ru в access.log выдает кучу ip адресов
> которые не понятны для nslookup.Они ему понятны. Это тебе не понятно, что он тебе ответил.
> Сам вопрос! Как мне сделать так, чтобы сайты из белого списка подтягивали
> все что им нужно от куда угодно и все хорошо отображалось?Хорошая идея.
Заходят дети на анально огороженый mail.gas-u.ru, оттуда подсасывают НЁХ со sputnik.ru (см.выше), а там ссылочка на баннерную сеть, откуда приезжает JavaScript. Открывает под сотню XMLHTTPrequest соединений на все помойки, между делом притаскивает Wanna Cry, который разбегается по SMB внутри локалки.
Потом тебя публично сношают в неприличные места и вычитают из зарплаты по $300 в биткойнах за каждую станцию в сети. В дар братскому Корейскому народу на продвижение идей чучхэ.
Возможно, что это наведёт тебя на мысль - "А может не нужно было откуда угодно?"
>[оверквотинг удален]
> Хорошая идея.
> Заходят дети на анально огороженый mail.gas-u.ru, оттуда подсасывают НЁХ со sputnik.ru
> (см.выше), а там ссылочка на баннерную сеть, откуда приезжает JavaScript. Открывает
> под сотню XMLHTTPrequest соединений на все помойки, между делом притаскивает Wanna
> Cry, который разбегается по SMB внутри локалки.
> Потом тебя публично сношают в неприличные места и вычитают из зарплаты по
> $300 в биткойнах за каждую станцию в сети. В дар братскому
> Корейскому народу на продвижение идей чучхэ.
> Возможно, что это наведёт тебя на мысль - "А может не нужно
> было откуда угодно?"Ну от куда угодно я погорячился! А так очень разборчивый и ясный ответ! Большое спасибо!