Имеется мобильный оператор, крайне не любящий высокий PPS, packet-per-second.
При этом порядка 90% траффика, который на данный момент роутится через openvpn/udp состоит из пакетов 64-128 байт.

Есть ли какие-либо варианты аггрегации мелких пакетов по достижению заданного размера или по таймауту?

По мотивам темы 10-летней давности https://www.linux.org.ru/forum/admin/10120422

Спустя 10 лет, что-то появилось, или отправят писать свой протокол?

запустил tor демон на lo:9050 (протокол socks5) и он работает, скачивает все сайты.
curl -vL --socks5 127.0.0.1:9050 bbc.com # успешно скачивает запрещенный BBC  

Портов, кроме 443, открытых из интернета, на этом сервере не имею из-за настроек сети. 443 нужен для https.
Настроил мультиплексирование протоколов через sslh - он слушает 443 и если ему попадается обращение клиента socks5, перенаправляет его на lo:9050

на сервере tor это работает, например
curl -vL --socks5 %tor-server-ip%:443 bbc.com # успешно скачивает запрещенный bbc через SSLH и TOR

Теперь с моего домашнего компа:
curl -vL --socks5 %tor-server-ip%:443 ya.ru # успешно скачивает страницы яндекса по https.

однако, bbc.com и прочую запрещенку не качает, останавливается на SSL рукопожатии и висит:

# curl -vL --socks5 %tor-server-ip%:443 https://bbc.com/
*   Trying %tor-server-ip%:443...
* Connected to %tor-server-ip% (%tor-server-ip%) port 443
* SOCKS5 connect to 151.101.192.81:443 (locally resolved)
* SOCKS5 request granted.
* Connected %tor-server-ip% (%tor-server-ip%) port 443
* ALPN: curl offers h2,http/1.1
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
*  CAfile: /etc/ssl/certs/ca-certificates.crt
*  CApath: /etc/ssl/certs

использование ALL_PROXY='socks5h://%tor-server-ip%:443' для того чтобы curl ресолвил сайты через socks5 не помогает, с ресолвингом всё в порядке.
Каким образом SSLH может ломаться на запрещенных сайтах на этапе https?

Доброго здоровья! Установил opnsense. Настроил WEB-фильтрацию. Настраиваю авторизацию пользователей MS AD для использования этой web-фильрации и своих списков запрещенных сайтов.
Настроил подключение к AD. Импортировал пользователей в отдельную группу. Проблема в том, что при заходе в интернет требуется вручную ввести данные доменного пользователя. Возможно ли настроить, чтобы пользователь автоматически авторизовался? Без ввода имени и пароля вручную? Заранее благодарен за помощь!

Всем привет! На Ubuntu 22.04 настроил согласно вики https://www.privoxy.org/user-manual/config.html#HTTPS-INSPEC...

Вот конфиги:

### config

user-manual /usr/share/doc/privoxy/user-manual
accept-intercepted-requests 1
actionsfile /etc/privoxy/user.action
allow-cgi-request-crunching 0
buffer-limit 4096
confdir /etc/privoxy
enable-edit-actions 1
enable-proxy-authentication-forwarding 0
enable-remote-http-toggle  0
enable-remote-toggle  1
enforce-blocks 0
filterfile /etc/privoxy/default.filter
forwarded-connect-retries  0
keep-alive-timeout 5
listen-address 127.0.0.1:8118
logdir /var/log/privoxy
logfile privoxy.log
#debug 1
socket-timeout 300
split-large-forms 0
toggle  1
tolerate-pipelining 1

ca-directory /etc/privoxy/CA
certificate-directory /etc/privoxy/certs
ca-cert-file cacert.crt
ca-key-file cakey.pem
trusted-cas-file cacert.pem
ca-password qwerty
cipher-list ALL:!EXPORT:!EXPORT40:!EXPORT56:!aNULL:!LOW:!RC4:@STRENGTH

### user.action

{ \
+https-inspection \
+hide-user-agent{Mozilla/5.0 (X11; Linux x86_64; rv:109.0) Gecko/20100101 Firefox/109.0} \
}
.2ip.ru/

Сгенерил серт:
openssl req -new -x509 -extensions v3_ca -keyout cakey.pem -out cacert.crt -days 365

Скачал CA-файл:
curl --remote-name --time-cond cacert.pem https://curl.se/ca/cacert.pem

В итоге ошибка защищенного соединения в Firefox при попытке открыть 2ip.ru. Что мне нужно поправить? Спасибо.

Подключаюсь командой
openvpn --config 36781.ovpn --auth-user-pass --auth-retry interact
Запрашивает логин, пароль, тип второго фактора аутентификации. Затем я получаю SMS, и должен снова вводить логин-пароль и только потом – пришедший по SMS код. Почему нельзя ввести код из СМС сразу? Как заставить клиент запомнить единожды введённые логин и пароль, но при этом корректно выдавать запрос на второй фактор, если он появляется?

Есть: приложение, пускай будет 1С:Розница, оно может обращаться к интернет ресурсам, например, api банков, других гос организаций и т.д. через интернет. Приложение обслуживает 2 юр лица.

Задача:
Хочется чтобы каждое юр лицо использовало свой интернет для связи со всем внешними миром(эквайринг, какие-то api, ОФД и т.д)

Например, 1 комп с приложением обслуживает 2 юр лица и имеет 2 LAN порта, в каждый будет воткнут свой роутер для внешнего инета, все запросы на все внешние ресурсы от одного юр лица должны будут ходить по Lan1, все запросы от другого юр лица должны будут ходить через Lan2. Т.е. для внешних сайтом это будет выглядеть, как 2 независимых друг от друга компа.

Пример с 2 LAN портами не является обязательной реализацией и приведен для простоты описания, вместо этого может использоваться 1 роутер с каким-то ПО.

Основные проблемы, которые я вижу:
- ККТ выгружает в ОФД чеки через  usb over Ethetnet
- эквайринговые терминал через  usb over Ethetnet
- всякие шлюзы оплаты, с которыми приложение взаимодействует(оплата по qr, api банка и т.д.)

Вопрос:
Возможна ли реализация работы данного кейса?
Если да, то с помощью каких тех средств?

Должны ли в Orbot работать мосты с obfs4? В исходниках Orbot obfs4 упоминается, но, при этом, не вижу, чтобы он работал... Они сейчас тоже блокируются, или что-то не так с настройкой устройства?

Набирает популярность среди журналистов и наверное местные анонимы уже давно во всю пользуются. Мне вот интересно, а какие механизмы защиты можно использовать в данном случае ? Ведь же стандартные, айпишные приемы не совсем уместны, да и работать никогда не будут.
Почему сильно любопытно ? А потому=что почтовые адреса смело публикуются в "паблике" , ну вот как они так делают ?

Добрый день!
На работе стоит http прокси сервер 10.14.254.42:3128. Т.е. во всех компьютерах с доступом в интернет в свойствах обозревателя стоит этот прокси. Все филиалы выходят в инет через центральный офис. Мне с работы нужно через SSH выйти на свои удаленные сервера. Сервера к компании не относятся и находяться вне сети компании.
С дома выхожу через через Putty либо MobaXterm. Но с работы никак не работают. Как можно настроить Putty либо MobaXterm для работы через прокси сервер?

Захожу с Windows на Linux

дано:
☆ драный локалхост на винде (боль и печаль, но тут ничего нельзя сделать от слова "совсем"™, чсбх)..

надо:
★ сделать редирект/форвард (и блок по udp.destport==53, но эт потом, виндовый файрвол таки должен эт уметь) всех DNS запросов на DNSPort (127.0.0.1:5353 .. импортозамещение, ога) для всего того барахла, которое не умеет культурно в SOCKS(4A/5A)..

т.е. "прилететь" пакет может воще из сказочного зоопарка неведомого софта..

не работает (в "[]"-опции):
socat -v -x UDP-LISTEN:53[,fork,reuseaddr] TCP:127.0.0.1:5353 &
socat -v -x UDP-LISTEN:53[,fork,reuseaddr] UDP:127.0.0.1:5353 &
socat -v -x UDP4-LISTEN:53[,fork,reuseaddr] UDP:127.0.0.1:5353 &
socat -v -x TCP-LISTEN:53[,fork,reuseaddr] TCP:127.0.0.1:5353 &
socat -v -x UDP-LISTEN:53[,fork,reuseaddr] -  (тут тоже тишина, воще не эрогирует на пакеты с udp.destport==53)

socat из cygwin.. или туплю страшнейшим образом, или оно мышей не ловит, или заблудилсо в трёх соснах.. любой совет, ссылки и даже пожелания убиццо апстену вибратором (со ссылкой на стену и вибратор), но чтобы заработало хоть как-то..

спасибо..

Камрады, всем еще раз привет. На борту ubuntu 20.04 LTS.
Установил tor, все работает. Когда в приложениях ставишь прокси 127.0.0.1:9050 трафик идет через тор, все хорошо.
Но когда через ssh подключаешься к vps, трафик через тор не идет, т.е. прокси не задействуется.
Пробовал в /etc/environment вписывать строчку

socks_proxy="socks://127.0.0.1:9050/"

далее перезагрузка, но через прокси тора ничего не идет.

Как быть? Спасибо

Камрады, всем привет.
На борту ubuntu 20.04.02 LTS
Установил privoxy, все ок.

В конфиге прописано:
-----------
forward-socks5 / localhost:9050 .
forward-socks4 / localhost:9050 .
forward-socks4a / localhost:9050 .

listen-address  127.0.0.1:8118
listen-address [::1]:8118
----------

После рестарта сервис успешно запускается.

netstat -a | grep 8118

tcp        0      0 localhost:8118          0.0.0.0:*               LISTEN    
tcp6       0      0 ip6-localhost:8118      [::]:*                  LISTEN
------------

Но!!!!!

nmap localhost

PORT    STATE SERVICE
631/tcp open  ipp
-------
Все! Не могу понять почему порт слушается, но сервис по факту не работает.
Помогите чем сможете

Кто-нибудь сталкивался с полной или частичной недоступностью некоторых сайтов через прокси-сервер?

https://www.cdek.ru/ - не открывается через корпоративные прокси (squid v3/4/5 и delegate), а также ни через один анонимный прокси-сервер, найденные в инете и Тор. Симптомы везде одинаковы - Firefox пишет "Веб-страница замедляет ваш браузер, подождать/остановить", Chrome просто до бесконечности показывает загрузку на фоне белой страницы. Без прокси сайт функционирует нормально.

https://www.s7.ru/ - не работает только с Сhrome через прокси: вначале несколько секунд отображает содержимое страницы, потом все исчезает, остается пустой лист. В Firefox/Internet Explorer через те же самые прокси все нормально.

Браузеры обновлены до последних версий; squid на прокси тоже последний стабильный 4.13, пробовал и бету 5-й версии, и старый 3.5.28 вытащил на свет божий; конфигурации использовал дефолтные с минимумом настроек (фактически http_access allow all)

В логах прокси никаких ошибок нет, все соединения со статусом TCP_TUNNEL/200

В консоли хрома - нижеприведенные ошибки при доступе через прокси:

adrum-latest.js:29 TypeError: String.prototype.link called on null or undefined
    at link (<anonymous>)
    at Go (main~3c941b24.61c89be44e67ab788d5c.js:9)
    at Zo (main~3c941b24.61c89be44e67ab788d5c.js:9)
    at Object.useState (main~3c941b24.61c89be44e67ab788d5c.js:9)
    at t.useState (main~678f84af.c218e8e13ecb54f867d9.chunk.js:9)
    at W (44.90591cebb3d7bcbe3fe1.chunk.js:1)
    at $o (main~3c941b24.61c89be44e67ab788d5c.js:9)
    at Fa (main~3c941b24.61c89be44e67ab788d5c.js:9)
    at Ra (main~3c941b24.61c89be44e67ab788d5c.js:9)
    at yl (main~3c941b24.61c89be44e67ab788d5c.js:9)
(anonymous) @ adrum-latest.js:29
el @ main~3c941b24.61c89be44e67ab788d5c.js:9
n.callback @ main~3c941b24.61c89be44e67ab788d5c.js:9
fo @ main~3c941b24.61c89be44e67ab788d5c.js:9
ol @ main~3c941b24.61c89be44e67ab788d5c.js:9
pu @ main~3c941b24.61c89be44e67ab788d5c.js:9
t.unstable_runWithPriority @ main~678f84af.c218e8e13ecb54f867d9.chunk.js:17
Ui @ main~3c941b24.61c89be44e67ab788d5c.js:9
du @ main~3c941b24.61c89be44e67ab788d5c.js:9
Jl @ main~3c941b24.61c89be44e67ab788d5c.js:9
(anonymous) @ main~3c941b24.61c89be44e67ab788d5c.js:9
t.unstable_runWithPriority @ main~678f84af.c218e8e13ecb54f867d9.chunk.js:17
Ui @ main~3c941b24.61c89be44e67ab788d5c.js:9
Ki @ main~3c941b24.61c89be44e67ab788d5c.js:9
qi @ main~3c941b24.61c89be44e67ab788d5c.js:9
$l @ main~3c941b24.61c89be44e67ab788d5c.js:9
ma @ main~3c941b24.61c89be44e67ab788d5c.js:9
(anonymous) @ 44.90591cebb3d7bcbe3fe1.chunk.js:1
(anonymous) @ adrum-latest.js:29
XMLHttpRequest.send (async)
(anonymous) @ adrum-latest.js:29
(anonymous) @ main~2a42e354.c1eb9ceba668f4779a66.chunk.js:18
b.Ti @ adrum-latest.js:12
e @ adrum-latest.js:156
t.exports @ main~2a42e354.c1eb9ceba668f4779a66.chunk.js:18
t.exports @ main~2a42e354.c1eb9ceba668f4779a66.chunk.js:8
(anonymous) @ adrum-latest.js:29
An unknown error occurred when fetching the script.
syncsspdmp:1 GET https://dsp-eu-lb.rtbsolutions.pro/dmp/syncsspdmp?sspid=2274... 500
Image (async)
(anonymous) @ sspmatch-js?p=34502:4

А вот такой вывод в консоли хрома без прокси:

syncsspdmp:1 GET https://dsp-eu-lb.rtbsolutions.pro/dmp/syncsspdmp?sspid=2274... 500
Image (async)
(anonymous) @ sspmatch-js?p=34502:5
adrum-latest.js:29 GET https://sf19-scmcdn-va.ibytedtos.com/goofy/track-log-interna... net::ERR_CERT_COMMON_NAME_INVALID
(anonymous) @ adrum-latest.js:29
(anonymous) @ sdk.js?sdkid=BSMMJPFRH2682FEL6130:8
(anonymous) @ sdk.js?sdkid=BSMMJPFRH2682FEL6130:9
An unknown error occurred when fetching the script.
showad.js:2 Resource interpreted as Document but transferred with MIME type image/png: "https://ads.betweendigital.com/match?bidder_id=133&external_....
D @ showad.js:2
R @ showad.js:2
a4 @ showad.js:2
aw.PugMasterCallback @ showad.js:2
(anonymous) @ PugMaster?kdntuid=1&rnd=64857983&p=156578&s=0&a=0&ptask=ALL&np=0&fp=0&mpc=0&spug=1&coppa=0&gdpr=0&gdpr_consent=&us_privacy=&sec=1:1
25BA50EA0D2CAF57:1 GET https://an.yandex.ru/setud/adsniper/25BA50EA0D2CAF57?sign=10... 404
Image (async)
set @ adrum-latest.js:70
getRequest @ 10001CC4.js:1
postVisit @ 10001CC4.js:1
init @ 10001CC4.js:1
on_code_ready @ 10001CC4.js:1
(anonymous) @ 10001CC4.js:1
onLoadEnd @ 10001CC4.js:1
sd.onload @ 10001CC4.js:1
load (async)
sc.onload @ 10001CC4.js:1
load (async)
loadUserCode @ 10001CC4.js:1
(anonymous) @ 10001CC4.js:1
(anonymous) @ 10001CC4.js:1
PugMaster?kdntuid=1&rnd=64857983&p=156578&s=0&a=0&ptask=ALL&np=0&fp=0&mpc=0&spug=1&coppa=0&gdpr=0&gdpr_consent=&us_privacy=&sec=1:1 Resource interpreted as Document but transferred with MIME type image/gif: "https://simage2.pubmatic.com/AdServer/Pug?vcode=bz0yJnR5cGU9....
(anonymous) @ PugMaster?kdntuid=1&rnd=64857983&p=156578&s=0&a=0&ptask=ALL&np=0&fp=0&mpc=0&spug=1&coppa=0&gdpr=0&gdpr_consent=&us_privacy=&sec=1:1
loader.js?site_id=141:6 Uncaught (in promise) TypeError: Cannot read property 'pushManager' of undefined
    at loader.js?site_id=141:6
    at adrum-latest.js:29
(anonymous) @ loader.js?site_id=141:6
(anonymous) @ adrum-latest.js:29
Promise.then (async)
(anonymous) @ adrum-latest.js:29
(anonymous) @ (index):16
(anonymous) @ loader.js?site_id=141:6
(anonymous) @ loader.js?site_id=141:6
load (async)
(anonymous) @ adrum-latest.js:29
w @ loader.js?site_id=141:6
(anonymous) @ loader.js?site_id=141:3
(anonymous) @ adrum-latest.js:29
25BA50EA0D2CAF57:1 GET https://an.yandex.ru/setud/adsniper/25BA50EA0D2CAF57?sign=47... 404
Image (async)
sendPixel @ pixel.html?url=Ly9jbS5nLmRvdWJsZWNsaWNrLm5ldC9waXhlbD9nb29nbGVfbmlkPWFkc25pcGVycnUmZ29vZ2xlX2NtJmV4dHJhMT1OMkpoTkRVNU5qUXROamsxT0MweE1XVmlMVGcyWlRBdE1EQXlOVGt3WXpBMk5EZGpYekUyTVRJM01URTBNekUqJmV4dHJhMj1ncDMuMTAwMDFDQzQucHhsZWFkdmlzaXRjNzM2NC52NzM2NA**:34
(anonymous) @ pixel.html?url=Ly9jbS5nLmRvdWJsZWNsaWNrLm5ldC9waXhlbD9nb29nbGVfbmlkPWFkc25pcGVycnUmZ29vZ2xlX2NtJmV4dHJhMT1OMkpoTkRVNU5qUXROamsxT0MweE1XVmlMVGcyWlRBdE1EQXlOVGt3WXpBMk5EZGpYekUyTVRJM01URTBNekUqJmV4dHJhMj1ncDMuMTAwMDFDQzQucHhsZWFkdmlzaXRjNzM2NC52NzM2NA**:49
25BA50EA0D2CAF57:1 GET https://an.yandex.ru/setud/adsniper/25BA50EA0D2CAF57?sign=47... 404
Image (async)
sendPixel @ pixel.html?url=Ly94MDEuYWlkYXRhLmlvLzAuZ2lmP3BpZD1BRFNOSVBFUiZpZD1OMkpoTkRVNU5qUXROamsxT0MweE1XVmlMVGcyWlRBdE1EQXlOVGt3WXpBMk5EZGpYekUyTVRJM01URTBNekUq:34
(anonymous) @ pixel.html?url=Ly94MDEuYWlkYXRhLmlvLzAuZ2lmP3BpZD1BRFNOSVBFUiZpZD1OMkpoTkRVNU5qUXROamsxT0MweE1XVmlMVGcyWlRBdE1EQXlOVGt3WXpBMk5EZGpYekUyTVRJM01URTBNekUq:49
25BA50EA0D2CAF57:1 GET https://an.yandex.ru/setud/adsniper/25BA50EA0D2CAF57?sign=47... 404
Image (async)
sendPixel @ pixel.html?url=Ly9yZWRpcmVjdC5mcm9udGVuZC53ZWJvcmFtYS5mci9yZD91cmw9aHR0cHMlM0ElMkYlMkZzeW5jLmJ1bWxhbS5jb20lMkYlM0ZzcmMlM0R3YnIxJTI2dWlkJTNEe1dFQk9fQ0lEfQ**:34
(anonymous) @ pixel.html?url=Ly9yZWRpcmVjdC5mcm9udGVuZC53ZWJvcmFtYS5mci9yZD91cmw9aHR0cHMlM0ElMkYlMkZzeW5jLmJ1bWxhbS5jb20lMkYlM0ZzcmMlM0R3YnIxJTI2dWlkJTNEe1dFQk9fQ0lEfQ**:49

Интересуют две вещи - воспроизводится ли эта ситуация у других использующих прокси в своем хозяйстве, ну и как выходить из ситуации, кроме самоочевидного пускать трафик до проблемных сайтов в обход прокси.

?

Всем привет.

Не могу найти вариант заставить работать прокси на две (и более на перспективу вирт машин)

Сейчас имеем:
Пул сайтов ВМ которые висят на ип 192.168.1.35 и прекрасно проксируютс Хапрокси. Каждый сайт имеет свой сертификат.

Я завел еще одну ВМ 192.168.1.33 - (црм, офис и тп) - ну блин не могу добиться нормальной работы, все время отдается сертификат одной из машин с первой ВМ

Вот конфиг - что не так делаю?

UPD
root@HAPROXY:~# curl -I https://crm2.mysite.ru
curl: (51) SSL: no alternative certificate subject name matches target host name 'crm2.mysite.ru'

frontend MY-SSL
bind *:443
        mode tcp
#       mode http
#       option forwardfor
#       reqadd X-Forwarded-Proto:\ https
        use_backend MY-SSL

backend MY-SSL
        mode tcp
        stick-table type ip size 1m expire 1h
        stick on src
        timeout connect         10s
        timeout client          1m
        timeout server          1m
        option ssl-hello-chk
        server mysite.ru 192.168.1.35:443 send-proxy check

frontend MY-CRM
bind *:443
        mode tcp
#       mode http
        option forwardfor
        reqadd X-Forwarded-Proto:\ https
       use_backend MY-CRM

backend MY-CRM
        mode tcp
        stick-table type ip size 1m expire 1h
        stick on src
        timeout connect         10s
        timeout client          1m
        timeout server          1m
        option ssl-hello-chk
        server crm2.mysite.ru 192.168.1.33:443 send-proxy check

Приветствую народ, с фрибсд не имел вообще делов, по этому пожалуйста подскажите есть сервер тестовый АД, в ад создана прямая и обратная зона, фрибсд в /etc/resolv.conf указан домен и днс адрес контроллера ад, при этом фрибсд не видит зон, подскажите где искать

Здравствуйте. Есть у меня свой мини сервер на Ubuntu Server 18.04, который работает круглосуточно у меня дома, на нём настроен WireGuard (через скрипт), ip сервера: 192.168.1.70; Рабочий (офисный) компьютер в сети: 192.168.20.*

Работает WireGuard великолепно, с этим вопросов нет, из офиса получаю доступ по VPN в локальную сеть дома.

Мне нужно организовать доступ не только к локальной сети VPN-сервера из офиса в дом, но и в обратную сторону, т.е. из сети VPN-сервера (192.168.1.*) в удаленную сеть VPN-клиента (192.168.20.*), чтобы обеспечить обмен данными между двумя сторонами VPN-туннеля.

Что прописать и где я не знаю, предполагаю настроить нужно всего лишь правильно маршрутизацию. Находил информацию по тому, что надо, вот только для роутеров Keenetic, через их web-морду, а у меня WireGuard стоит на Мини ПК. И какие терминальные команды для двухсторонней связи нужны не знаю, так что прошу помощи у вас. Спасибо.

День добрый.

Когда на странице http://***.***.***/cgi-bin/cachemgr.cgi нажимаешь кнопку "Continue..."

Появляется:
Internal Server Error

The server encountered an internal error or misconfiguration and was unable to complete your request.

В логах apache2:
[cgid:error] [pid 5155] [client *******] malformed header from script 'cachemgr.cgi': Bad header: </UL>, referer: http://***.***.***/cgi-bin/cachemgr.cgi

apache2 - Apache/2.4.25 (Debian)
squid3 - Version 3.5.23

Пользуюсь ShadowSocks, очень классная штука для слегка анонимного выхода в Интернет.
Хоть и не Tor, но зато работает очень шустро.

Возник вопрос: можно ли использовать ShadowSocks "наоборот"?
Т.е. для входа на сайт, который находится в локалке, через внешний сервер.
Чтобы нельзя было определить IP локалки с этим сайтом.

В Nginx есть такое, называется "реверсный прокси", работает замечательно.
Можно ли соорудить такое же на ShadowSocks? У которого есть свои преимущества.

Добрый день.

Есть возможность настроить подмену операционной системы в Squid3 через header_replace или как-то ещё?

Спасибо.

Всем бобра :Р
Короче достала меня вся эта рекламная муть, хочу её прибить везде и полностью, но если на десктопе с этим попроще, то на телефонах уже сложнее, а на металоломе типа телевизора и вообще никак.

Первая мысль ессно про прокси. К тому-же привокси прикрутить листы от ADB в принципе не сложно. Но здесь возникает одно большое "НО": ЕМНИП, с https такой финт ушами не проканает (если ошибаюсь, поправьте, плз)

Собственно вопрос в том реально ли вообще резать рекламу в https и если да, то чем?

Здравствуйте!
На ЛОРе обломились с этим вопросом, может, здесь найдутся знатоки реверсного прокси на основе  Nginx.
Нашлись нашлись сайты, где он оказался не в состоянии передавать звук и динамическую графику.

Вот пример одного из таких удивительных  сайтов:
http://websdr.ewi.utwente.nl:8901/

На этом сайте практически любой современный браузер при выборе опции HTML5 прекрасно воспроизводит как движущийся водопад (waterfall), так и звук радостанции.

Однако стоит пропустить этот сайт через реверсный прокси на основе Nginx c нижеизложенным фрагментом конфига, как теряется и водопад, и звук, остается только мертвая веб-страница.

Воможно ли исправить этот недостаток?

#---------------
    server {
server_name websdr.ewi.utwente.nl;
        listen      185.66.13.169:80;
        location / {
        proxy_pass       http://websdr.ewi.utwente.nl:8901;
        proxy_redirect default;
        proxy_set_header Host              $http_host;
        proxy_set_header X-Forwarded-For   $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
        proxy_set_header X-Real-IP         $remote_addr;
                    }
           }

#--------------

Squid Cache: Version 4.10
Service Name: squid
configure options:  '--enable-arp-acl' '--prefix=/home/squid' --enable-ltdl-convenience

и еще вопрос:
какой пакет дополнений поставить http://www1.ngtech.co.il/repo/centos/7/beta/x86_64/
и как если ./configure --enable-arp-acl --prefix=/home/squid  папка

#
# Recommended minimum configuration:
#

# Example rule allowing access from your local networks.
# Adapt to list your (internal) IP networks from where browsing
# should be allowed
# mac allow
acl pc1 arp 11:11:11:11:11:11
http_access allow pc1

...

acl SSL_ports port 443
acl Safe_ports port 80        # http
acl Safe_ports port 21        # ftp
acl Safe_ports port 443        # https
acl Safe_ports port 70        # gopher
acl Safe_ports port 210        # wais
acl Safe_ports port 1025-65535    # unregistered ports
acl Safe_ports port 280        # http-mgmt
acl Safe_ports port 488        # gss-http
acl Safe_ports port 591        # filemaker
acl Safe_ports port 777        # multiling http
acl CONNECT method CONNECT

#
# Recommended minimum Access Permission configuration:
#
# Deny requests to certain unsafe ports
http_access deny !Safe_ports

# Deny CONNECT to other than secure SSL ports
http_access deny CONNECT !SSL_ports

# Only allow cachemgr access from localhost
http_access allow localhost manager
http_access deny manager

# We strongly recommend the following be uncommented to protect innocent
# web applications running on the proxy server who think the only
# one who can access services on "localhost" is a local user
#http_access deny to_localhost

#
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
#

# Example rule allowing access from your local networks.
# Adapt localnet in the ACL section to list your (internal) IP networks
# from where browsing should be allowed
http_access allow localnet
http_access allow localhost

# And finally deny all other access to this proxy
http_access deny all

# Squid normally listens to port 3128
http_port 3128

# Uncomment and adjust the following to add a disk cache directory.
#cache_dir ufs /home/squid/var/cache/squid 100 16 256

# Leave coredumps in the first cache dir
#coredump_dir /home/squid/var/cache/squid

#
# Add any of your own refresh_pattern entries above these.
#
refresh_pattern ^ftp:        1440    20%    10080
refresh_pattern ^gopher:    1440    0%    1440
refresh_pattern -i (/cgi-bin/|\?) 0    0%    0
refresh_pattern .        0    20%    4320

#log off
access_log none    
#cache_store none может не работать
cache_log /dev/null
logfile_rotate 0

#skrit detect proxy
via off
forwarded_for transparent
dns_nameservers 208.67.222.222 208.67.220.220 2620:119:35::35 2620:119:53::53

Установлен и настроен Squid в прозрачном режиме без подмены сертификатов. При работе через Squid не работает Google Play Market, в магазин приложений зайти можно но при запуске установки все останавливается на "ожидание скачивания". Также есть проблемы в работе сервиса YouTube со сматр ТВ, при запуске приложение выдает сообщение что нет подключения к интернету. Если нажать повторное подключение YouTube запускается. При этом PlayStore работает нормально. Пробовал разные версии Squid (3.5, 4.6, 4.9). Проблема остается.
Система Ubuntu Server 16.04.06
openssl-1.1.1d (пробовал 1.0.1)
В настоящее время установлен squid-4.9-20200102
Скомпилирован с опциями:
./configure --build=x86_64-linux-gnu \
--prefix=/usr \
--includedir=/usr/include \
--mandir=/usr/share/man \
--infodir=/usr/share/info \
--sysconfdir=/etc \
--localstatedir=/var \
--libexecdir=/usr/lib/squid \
--srcdir=. \
--disable-maintainer-mode \
--disable-dependency-tracking \
--disable-silent-rules \
--datadir=/usr/share/squid \
--sysconfdir=/etc/squid \
--mandir=/usr/share/man \
--enable-inline \
--disable-arch-native \
--enable-async-io=8 \
--enable-storeio=ufs,aufs,diskd,rock \
--enable-removal-policies=lru,heap \
--enable-delay-pools \
--enable-cache-digests \
--enable-icap-client \
--enable-follow-x-forwarded-for \
--enable-auth-basic=DB,fake,getpwnam,LDAP,NCSA,NIS,PAM,POP3,RADIUS,SASL \
--enable-auth-digest=file,LDAP \
--enable-auth-negotiate=kerberos,wrapper \
--enable-auth-ntlm=fake \
--enable-external-acl-helpers=file_userip,kerberos_ldap_group,LDAP_group,session,SQL_session,unix_group,wbinfo_group \
--enable-url-rewrite-helpers=fake \
--enable-eui \
--enable-esi \
--enable-icmp \
--enable-zph-qos \
--enable-ecap \
--disable-translation \
--with-swapdir=/var/spool/squid \
--with-logdir=/var/log/squid \
--with-pidfile=/var/run/squid.pid \
--with-filedescriptors=65536 \
--with-large-files \
--with-default-user=squid \
--enable-ssl \
--enable-ssl-crtd \
--with-openssl \
--enable-linux-netfilter \
'CFLAGS=-g -O2 -fPIE -fstack-protector-strong -Wformat -Werror=format-security -Wall' \
'LDFLAGS=-fPIE -pie -Wl,-z,relro -Wl,-z,now' \
'CPPFLAGS=-D_FORTIFY_SOURCE=2' \
'CXXFLAGS=-g -O2 -fPIE -fstack-protector-strong -Wformat -Werror=format-security'

Sduid.conf выглядит так:
acl localnet src 192.168.3.0/24
acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT
# разрешающие и блокирующие правила
http_access allow localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access allow localnet
http_access deny all
# dns сервер общий с клиентами
dns_nameservers 127.0.0.1
# параметры портов для Squid
http_port 3128 intercept
http_port 3130
https_port 3129 intercept ssl-bump connection-auth=off tls-cert=/usr/lib/squid/ssl_crtd/squidCA.pem
# параметры работы SSL соединения со Squid-ом. Направлять весь трафик сразу в интернет, без использования вышестоящих кешей.
# последние две разрешают соединение даже с ошибками проверки сертификата
always_direct allow all
sslproxy_cert_error allow all
# параметры доступа по протоколу HTTPS. Запрет terminate и разрешение splice
ssl_bump peek all
ssl_bump splice all
sslcrtd_program /usr/lib/squid/security_file_certgen -s /var/lib/ssl_db -M 4MB
tls_outgoing_options options=ALL:NO_SSLv3:NO_TLSv1:NO_TLSv1_1:NO_TICKET
# другие параметры
coredump_dir /var/spool/squid
refresh_pattern ^ftp:         &n... 1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern (Release|Packages(.gz)*)$      0       20%     2880
refresh_pattern .               0       20%     4320
# Место хранения и размер дискового кэша
cache_dir ufs /var/spool/squid 40000 49 256
maximum_object_size 61440 KB
minimum_object_size 3 KB
# Обьем оперативной памяти, выделенной под кэширование
cache_swap_low 90
cache_swap_high 95
maximum_object_size_in_memory 1024 KB
memory_replacement_policy lru
#Ротация логов осуществляется с помощью системной службы
logfile_rotate 0

В чем может быть проблема?

Привет, нужна помощь в настройке связки шлюза на openwrt и squid intercept на отдельной машине.
В такой конфигураци, при обращении к http, на squid ошибки вида:
ERROR: NF getsockopt(ORIGINAL_DST) failed on local=192.168.174.2:3128 remote=192.168.174.1:43574 FD 13 flags=33: (2) No such file or directory
ERROR: NAT/TPROXY lookup failed to locate original IPs on local=192.168.174.2:3128 remote=192.168.174.1:43574 FD 13 flags=33
Которые свидетельствуют о том что, запрос идет напрямую, как от браузера.
Если я делаю перенаправление на 3130 (не intercept порт) то трафик начинает ходить,но в логах squid все запросы от шлюза.
Я вангую, что у меня криво настроенные правила маршрутизации на шлюзе, но ничего лучше я придумать не смог, и да я видел мануал по настройке через маркировку пакетов https://wiki.squid-cache.org/ConfigExamples/Intercept/Iptabl..., но я его не осилил.

squid на openwrt ставить не получится, потому что в дальнешем планируется использование прозрачного https без подмены сертификатов, а это корректно работает на версиях 4.+
Делать шлюзом squid то-же не вариант.

Конфигурация сети:
шлюз на openwrt(192.168.174.1)
squid сервер ubuntu 19.04(192.168.174.2)

Конфигурация firewall openwrt

config redirect
        option name       'squid_http_dnat'
        option src        lan
        option dest       wan
        option proto      tcp
        option src_ip     !192.168.174.2
        option src_dport  80
        option dest_ip    192.168.174.2
        option dest_port  3128
        option target     DNAT
        option enabled    1
 
config redirect
        option name       'squid_http_snat'
        option dest       lan
        option proto      tcp
        option src_dip    192.168.174.1
        option dest_ip    192.168.174.2
        option dest_port  3128
        option target     SNAT
        option enabled    1

Конфигурация squid.conf

http_port  3130 accel allow-direct
http_port  3128 intercept
client_dst_passthru off
acl localnet src 192.168.174.0/24 # RFC1918 possible internal network
acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 8080          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager
http_access deny to_localhost
http_access allow localnet
http_access allow localhost
http_access deny all
always_direct allow all
cache_dir ufs /var/spool/squid 2048 64 256
coredump_dir /var/spool/squid
refresh_pattern ^ftp:         &n... 1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern .               0       20%     4320
dns_v4_first on
shutdown_lifetime 3 seconds
cache_mem 256 MB
maximum_object_size_in_memory 1 MB
dns_nameservers 192.168.174.1
visible_hostname home-srv.local
redirect_program /usr/local/rejik3/redirector /usr/local/rejik3/redirector.conf

Версия squid

Squid Cache: Version 4.4
Service Name: squid
Ubuntu linux
configure options:  '--build=x86_64-linux-gnu' '--prefix=/usr' '--includedir=${prefix}/include' '--mandir=${prefix}/share/man' '--infodir=${prefix}/share/info' '--sysconfdir=/etc' '--localstatedir=/var' '--libexecdir=${prefix}/lib/squid' '--srcdir=.' '--disable-maintainer-mode' '--disable-dependency-tracking' '--disable-silent-rules' 'BUILDCXXFLAGS=-g -O2 -fdebug-prefix-map=/build/squid-y3c0Vk/squid-4.4=. -fstack-protector-strong -Wformat -Werror=format-security -Wdate-time -D_FORTIFY_SOURCE=2 -Wl,-Bsymbolic-functions -Wl,-z,relro -Wl,-z,now -Wl,--as-needed' '--enable-build-info=Ubuntu linux' '--datadir=/usr/share/squid' '--sysconfdir=/etc/squid' '--libexecdir=/usr/lib/squid' '--mandir=/usr/share/man' '--enable-inline' '--disable-arch-native' '--enable-async-io=8' '--enable-storeio=ufs,aufs,diskd,rock' '--enable-removal-policies=lru,heap' '--enable-delay-pools' '--enable-cache-digests' '--enable-icap-client' '--enable-follow-x-forwarded-for' '--enable-auth-basic=DB,fake,getpwnam,LDAP,NCSA,NIS,PAM,POP3,RADIUS,SASL,SMB' '--enable-auth-digest=file,LDAP' '--enable-auth-negotiate=kerberos,wrapper' '--enable-auth-ntlm=fake,SMB_LM' '--enable-external-acl-helpers=file_userip,kerberos_ldap_group,LDAP_group,session,SQL_session,time_quota,unix_group,wbinfo_group' '--enable-security-cert-validators=fake' '--enable-storeid-rewrite-helpers=file' '--enable-url-rewrite-helpers=fake' '--enable-eui' '--enable-esi' '--enable-icmp' '--enable-zph-qos' '--enable-ecap' '--disable-translation' '--with-swapdir=/var/spool/squid' '--with-logdir=/var/log/squid' '--with-pidfile=/var/run/squid.pid' '--with-filedescriptors=65536' '--with-large-files' '--with-default-user=proxy' '--with-gnutls' '--enable-linux-netfilter' 'build_alias=x86_64-linux-gnu' 'CFLAGS=-g -O2 -fdebug-prefix-map=/build/squid-y3c0Vk/squid-4.4=. -fstack-protector-strong -Wformat -Werror=format-security -Wall' 'LDFLAGS=-Wl,-Bsymbolic-functions -Wl,-z,relro -Wl,-z,now -Wl,--as-needed' 'CPPFLAGS=-Wdate-time -D_FORTIFY_SOURCE=2' 'CXXFLAGS=-g -O2 -fdebug-prefix-map=/build/squid-y3c0Vk/squid-4.4=. -fstack-protector-strong -Wformat -Werror=format-security'

При запуске Tor Browser, окно браузера открывается в маленьком окне для защиты FingerPrint. Какой параметр в about:config позволяет управлять этим? Чтобы открывалось полностью окно, как у обычных браузеров.

Добрый день форумчане, интересует вопрос чем вы мониторить посещаемые ресурсы вашых локалок , хотелось бы реализовать в себя какую то схему, интересно посмотреть варианты исполнения

Здравствуйте!

На сайте https://otpravka.pochta.ru/ при авторизации выходит сообщение "вход в систему на вашем устройстве блокируется google captcha. вход недоступен"

Как настроить squid чтоб капча не блокировалась?

/etc/squid/squid.conf

acl SSL_ports port 443
acl Safe_ports port 80<><------># http
acl Safe_ports port 21<><------># ftp
acl Safe_ports port 443><------># https
acl Safe_ports port 70<><------># gopher
acl Safe_ports port 210><------># wais
acl Safe_ports port 1025-65535<># unregistered ports
acl Safe_ports port 280><------># http-mgmt
acl Safe_ports port 488><------># gss-http
acl Safe_ports port 591><------># filemaker
acl Safe_ports port 777><------># multiling http
acl localnet src 10.??.0.0/16
acl CONNECT method CONNECT
icp_port 3130

#acl whitelist url_regex "/etc/squid/acl/whitelist.acl"
#http_access allow whitelist
#http_access deny all

acl bad_domain dstdom_regex "/etc/squid/block.acl".
acl good_domain dstdom_regex "/etc/squid/white.acl"

acl rkn url_regex "/etc/squid/tor_url"

http_access allow localnet
#http_access allow localhost manager
http_access allow localhost
http_access deny all
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny manager
http_access deny all
http_reply_access allow all
http_port 3128

coredump_dir /var/spool/squid
refresh_pattern ^ftp:<-><------>1440<-->20%<--->...
refresh_pattern ^gopher:<------>1440<-->0%<---->1440
refresh_pattern -i (/cgi-bin/|\?) 0<--->0%<---->0
refresh_pattern (Release|Packages(.gz)*)$ 0 20% 2880
refresh_pattern .<-----><------>0<----->20%<--->4320
dns_v4_first on
cachemgr_passwd config
url_rewrite_program /usr/local/rejik3/redirector /usr/local/rejik3/redirector.conf
visible_hostname Proxy
#shutdown_lifetime 1 seconds

Есть интернет провайдер, поступил заказ нужно реализовать подмену блоков рекламы через прозрачный прокси сквид (SQUID), как можно реализовать?Куча способов перепробовал, рабочих вариантов не нашел, за помощь буду очень признателен

День добрый. Вопрос вроде простой, но сходу у меня не получилось выполнить.
Нужно заблокировать выполнение JavaScript https://www.site.com/push/fe8daf4c-ea96-11e5-8de3-00215ae090...

Делал:
acl MYSITE-PUSH url_regex ^https:\/\/www\.site\.com\/push\/
http_access deny MYSITE-PUSH

Squid Cache: Version 3.1.20

Помогите нубу)). Имеется две сетевые карты, "rе0" смотрит в сторону интернета и получает настройки по DHCP, вторая, "rl0"c адресом 192.168.188.2   смотрит в сторону сети и должна связать и раздавать интернет 192.168.188.0/24, 192.168.189.0/24, 192.168.190.0/24, 192.168.191.0/24, 192.168.192.0/24.

Каким образом всё это завязать через SQUID?

и это всё должно обрабатываться фаерволом...