forum.opennet.ru

Составление сообщения

Исходное сообщение

"Блокировка списка сайтов https для группы пользователей squid "
Отправлено Useful, 22-Окт-14 14:15

Чтоб не плодить темы напишу тут.
Использую:
  ОС - openSuSE 13.2
  Squid - 3.4.4
  браузер у клиентов - firefox, opera, ie и т.д.
содержание squid.conf:
#===============================================================
visible_hostname af-server
acl a_localnet src "/srv/squid/allow/ip_allow.acl"    # разрешенная сеть для прокси
acl d_localnet src "/srv/squid/deny/ip_stud.acl"    # сеть с ограничениями
acl soc_domain dstdomain "/srv/squid/deny/soc_domain.acl"
acl stud_domain dstdomain "/srv/squid/allow/stud_domain.acl"
acl ip_server dst 192.168.3.1
acl SSL_ports port 443
acl Safe_ports port 80        # http
acl Safe_ports port 21        # ftp
acl Safe_ports port 443        # https
acl Safe_ports port 70        # gopher
acl Safe_ports port 210        # wais
acl Safe_ports port 1025-65535    # unregistered ports
acl Safe_ports port 280        # http-mgmt
acl Safe_ports port 488        # gss-http
acl Safe_ports port 591        # filemaker
acl Safe_ports port 777        # multiling http
acl CONNECT method CONNECT
# Запрещены все порты, кроме как из списка
http_access deny !Safe_ports
# Запрещены все коннекты по портам, кроме как из списка
http_access deny CONNECT !SSL_ports
# Разрешен доступ к кешу только для localhost
http_access allow localhost manager
http_access deny manager
http_access allow a_localnet !soc_domain
http_access allow d_localnet ip_server
http_access deny d_localnet !stud_domain
# Allow localhost always proxy functionality
http_access allow localhost
# And finally deny all other access to this proxy
http_access deny all
http_port 192.168.3.1:3128 transparent
https_port 192.168.3.1:3129 transparent ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/etc/squid/ssl/squid.pem key=/etc/squid/ssl/squid.pem
sslproxy_flags DONT_VERIFY_PEER
sslproxy_cert_error allow all
always_direct allow all
ssl_bump client-first all
ssl_bump server-first all
ssl_bump none all
sslcrtd_program /usr/sbin/ssl_crtd -s /srv/squid/ssl_db -M 4MB
# Leave coredumps in the first cache dir
coredump_dir /srv/squid/cache
refresh_pattern ^ftp:        1440    20%    10080
refresh_pattern ^gopher:    1440    0%    1440
refresh_pattern -i (/cgi-bin/|\?) 0    0%    0
refresh_pattern .        0    20%    4320
#=============================================================================
сертификат и ключ создавал так:
openssl req -new -newkey rsa:1024 -days 365 -nodes -x509 -keyout squid.pem -out squid.pem
Все работает отлично, кроме одного неудобства. В списке "stud_domain.acl" есть ".google.ru". Так вот при открытии "https://www.google.ru" каждый раз приходится подтверждать исключение безопасности. Как сделать, чтоб пользователь только однажды подтвердил, и больше этот вопрос в браузере не возникал?

Исходное сообщение
"Блокировка списка сайтов https для группы пользователей squid " Отправлено Useful, 22-Окт-14 14:15
Чтоб не плодить темы напишу тут. Использую: ОС - openSuSE 13.2 Squid - 3.4.4 браузер у клиентов - firefox, opera, ie и т.д. содержание squid.conf: #=============================================================== visible_hostname af-server acl a_localnet src "/srv/squid/allow/ip_allow.acl" # разрешенная сеть для прокси acl d_localnet src "/srv/squid/deny/ip_stud.acl" # сеть с ограничениями acl soc_domain dstdomain "/srv/squid/deny/soc_domain.acl" acl stud_domain dstdomain "/srv/squid/allow/stud_domain.acl" acl ip_server dst 192.168.3.1 acl SSL_ports port 443 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT method CONNECT # Запрещены все порты, кроме как из списка http_access deny !Safe_ports # Запрещены все коннекты по портам, кроме как из списка http_access deny CONNECT !SSL_ports # Разрешен доступ к кешу только для localhost http_access allow localhost manager http_access deny manager http_access allow a_localnet !soc_domain http_access allow d_localnet ip_server http_access deny d_localnet !stud_domain # Allow localhost always proxy functionality http_access allow localhost # And finally deny all other access to this proxy http_access deny all http_port 192.168.3.1:3128 transparent https_port 192.168.3.1:3129 transparent ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/etc/squid/ssl/squid.pem key=/etc/squid/ssl/squid.pem sslproxy_flags DONT_VERIFY_PEER sslproxy_cert_error allow all always_direct allow all ssl_bump client-first all ssl_bump server-first all ssl_bump none all sslcrtd_program /usr/sbin/ssl_crtd -s /srv/squid/ssl_db -M 4MB # Leave coredumps in the first cache dir coredump_dir /srv/squid/cache refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern -i (/cgi-bin/\|\?) 0 0% 0 refresh_pattern . 0 20% 4320 #============================================================================= сертификат и ключ создавал так: openssl req -new -newkey rsa:1024 -days 365 -nodes -x509 -keyout squid.pem -out squid.pem Все работает отлично, кроме одного неудобства. В списке "stud_domain.acl" есть ".google.ru". Так вот при открытии "https://www.google.ru" каждый раз приходится подтверждать исключение безопасности. Как сделать, чтоб пользователь только однажды подтвердил, и больше этот вопрос в браузере не возникал?

Ваше сообщение
Имя*:
EMail:	Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, [email protected] (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	> Чтоб не плодить темы напишу тут. > Использую: > ОС - openSuSE 13.2 > Squid - 3.4.4 > браузер у клиентов - firefox, opera, ie и т.д. > содержание squid.conf: > #=============================================================== > visible_hostname af-server > acl a_localnet src "/srv/squid/allow/ip_allow.acl" # разрешенная сеть для прокси > acl d_localnet src "/srv/squid/deny/ip_stud.acl" # сеть с ограничениями > acl soc_domain dstdomain "/srv/squid/deny/soc_domain.acl" > acl stud_domain dstdomain "/srv/squid/allow/stud_domain.acl" > acl ip_server dst 192.168.3.1 > acl SSL_ports port 443 > acl Safe_ports port 80 # http > acl Safe_ports port 21 # ftp > acl Safe_ports port 443 # https > acl Safe_ports port 70 # gopher > acl Safe_ports port 210 # wais > acl Safe_ports port 1025-65535 # unregistered ports > acl Safe_ports port 280 # http-mgmt > acl Safe_ports port 488 # gss-http > acl Safe_ports port 591 # filemaker > acl Safe_ports port 777 # multiling http > acl CONNECT method CONNECT > # Запрещены все порты, кроме как из списка > http_access deny !Safe_ports > # Запрещены все коннекты по портам, кроме как из списка > http_access deny CONNECT !SSL_ports > # Разрешен доступ к кешу только для localhost > http_access allow localhost manager > http_access deny manager > http_access allow a_localnet !soc_domain > http_access allow d_localnet ip_server > http_access deny d_localnet !stud_domain > # Allow localhost always proxy functionality > http_access allow localhost > # And finally deny all other access to this proxy > http_access deny all > http_port 192.168.3.1:3128 transparent > https_port 192.168.3.1:3129 transparent ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB > cert=/etc/squid/ssl/squid.pem key=/etc/squid/ssl/squid.pem > sslproxy_flags DONT_VERIFY_PEER > sslproxy_cert_error allow all > always_direct allow all > ssl_bump client-first all > ssl_bump server-first all > ssl_bump none all > sslcrtd_program /usr/sbin/ssl_crtd -s /srv/squid/ssl_db -M 4MB > # Leave coredumps in the first cache dir > coredump_dir /srv/squid/cache > refresh_pattern ^ftp: 1440 20% 10080 > refresh_pattern ^gopher: 1440 0% 1440 > refresh_pattern -i (/cgi-bin/\|\?) 0 0% 0 > refresh_pattern . 0 20% 4320 > #============================================================================= > сертификат и ключ создавал так: > openssl req -new -newkey rsa:1024 -days 365 -nodes -x509 -keyout squid.pem -out > squid.pem > Все работает отлично, кроме одного неудобства. В списке "stud_domain.acl" есть ".google.ru". > Так вот при открытии "https://www.google.ru" каждый раз приходится подтверждать исключение > безопасности. Как сделать, чтоб пользователь только однажды подтвердил, и больше этот > вопрос в браузере не возникал?
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру