S
S
Satisfied IT2018-10-11 10:37:03
Squid
Satisfied IT, 2018-10-11 10:37:03

SQUID doesn't block http sites, why?

There is a squid 3.5.28 server, everything works except one, it does not block sites specified in the file (/opt/squid/etc/blocked_reklama) when accessing them via the http protocol, but when accessing via https, it blocks perfectly. I can not understand this behavior, where and what to fix?
Config:

spoiler
#Для авторизации через AD
auth_param negotiate program /opt/squid/libexec/negotiate_kerberos_auth -s HTTP/xxx.xx.xx
auth_param negotiate children 40 startup=0 idle=1
auth_param negotiate keep_alive on

acl localnet src 10.16.0.0/16 # RFC1918 possible internal network
acl pcname srcdomain "/opt/squid/etc/block_comp_name" # компьютеров из имен компьютеров в файле block_comp_name 
acl nohttps dstdomain "/opt/squid/etc/no_https"
acl blocked_ads dstdomain "/opt/squid/etc/blocked_reklama" # сайтов для блокировки (реклама)

acl userauth proxy_auth REQUIRED # аутентифицированный пользователь попадает в группу userauth

acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
acl manager proto cache_object


http_access deny pcname #запрещаем доступ группе pcname
http_access deny blocked_ads #Запрещаем доступ к сайтам из указанных списков
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager
http_access allow userauth #Разрешаем интернет аутентифицированным пользователям
http_access allow localnet #Разрешаем интернет из нашей сети
http_access allow localhost #Разрешаем интернет локально
http_access deny all #Запрещаем все остальное


#################################################################################################################################
#Для http прозрачного прокси
http_port 3129 intercept
#Для https без подмены сертификата
#https_port 3130 intercept
https_port 3130 intercept ssl-bump options=ALL:NO_SSLv3:NO_SSLv2 connection-auth=off cert=/opt/squid/etc/squidCA.pem
always_direct allow all
acl blocked_ads_ssl ssl::server_name "/opt/squid/etc/blocked_reklama" # сайтов для блокировки (реклама и т.п.)
acl step1 at_step SslBump1
ssl_bump peek step1
ssl_bump terminate blocked_ads_ssl #Закрываем соединение на сайт
ssl_bump bump userauth !nohttps #Расшифровываем трафик для пользователей группы userauth кроме сайтов из файла no_https
ssl_bump splice all #Без расшифровки для всех остальных

#################################################################################################################################
http_port 3128 ssl-bump options=ALL:NO_SSLv3:NO_SSLv2 generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/opt/squid/etc/adkey.pem
sslcrtd_program /opt/squid/libexec/ssl_crtd -s /opt/squid/var/squid3_ssldb -M 4MB
sslcrtd_children 10

always_direct allow all # не использовать кэш

sslproxy_cert_error allow all #разрешает обрабатывать запрос при ошибке проверки сертификата веб сайта
sslproxy_flags DONT_VERIFY_PEER #отключает проверку по списку СА по умолчанию и принимает сертификат, издатель которых неизвестен

ssl_bump server-first all #режим для установки соединения сначала с веб-сервером, затем SSL-соединение с клиентом

coredump_dir /opt/squid/var/cache/squid

#
# Add any of your own refresh_pattern entries above these.
#
refresh_pattern ^ftp:		1440	20%	10080
refresh_pattern ^gopher:	1440	0%	1440
refresh_pattern -i (/cgi-bin/|\?) 0	0%	0
refresh_pattern .		0	20%	4320


max_filedescriptors 4096
cache_replacement_policy GDSF
persistent_connection_after_error off #после возникновения HTTP ошибки, Squid перестанет использовать persistent соединение с этим клиентом

icap_enable on
icap_send_client_ip on
icap_send_client_username on
icap_client_username_encode off
icap_client_username_header X-Authenticated-User
icap_preview_enable on
icap_preview_size 1024
#icap_service_failure_limit 10 in 5 seconds #После 10 ошибок в течении 5 секунд приостанавливается использование icap
icap_service service_avi_req reqmod_precache icap://127.0.0.1:1344/virus_scan bypass=on
adaptation_access service_avi_req allow all
icap_service service_avi_resp respmod_precache icap://127.0.0.1:1344/virus_scan bypass=on
adaptation_access service_avi_resp allow all

logfile_rotate 0


The contents of the file /opt/squid/etc/blocked_reklama
spoiler
www.mult.ru
www.securitylab.ru


With this configuration, access to https://www.securitylab.ru is closed, but it works fine on www.mult.ru , the sites are listed just for testing, then they will be replaced by others. do not offer to use squidguard, it should work anyway. What did I miss?
squid -v
Squid Cache: Version 3.5.28
Service Name: squid

This binary uses OpenSSL 1.0.2n  7 Dec 2017. For legal restrictions on distribution see https://www.openssl.org/source/license.html

configure options:  '--prefix=/opt/squid' '--with-large-files' '--enable-ssl' '--enable-ssl-crtd' '--enable-ltdl-convenienc' '--enable-auth-negotiate=kerberos,wrapper' '--enable-icap-client' '--with-openssl=/opt/openssl-1.0.2p' '--enable-http-violations' --enable-ltdl-convenience

Answer the question

In order to leave comments, you need to log in

2 answer(s)
S
Satisfied IT, 2018-10-15
specialist @borisdenis

The question was removed, I rebuilt squid with the same parameters and everything worked... miracles...

D
Dimonchik, 2018-10-12
@dimonchik2013

logs will save you
ACL there are all sorts of top to bottom and all that

Didn't find what you were looking for?

Ask your question

Ask a Question

731 491 924 answers to any question