Squid не прозрачный режим



  • Всем добра. Есть не большая "пичалька" с прокси на Pfsense, только начал осваивать продукт, удалось настроить squd3+squidguard+https фильтрацию, все работает, нужные сайты блокируются.

    Но вот беда, руководству очень надо чтобы в браузере , когда заходишь на почту, скажем mail.yandex.ru, автоматически обновлялась папка входящих писем. На данный момент пока не нажмешь на папку, либо не обновишь страницу, письма не появляются. На мой взгляд в этом виновата прокся (squd3) которая не знает что нужно опрашивать сервер. Кэш отключил, выставил место на диске в 0. Пропустил на яндекс без подмены сертификата (опция none ssl_bump) сертификат отображается "валидный" то есть родной яндекса, но папка обновляется только когда тыкнешь  обновить папку либо страницу.

    Может есть какая нибудь директива для squd чтоб он сам рефрешил страницы раз в 2 минуты скажем?? или еще как хитрее? Прошу помощи вопрос стоит остро.

    P.S. поставить Thunderbird или ещё чего не устраивает руководство категорически. Хотя я поставил и пустил в обход прокси через firewall все прекрасно работает. Но вот надо в браузере хоть ты тресни.

    Версия Pfsense : 2.2.4-RELEASE (amd64)
    built on Sat Jul 25 19:57:37 CDT 2015
    FreeBSD 10.1-RELEASE-p15

    Версии пакетов :
    squid3 0.2.9
    squidguard 1.9.14

    Железо: Intel(R) Celeron(R) CPU 1037U @ 1.80GHz
    2 CPUs: 1 package(s) x 2 core(s), 2 ГБ RAM

    не нашел где лежит squid.conf для squid3



  • Попробуй прописать mail.yandex.ru в services->proxy server->cache mgmt->do not cache



  • Зачем нужен ssl_bump в непрозрачном режиме, где squid/squidguard и так отлично видят/фильтруют имена сайтов https? Стоит Squid3 0.3.8 WPAD без HTTPS/SSL interception, все режет все видит, письма в yandex появляются.



  • igroykt

    Попробуй прописать mail.yandex.ru в services->proxy server->cache mgmt->do not cache. Попробую сделать.

    rubic

    Зачем нужен ssl_bump в непрозрачном режиме, где squid/squidguard и так отлично видят/фильтруют имена сайтов https? Стоит Squid3 0.3.8 WPAD без HTTPS/SSL interception, все режет все видит, письма в yandex появляются.

    Не совсем понял как будет работать https без MITM. можете  скинуть скрин с настройками squid/firewall rules.



  • Спасибо большое rubic, убрал ssl interception, убрал все в custom acls, перезагрузил Pfsense. И все заработало, и письма приходят и https не нужные сайты блокируются.

    Если не трудно опишите как это работает, или дайте ссылку на то где это почитать, а то я где только не смотрел везде написано, что нужно использовать MITM ssl interception для фильтрации https запросов.



  • http://www.web-cache.com/Writings/Internet-Drafts/draft-luotonen-web-proxy-tunneling-01.txt
    https://en.wikipedia.org/wiki/HTTP_tunnel

    когда squid работает в стандартном (непрозрачном) режиме, клиент (браузер) подключается к нему методом HTTP CONNECT и явно говорит, что он хочет получить из интернета:

    CONNECT home.netscape.com:443 HTTP/1.0
            User-agent: Mozilla/4.0

    прокси соединяется с сервером, заданным URL запроса, а потом просто передает TCP пакеты между сервером и клиентом. При этом, если речь идет о https, то прокси не видит содержимого пакетов (оно зашифровано) и не может, например, ловить в нем вирусы или фильтровать контент по ключевым словам. Но сам URL запроса прокси видит и может резать.



  • Спасибо большое rubic, теперь всё встало на свои места, просветлился. :D


Log in to reply