Squid не прозрачный режим
-
Всем добра. Есть не большая "пичалька" с прокси на Pfsense, только начал осваивать продукт, удалось настроить squd3+squidguard+https фильтрацию, все работает, нужные сайты блокируются.
Но вот беда, руководству очень надо чтобы в браузере , когда заходишь на почту, скажем mail.yandex.ru, автоматически обновлялась папка входящих писем. На данный момент пока не нажмешь на папку, либо не обновишь страницу, письма не появляются. На мой взгляд в этом виновата прокся (squd3) которая не знает что нужно опрашивать сервер. Кэш отключил, выставил место на диске в 0. Пропустил на яндекс без подмены сертификата (опция none ssl_bump) сертификат отображается "валидный" то есть родной яндекса, но папка обновляется только когда тыкнешь обновить папку либо страницу.
Может есть какая нибудь директива для squd чтоб он сам рефрешил страницы раз в 2 минуты скажем?? или еще как хитрее? Прошу помощи вопрос стоит остро.
P.S. поставить Thunderbird или ещё чего не устраивает руководство категорически. Хотя я поставил и пустил в обход прокси через firewall все прекрасно работает. Но вот надо в браузере хоть ты тресни.
Версия Pfsense : 2.2.4-RELEASE (amd64)
built on Sat Jul 25 19:57:37 CDT 2015
FreeBSD 10.1-RELEASE-p15Версии пакетов :
squid3 0.2.9
squidguard 1.9.14Железо: Intel(R) Celeron(R) CPU 1037U @ 1.80GHz
2 CPUs: 1 package(s) x 2 core(s), 2 ГБ RAMне нашел где лежит squid.conf для squid3
-
Попробуй прописать mail.yandex.ru в services->proxy server->cache mgmt->do not cache
-
Зачем нужен ssl_bump в непрозрачном режиме, где squid/squidguard и так отлично видят/фильтруют имена сайтов https? Стоит Squid3 0.3.8 WPAD без HTTPS/SSL interception, все режет все видит, письма в yandex появляются.
-
igroykt
Попробуй прописать mail.yandex.ru в services->proxy server->cache mgmt->do not cache. Попробую сделать.
rubic
Зачем нужен ssl_bump в непрозрачном режиме, где squid/squidguard и так отлично видят/фильтруют имена сайтов https? Стоит Squid3 0.3.8 WPAD без HTTPS/SSL interception, все режет все видит, письма в yandex появляются.
Не совсем понял как будет работать https без MITM. можете скинуть скрин с настройками squid/firewall rules.
-
Спасибо большое rubic, убрал ssl interception, убрал все в custom acls, перезагрузил Pfsense. И все заработало, и письма приходят и https не нужные сайты блокируются.
Если не трудно опишите как это работает, или дайте ссылку на то где это почитать, а то я где только не смотрел везде написано, что нужно использовать MITM ssl interception для фильтрации https запросов.
-
http://www.web-cache.com/Writings/Internet-Drafts/draft-luotonen-web-proxy-tunneling-01.txt
https://en.wikipedia.org/wiki/HTTP_tunnelкогда squid работает в стандартном (непрозрачном) режиме, клиент (браузер) подключается к нему методом HTTP CONNECT и явно говорит, что он хочет получить из интернета:
CONNECT home.netscape.com:443 HTTP/1.0
User-agent: Mozilla/4.0прокси соединяется с сервером, заданным URL запроса, а потом просто передает TCP пакеты между сервером и клиентом. При этом, если речь идет о https, то прокси не видит содержимого пакетов (оно зашифровано) и не может, например, ловить в нем вирусы или фильтровать контент по ключевым словам. Но сам URL запроса прокси видит и может резать.
-
Спасибо большое rubic, теперь всё встало на свои места, просветлился. :D