Как заблокировать mime_types по https с помощью Squid?
У меня есть это правило для блокировки расширений:
acl bl_ext url_regex -i "/path_to/bl_ext.txt"
http_access deny workdays bl_ext
Пример файла содержимого "bl_ext.txt":
\.avi([a-zA-Z][0-9]*)?(\?.*)?$
\.m4a([a-zA-Z][0-9]*)?(\?.*)?$
\.m4r([a-zA-Z][0-9]*)?(\?.*)?$
\.m4v([a-zA-Z][0-9]*)?(\?.*)?$
\.mid([a-zA-Z][0-9]*)?(\?.*)?$
\.mov([a-zA-Z][0-9]*)?(\?.*)?$
\.mp3([a-zA-Z][0-9]*)?(\?.*)?$
\.mp4([a-zA-Z][0-9]*)?(\?.*)?$
\.mpeg4([a-zA-Z][0-9]*)?(\?.*)?$
\.mpeg([a-zA-Z][0-9]*)?(\?.*)?$
\.mpegps([a-zA-Z][0-9]*)?(\?.*)?$
\.mpg([a-zA-Z][0-9]*)?(\?.*)?$
#etc, etc, etc
И это правило для блокировки mime_type:
acl bl_mt rep_mime_type -i "/path_to/bl_mt.txt"
http_reply_access deny bl_mt
Пример файла содержимого "bl_mimetype.txt":
^audio/mp4$
^audio/mpeg$
^audio/wav$
^audio/.wma$
^audio/x-midi$
^audio/x-mp3$
^audio/x-mp4$
^audio/x-mpeg$
^audio/x-mpegurl$
^audio/x-ms-wma$
^audio/x-pn-realaudio$
^audio/x-pn-realaudio-plugin$
^audio/x-scpls$
^audio/x-wav$
^video/
^video/3gpp$
^video/avi$
^video/flash$
^video/flv$
^video/mp4$
^video/mpeg$
^video/mpeg4$
^video/ogg$
# etc, etc, etc
Но эти правила не работают. Согласно проведенному мной анализу, похоже, что Squid не способен блокировать расширения, когда это https зашифрованный трафик (только http)
PD: Дополнительно я пробовал с этими правилами, которые я нашел в интернете и ни одно из них не работает:
acl video rep_header Content-Type video\/.*
acl audio rep_header Content-Type audio\/.*
http_reply_access deny video
http_reply_access deny audio
и:
acl mediapr urlpath_regex \.(avi|mp4|mov|m4v|mkv|flv|mpg|mpeg|wmv|rmvb|afx|asf|swf)(\?.*)?$
acl mediaprapp url_regex dvrplayer mediastream ^mms://
http_access deny mediapr mediaprapp
# Media Streams
acl media rep_mime_type ^application/x-shockwave-flash$
acl media rep_mime_type ^video/x-ms-asf$
acl media rep_mime_type ^application/vnd.ms.wms-hdr.asfv1$
acl media rep_mime_type ^application/x-mms-framed$
acl media rep_mime_type ^audio/x-pn-realaudio$
acl media rep_mime_type ^video/
acl media rep_mime_type ^video\/
acl media rep_mime_type ^application/x-shockwave-flash
acl media rep_mime_type ^application/vnd.ms.wms-hdr.asfv1
acl media rep_mime_type ^application/x-fcs
acl media rep_mime_type ^application/x-mms-framed
acl media rep_mime_type ^video/x-ms-asf
acl media rep_mime_type ^audio/mpeg
acl media rep_mime_type ^audio/x-scpls
acl media rep_mime_type ^video/x-flv
acl media rep_mime_type ^video/mpeg4
acl media rep_mime_type ms-hdr
acl media rep_mime_type x-fcs
acl media rep_mime_type mms
acl media rep_mime_type x-ms-asf
acl media rep_mime_type video/flv
acl media rep_mime_type video/x-flv
http_reply_access deny media
Но ничего не происходит
Есть ли способ блокировать расширения mime_type файлов в Squid в режиме proxy-cache (не прозрачный - перехват), идущие по https (без использования SSL Bumping)? . спасибо
PD: Если это определенно должно быть сделано с SSL Bump, то я не могу. И мне интересно, есть ли другая альтернатива или другая программа (например, ipset, fail2ban, iptables без строковых правил, потому что они ненадежны, и т.д.)?
SSL Bump для установки фильтров на HTTPS-контент Squid
Чтобы установить ACL на HTTPS-контент, вам нужно настроить SSL Bump в Squid и импортировать созданный вами сертификат в ваш браузер и/или ОС. Firefox имеет свое собственное хранилище сертификатов. Другие браузеры могут использовать хранилища сертификатов в ОС.
Пример с моего squid-прокси, включая комментарии о том, как сгенерировать сертификат. Файл NoBump.txt должен содержать домены, которые вы не хотите использовать в качестве man-in-the-middle, например, банки, некоторые поддомены google, paypal и все остальные, использующие привязку открытого ключа.
acl NoBump dstdomain -i "/etc/squid/acl/NoBump.txt"
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
# vi /etc/pki/tls/openssl.cnf # edit v3_ca to allow cRLSign, keyCertSign
# cd /etc/squid/ssl_cert
# openssl req -new -newkey rsa:2048 -sha256 -days 365 -nodes -x509 -extensions v3_ca -keyout myCA.pem -out myCA.pem
# rsync -av /etc/squid/ssl_cert/myCA.pem /etc/pki/ca-trust/source/anchors/
# update-ca-trust
# openssl x509 -in myCA.pem -outform DER -out myCA.der
# chown squid:squid *;chmod 00400 *.pem
# Firefox -> Certs -> Authorities -> Import myCA.der
#
# You MUST first initialize the DB and chown its dir to squid:squid
# AND you MUST do this (recreate the DB) any time you change the CA certifiate.
#
# rm -Rf /var/lib/ssl_db
# /usr/lib64/squid/ssl_crtd -c -s /var/lib/ssl_db -M 96MB
# chown -R squid:squid /var/lib/ssl_db
# restorecon -F -R -v /var/lib/ssl_db
#
sslcrtd_program /usr/lib64/squid/ssl_crtd -s /var/lib/ssl_db -M 96MB
sslcrtd_children 132 startup=32 idle=32
#
http_port 192.168.1.1:3128 ssl-bump cert=/etc/squid/ssl_cert/myCA.pem generate-host-certificates=on dynamic_cert_mem_cache_size=32
MB version=1
host_verify_strict off
sslproxy_cafile /etc/ssl/certs/ca-bundle.crt
sslproxy_cert_error allow all
sslproxy_flags DONT_VERIFY_PEER
#sslproxy_options NO_SSLv2,NO_SSLv3,SINGLE_DH_USE
sslproxy_options ALL
sslproxy_session_cache_size 64 MB
ssl_bump peek step1
ssl_bump peek step2 NoBump
ssl_bump splice step3 NoBump
ssl_bump bump all
always_direct allow all
Это всего лишь пример. Лучше всего будет прочитать об этих опциях и различных методах достижения этой цели на сайте Squid'а, поскольку это будет меняться в новых версиях Squid'а и может варьироваться в зависимости от версии Squid'а, которую вы используете. Особенно обратите внимание на host_verify_strict, так как вы можете захотеть включить эту опцию в зависимости от того, к каким сайтам вы планируете обращаться через этот прокси. Вам нужно будет добавить сертификат, который вы сгенерировали из комментариев и импортировать в хранилище сертификатов вашего браузера и/или ОС.