https://opennet.dev/openforum/vsluhforumID12/7131.html Приветствую.<br><br>Hекоторое время назад перестала срабатывать блокировка по HTTPS (при прозрачном проксировании, с использованием ssl_bump). Сначала грешил на сквид (давно обновился на 3.3). После изучения логов, я увидел, что по https-запросам в строке CONNECT, вместо домена всегда висит IP, при этом, от пользователей, сидящих на Win XP и IE 8 - я продолжаю видеть запросы по домену.<br><br>=== выдержка из документации сквида ===<br>Примерный перевод:<br>Hекоторые браузеры отправляют IP-адреса в запросы на подключение, даже если пользователь ввел имя сервера (url - не ip) в адресной строке. Hичего не можем с этим поделать, т.к мы не отвечаем за исходный код браузеров.<br><br>Оригинал:<br>Some browsers (e.g., Rekonq browser v0.7.x) send IP addresses in CONNECT requests even when the user typed a host name in the address bar. Squid cannot handle both such browsers and URLs with IP addresses instead of host names because Squid cannot distinguish one case from another. There is nothing we can do about it until somebody contrib https://opennet.dev/openforum/vsluhforumID12/7131.html#5 Tue, 09 Sep 2014 00:23:45 GMT &gt; ipfw: <br>&gt; ipfw add <br><br>А.... всё ясно. <br> https://opennet.dev/openforum/vsluhforumID12/7131.html#4 Tue, 09 Sep 2014 00:19:00 GMT &gt; Раньше же работало <br><br>А ещё есть такая хрень как SPDY, NaCl,... Tor и куча свободных проксей, а ещё у юзеров есть мобилы с 4G. <br><br>Squid уже морально устарел. От него только одна польза - кэширование. <br> https://opennet.dev/openforum/vsluhforumID12/7131.html#3 Fri, 05 Sep 2014 02:47:56 GMT думаю просто в новых браузерах секурность повысили. Чтобы домены не светить.<br>HTTP ты видишь, потому что данные незашифрованные. А тут обратная ситуация<br> https://opennet.dev/openforum/vsluhforumID12/7131.html#2 Thu, 04 Sep 2014 11:52:32 GMT &gt; 0. Советую почитать теорию как работает TLS/HTTPS <br>&gt; 1. На прозрачных прокси наблюдается, потому что хост сам определяет IP сервера <br>&gt; через свой DNS, и обращается напрямую без имен. Хост не в <br>&gt; курсе, что он ходит через прокси.<br>&gt; Вам нужно либо переходить на обычный прокси (не транспарентный), либо вечно <br>&gt; резолвить свои блэклисты и подсовывать сквиду. При выборе второго варианта вы <br>&gt; заблокируете кучу ресурсов дополнительно <br><br>Понял, пасиб...<br><br>Раньше же работало :( До перехода на 3.3 всё работало и на 2.6 и на 2.7 и 3.1... всё норм было с прозрачным прокси на сквиде, перешёл на 3.3. Правда и заметил не сразу - юзера, сидящие на ХР в IE8 так и блочатся, как блочились. :(<br>Блин :(<br><br>Ну и http-то норм урлы отдаёт...<br><br>ссл в конфиге настроен:<br><br>=== squid ===<br>http_port local_ip:3128<br>http_port local_ip:3129 intercept<br>https_port local_ip:3130 intercept ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/tmp/squid.pem key=/tmp/squid.pem<br>ssl_bump none<br>=== squid ===<br><br>i https://opennet.dev/openforum/vsluhforumID12/7131.html#1 Thu, 04 Sep 2014 09:43:22 GMT 0. Советую почитать теорию как работает TLS/HTTPS<br>1. На прозрачных прокси наблюдается, потому что хост сам определяет IP сервера через свой DNS, и обращается напрямую без имен. Хост не в курсе, что он ходит через прокси.<br> Вам нужно либо переходить на обычный прокси (не транспарентный), либо вечно резолвить свои блэклисты и подсовывать сквиду. При выборе второго варианта вы заблокируете кучу ресурсов дополнительно<br>