Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Squid Proxy Whitelist für HTTPS(SSL)-Seiten

Frage Internet Server

Mitglied: Netzwerker

Netzwerker (Level 1) - Jetzt verbinden

28.04.2009, aktualisiert 29.04.2009, 15453 Aufrufe, 4 Kommentare

Bei uns im Netzwerk befindet sich ein Proxy-Server der den Zugriff auf das Internet regelt. Einige Seiten sind zum Surfen per Freigabeliste freigegeben. Leider werden HTTPS-Seiten die in der Liste stehen trotzdem nicht freigegeben. Wie kann ich das Problem lösen?

Ich habe bereits versucht eine zusätzliche Liste für HTTPS-Seiten hinzuzufügen:

acl freigegeben_https dstdomain "/etc/squid/freigegeben_https.txt"
http_access allow normalhosts freigegeben_https SSL_ports

jedoch funktioniert das so nicht.

Wenn ich die SSL_ports mit
http_access deny CONNECT SSL_ports
sind plötzlich alle Seiten erreichbar die mit https anfangen.
Das soll auch nicht möglich sein.

Hier noch ein Auszug aus der Squid.conf:

01.
 
02.
acl SSL_ports port 443 
03.
acl Safe_ports port 80		# http 
04.
acl Safe_ports port 21		# ftp 
05.
acl Safe_ports port 443		# https 
06.
acl Safe_ports port 70		# gopher 
07.
acl Safe_ports port 210		# wais 
08.
acl Safe_ports port 1025-65535	# unregistered ports 
09.
acl Safe_ports port 280		# http-mgmt 
10.
acl Safe_ports port 488		# gss-http 
11.
acl Safe_ports port 591		# filemaker 
12.
acl Safe_ports port 777		# multiling http 
13.
acl CONNECT method CONNECT 
14.
 
15.
#  TAG: http_access 
16.
#	Allowing or Denying access based on defined access lists 
17.
18.
#	Access to the HTTP port: 
19.
#	http_access allow|deny [!]aclname ... 
20.
21.
#	NOTE on default values: 
22.
23.
#	If there are no "access" lines present, the default is to deny 
24.
#	the request. 
25.
#	 
26.
#	If none of the "access" lines cause a match, the default is the 
27.
#	opposite of the last line in the list.  If the last line was 
28.
#	deny, the default is allow.  Conversely, if the last line 
29.
#	is allow, the default will be deny.  For these reasons, it is a 
30.
#	good idea to have an "deny all" or "allow all" entry at the end 
31.
#	of your access lists to avoid potential confusion. 
32.
33.
#Default: 
34.
# http_access deny all 
35.
36.
#Recommended minimum configuration: 
37.
38.
# Only allow cachemgr access from localhost 
39.
http_access allow manager localhost 
40.
http_access deny manager 
41.
# Deny requests to unknown ports 
42.
http_access deny !Safe_ports 
43.
# Deny CONNECT to other than SSL ports 
44.
http_access deny CONNECT !SSL_ports 
45.
46.
# We strongly recommend the following be uncommented to protect innocent 
47.
# web applications running on the proxy server who think the only 
48.
# one who can access services on "localhost" is a local user 
49.
#http_access deny to_localhost 
50.
51.
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS 
52.
#definition of supervisor and normal users via ip 
53.
acl supervisor src 133.133.133.2 133.133.133.3 133.133.133.4 133.133.133.6 133.133.133.8 133.133.133.30 133.133.133.33 133.133.133.36 133.133.133.37 133.133.133.42 133.133.133.48 133.133.133.91 133.133.133.92 133.133.133.95 133.133.133.106 133.133.133.113 133.133.133.128 133.133.133.131 133.133.133.132 133.133.133.134 133.133.133.138 133.133.133.139 133.133.133.140 133.133.133.141 133.133.133.143 133.133.133.144 133.133.133.145 133.133.133.146 133.133.133.147 133.133.133.148 133.133.133.149 133.133.133.155 133.133.133.156 133.133.133.157 133.133.133.161 133.133.133.162 133.133.133.163 133.133.133.164 133.133.133.166 133.133.133.167 133.133.133.168 133.133.133.169 133.133.133.172 133.133.133.182 133.133.133.187 133.133.133.188 133.133.133.197 133.133.133.198 133.133.133.200 133.133.133.202 133.133.133.205 133.133.133.207 133.133.133.208 133.133.133.209 133.133.133.210 133.133.133.211 133.133.133.212 133.133.133.214  
54.
acl normalhosts src 133.133.133.0/255.255.255.0 
55.
 
56.
acl freigegeben dstdomain "/etc/squid/freigegeben.txt" 
57.
acl freigegeben_https dstdomain "/etc/squid/freigegeben_https.txt" 
58.
 
59.
# Example rule allowing access from your local networks. 
60.
# Adapt localnet in the ACL section to list your (internal) IP networks 
61.
# from where browsing should be allowed 
62.
 
63.
 
64.
#...and the rest 
65.
acl internet dst 0.0.0.0 
66.
acl oertlich dst 195.145.119.215 194.173.175.0/255.255.255.0 
67.
acl maproute dst 212.204.97.1 
68.
 
69.
#allow all sites to use connect to us via HTTP 
70.
#http_access allow  all 
71.
 
72.
#allow supervisor to connect to whole inet 
73.
#http_access deny manager all 
74.
http_access allow supervisor all 
75.
#internet 
76.
#http_access allow lookupid internet 
77.
#allow all others to access these sites 
78.
http_access allow normalhosts freigegeben 
79.
http_access allow normalhosts oertlich 
80.
http_access allow normalhosts maproute 
81.
http_access allow normalhosts freigegeben_https CONNECT SSL_ports 
82.
 
83.
#http_access allow localnet 
84.
 
85.
# allow localhost always proxy functionality 
86.
http_access allow localhost 
87.
 
88.
# And finally deny all other access to this proxy 
89.
http_access deny all 
90.
 
91.
#  TAG: http_reply_access 
92.
#	Allow replies to client requests. This is complementary to http_access. 
93.
94.
#	http_reply_access allow|deny [!] aclname ... 
95.
96.
#	NOTE: if there are no access lines present, the default is to allow 
97.
#	all replies 
98.
99.
#	If none of the access lines cause a match the opposite of the 
100.
#	last line will apply. Thus it is good practice to end the rules 
101.
#	with an "allow all" or "deny all" entry. 
102.
103.
#Default: 
104.
# none 
105.
 
106.
#  TAG: icp_access 
107.
#	Allowing or Denying access to the ICP port based on defined 
108.
#	access lists 
109.
110.
#	icp_access  allow|deny [!]aclname ... 
111.
112.
#	See http_access for details 
113.
114.
#Default: 
115.
# icp_access deny all 
116.
117.
#Allow ICP queries from local networks only 
118.
#icp_access allow localnet 
119.
icp_access deny all 
120.
 
Mitglied: Saarbruecken
28.04.2009 um 21:42 Uhr
Hi

Schau dir mal meinen Artikel dazu an, habe selbst für die Firma einen Router mit Content Filter gebaut:
http://www.saarbruecken.co.uk/index.php?page=761
http://www.saarbruecken.co.uk/index.php?page=508
Bitte warten ..
Mitglied: Netzwerker
29.04.2009 um 10:30 Uhr
Vielen Dank für deine Antwort. Ich habe mir die Links angesehen. Leider ist dort keine Lösung für mein Problem mit HTTPS(SSL)-Seiten zu finden. Die normalhosts-User sollen nur auf die über die Whitelist freigegeben Seiten gehen können. Die supervisor-User können auf alle Seiten zugreifen. Der über Whitelists beschränkte Zugriff funktioniert auch so weit. Das Problem ist nur, dass die HTTPS-Seiten, die in den Whitelists stehen, trotzdem nicht errreichbar sind. Die supervisor-User können bereits auf alle SSL-Seiten zugreifen.
Bitte warten ..
Mitglied: Saarbruecken
29.04.2009 um 13:22 Uhr
Hi!

Kurze Frage, warum regelst du das nicht einfach mit dem IP-Bereich und machst für Leute, die keine SSL-Seiten nutzen können, den HTTPS Port dicht? Ich mein ja nur... du musst das Rad schließlich nicht neu erfinden.
Bitte warten ..
Mitglied: Netzwerker
04.05.2009 um 10:01 Uhr
Vielen Dank für deine schnelle Antwort. Ich habe den Fehler gefunden. In der Whitelist stand vor den HTTPS-Seiten noch >https://< (ich doof). Das hat der SQUID nicht akzeptiert und die Adresse ignoriert. Zu deinem Einwand: HTTPS soll grundsätzlich für alle funtkionieren. Die meisten User jedoch sollen nur auf ausgewählte (geschäftliche) Seiten zugreifen können.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(1)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Firewall
gelöst PFSense Squid Proxy über OpenVpn Verbindung nutzen (4)

Frage von horstvogel zum Thema Firewall ...

Monitoring
Squid als Proxy OK als GW NOK (3)

Frage von vikozo zum Thema Monitoring ...

Informationsdienste
gelöst HTTPS Seiten ohne Porteingabe öffnen (4)

Frage von maddig zum Thema Informationsdienste ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...