Автор Тема: SQUID c прозрачным режимом без подмены сертификата c поддержкой SSL  (Прочитано 4960 раз)

Оффлайн olegspec1982

  • Начинающий
  • *
  • Сообщений: 1
    • Email
Добрый день уважаемые форумчане! Решил может кто захочет поделиться опытом . Буду благодарен. Админом по ситеме  Unix  я стал сравнительно недавно , но уже много что успел сделать по серверам.
Установил  SQUID c прозрачным режимом без подмены сертификата c поддержкой  SSL. Затем настроил  SQUIDGUARD  чтобы блокировал ресурсы от БД Роском, ПОрно, Наркотики и выдавал страницу блокировки.   Всё выполняется, но проблема  у меня сейчас следующая:  примерно раз в 3 дня а может чаще зависает процесс  Squidguard и грузит процессор почти до 99%  при этом ничего не делая . Решается просто убиваем процесс  kill   и запускаем заново  squid  можно даже не перезапуском restart  а reload . В момент когда процесс висит некоторые файлы не грузятся .  Конфигурация SQUID следующая  :
acl SSL_ports port 443
acl Safe_ports port 80-82<-----><------># http
acl Safe_ports port 21<><------># ftp
acl Safe_ports port 443><------># https
acl Safe_ports port 70<><------># gopher
acl Safe_ports port 210><------># wais
acl Safe_ports port 1025-65535<># unregistered ports
acl Safe_ports port 280><------># http-mgmt
acl Safe_ports port 488><------># gss-http
acl Safe_ports port 591><------># filemaker
acl Safe_ports port 777><------># multiling http
acl CONNECT method CONNECT

#доступ к интернету только из списка.
acl kgau-all src "/etc/squid/acl/kgau-all"

# блокируем сайты вручную
#acl blocked_sites_http dstdomain "/etc/squid/acl/blocked-sites.txt"
#acl blocked_sites ssl::server_name "/etc/squid/acl/blocked-sites.txt"

dns_nameservers  192.168.22.3

http_access deny !Safe_ports

http_access deny CONNECT !SSL_ports

http_access allow localhost manager
http_access deny manager

# блокируем сайты вручную

#http_access deny blocked_sites
#http_access deny blocked_sites_http

#применяем правила.

#всем кто в списке разрешить

http_access allow kgau-all

#остальным  запретить

http_access deny all

#http_access allow localhost

#переходим на страницу блокировки

deny_info http://www.kgau.ru/zapret_loc.html blocked_sites

#запускаем программу  SQUIDGUARG

redirect_program /usr/bin/squidGuard

# max кол-во копий программы
redirect_children 20

redirector_bypass on

#тайм-аут после чего соединения будут закрыты

shutdown_lifetime 5 seconds


#прозрачный порт указывается опцией intercept
http_port 192.168.101.226:3130 intercept options=NO_SSLv3:NO_SSLv2

#также нужно указать непрозрачный порт, ибо если захотите вручную указать адрес
#прокси в браузере, указав прозрачный порт, вы получите ошибку доступа, поэтому нужно
#указывать непрозрачный порт в браузере, если конечно такое желание будет, к тому же в логах #сыпятся ошибки о том, что непрохрачный порт не указан=).
http_port 192.168.101.226:3128 options=NO_SSLv3:NO_SSLv2

#и наконец, указываем HTTPS порт с нужными опциями
https_port 192.168.101.226:3129 intercept ssl-bump options=ALL:NO_SSLv3:NO_SSLv2 connection-auth=off cert=/etc/squid/squidCA.pem
always_direct allow all
sslproxy_cert_error allow all

#Принять сертификаты, которые не прошли проверку.

sslproxy_flags DONT_VERIFY_PEER

#укажем правило со списком блокируемых ресурсов (в файле домены вида .domain.com)
#acl blocked ssl::server_name "/etc/squid/acl/blocked-sites.txt"
acl step1 at_step SslBump1
ssl_bump peek step1

#терминируем соединение, если клиент заходит на запрещенный ресурс
#ssl_bump terminate blocked
ssl_bump splice all

# Не использовать IPv6, если доступен IPv4-адрес
dns_v4_first on
#создание сертификата по подмене пока не используем
#sslcrtd_program /usr/lib/squid/ssl_crtd -s /var/lib/ssl_db -M 4MB

coredump_dir /var/spool/squid
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern .               0       20%     4320

#отвечает за хранение закешированных объектов в оперативке
cache_mem 1068 MB

cache_dir ufs /var/spool/squid 1024 16 256

#(процесс удаления старых объектов заканчивается, если достигнут данный уровень)
cache_swap_low 90
#(при достижении данного уровня заполнения кеша - в процентах - начинается ускоренный процесс удаления старых объектов;
# для большого кеша эти границы надо поднять, 5% от 8 GB - это 400 MB!)
cache_swap_high 95

maximum_object_size_in_memory 512 KB

#устанавливают ограничения на размер передаваемых объектов
maximum_object_size 4096 KB
minimum_object_size 25 KB

#освободить не используемую память
memory_pools off

memory_replacement_policy lru
#кол-во ротаций логов  Squid
logfile_rotate 14

Если нужны другие логи выложу . И еще у меня вопрос squid в логах не выдаёт полностью запрос по пути пользователя и только доменное имя . Прочитал что сделать ничего нельзя только с подменой сертификата чтобы разобрать SSH  соединение надо либо подставить сертификат в домен , либо подменить его. /Правильно я понимаю ?  Спасибо за помощь !;-)

Оффлайн YYY

  • Мастер
  • ***
  • Сообщений: 5 784
Цитата: olegspec
Установил  SQUID c прозрачным режимом без подмены сертификата c поддержкой  SSL.
Из исходников?

Цитата: olegspec
примерно раз в 3 дня а может чаще зависает процесс  Squidguard
вообще без логов по одному конфигу точно ничего не понять :)
На время можно костыль сделать чтоб ночью процесс ресталтился - чтоб не в рабочее время...

Цитата: olegspec
И еще у меня вопрос squid в логах не выдаёт полностью запрос по пути пользователя и только доменное имя . Прочитал что сделать ничего нельзя только с подменой сертификата чтобы разобрать SSH  соединение надо либо подставить сертификат в домен , либо подменить его. /Правильно я понимаю ?  Спасибо за помощь !;-)
Таки да.
Вон ростелеком не парится - хочешь в интернет - ставь их сертификат... Но это унылое решение.
А чем только домен не устраивает?
Можно еще в сквиде как DNS попробовать вписать яндекс-семейный-dns или skydns - будет по их базам резаться...

Оффлайн rits

  • Завсегдатай
  • *
  • Сообщений: 824
  • ITS
покажи squid -v работающего с этим конфигом?

Оффлайн rits

  • Завсегдатай
  • *
  • Сообщений: 824
  • ITS
покажи squid -v работающего с этим конфигом?

отвечу сам, у тебя squid.conf под третью версию сквида из репозитория p8 (или самосборный) с параметрами '--with-openssl' и '--enable-ssl-crtd'.
Данный конф на 4 сквиде работать не будет.

Оффлайн rits

  • Завсегдатай
  • *
  • Сообщений: 824
  • ITS
Ранее сквидом не пользовался, вот решил попробовать. Доработал вышеприведенный конфиг. Пока еще сам толком не совсем понимаю принцип работы параметров конфига, читать надо много.
Предлагаю опробовать и провести тюнинг с советами и рекомендациями ниже.

# Установить SQUID
apt-get install squid squid-helpers

# Cмотрим версию squid c собранными параметрами
squid -v | grep ssl  # для работы с ssl должны быт включены параметры '--with-openssl' и '--enable-ssl-crtd'

# Переходим в папку squid и генерируем сертификат
cd /etc/squid/
openssl req -new -newkey rsa:1024 -days 365 -nodes -x509 -keyout squidCA.pem -out squidCA.pem
chmod +r /etc/squid/squidCA.pem


# Инициализация БД в консоли:

# Для SQUID4
/usr/lib/squid/security_file_certgen -c -s /var/spool/squid/ssl_db -M 4MB

# Вставить свои настройки в /etc/squid/squid.conf
########## START squid.conf ######
acl SSL_ports port 443
acl Safe_ports port 80-82 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

#доступ к интернету только из списка.
acl ip-all src 192.168.8.3-192.168.8.254

# списки доступа, фильтровать защищенные соединения мы можем только по имени домена,
# никакие параметры URL учитываться не будут. Для того, чтобы заблокировать домен
# часто используют следующее выражение vk\.com, ^([A-Za-z0-9.-]*\.)?vk\.com:

# Зададим черный список для http:
acl httpssoclist dstdom_regex -i "/etc/squid/acls/httpssoc.acl"
acl blocked_sites_http dstdomain "/etc/squid/acls/stopWWW"

# Зададим черный список для SSL https:
acl httpssoclists ssl::server_name_regex -i "/etc/squid/acls/httpssoc.acl"
acl blocked_sites ssl::server_name "/etc/squid/acls/stopWWW"

# укажем DNS-сервер, который следует использовать squid,
# он должен обязательно совпадать с DNS-сервером, используемым клиентами
dns_nameservers  8.8.8.8

# этот блок является стандартным, просто контролируем его наличие,
# встроенный кеш-менеджер squid - manager:
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager

# блокируем сайты вручную
http_access deny httpssoclist httpssoclists
http_access deny blocked_sites
http_access deny blocked_sites_http

# всем кто в списке разрешить
http_access allow ip-all
#http_access allow localhost

# остальным  запретить
http_access deny all


# переходим на страницу блокировки
#deny_info http://www.examle.ru/zapret_loc.html blocked_sites

shutdown_lifetime 5 seconds


# прозрачный порт указывается опцией intercept
http_port 192.168.8.2:3128 intercept

# также нужно указать непрозрачный порт, ибо если захотите вручную указать адрес
# прокси в браузере, указав прозрачный порт, вы получите ошибку доступа, поэтому нужно
# указывать непрозрачный порт в браузере, если конечно такое желание будет.
http_port 192.168.8.2:8081

# и наконец, указываем HTTPS порт с нужными опциями
https_port 192.168.8.2:3129 intercept ssl-bump options=ALL:NO_SSLv3:NO_SSLv2 connection-auth=off cert=/etc/squid/squidCA.pem
#https_port 192.168.8.2:3129 intercept ssl-bump connection-auth=off cert=/etc/squid/squidCA.pem

# Первая опция указывает направлять весь трафик сразу в интернет, без использования вышестоящих кешей,
# а вторая разрешают соединение даже с ошибками проверки сертификата
always_direct allow all
sslproxy_cert_error allow all

# Следующий элемент указывает на глубину перехвата HTTPS-трафика,
# нам нужен только домен, поэтому ограничимся минимальным вмешательством:
acl step1 at_step SslBump1

# Действие peek "заглядывает" в соединение на указанную нами глубину,
# terminate блокирует соединения по совпадению условий (черный список + офисный диапазон адресов)
# и наконец splice разрешает все остальные соединения, не вмешиваясь в них.
ssl_bump peek step1
ssl_bump terminate blocked_sites httpssoclist httpssoclists
ssl_bump splice all

# Не использовать IPv6, если доступен IPv4-адрес
dns_v4_first on

# создание сертификата по подмене
sslcrtd_program /usr/lib/squid/security_file_certgen -s /var/spool/squid/ssl_db -M 4MB

coredump_dir /var/spool/squid
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern .               0       20%     4320

visible_hostname = "ae-proxy.gp.ae"

#отвечает за хранение закешированных объектов в оперативке
cache_mem 1068 MB
cache_dir ufs /var/spool/squid 1024 16 256

#(процесс удаления старых объектов заканчивается, если достигнут данный уровень)
cache_swap_low 90
#(при достижении данного уровня заполнения кеша - в процентах - начинается ускоренный процесс удаления старых объектов;
# для большого кеша эти границы надо поднять, 5% от 8 GB - это 400 MB!)
cache_swap_high 95

#maximum_object_size_in_memory 512 KB

#устанавливают ограничения на размер передаваемых объектов
#maximum_object_size 4096 KB
#minimum_object_size 25 KB

#освободить не используемую память
memory_pools off

memory_replacement_policy lru
#кол-во ротаций логов  Squid
logfile_rotate 14

########## END squid.conf ###########

# Содержимое файлов stopWWW httpssoc.acl в каталоге /etc/squid/acls
mkdir -p /etc/squid/acls
touch stopWWW httpssoc.acl
chown -R root:squid /etc/squid/acls
chmod -R 755 /etc/squid/acls
chmod -x /etc/squid/acls/*


head stopWWW
vk.com
ok.ru
games.ru
kvasdrink

cat httpssoc.acl
# Глупые HTTPS развлечения #
(^|\.)vk\.com$
(^|\.)ok\.ru$
(^|\.)facebook\.com$
(^|\.)youtube\.com$
(^|\.)yaplakal\.com$
(^|\.)yapfiles\.ru$
(^|\.)fishki\.net$
(^|\.)vasi\.net$
(^|\.)pikabu\.ru$
(^|\.)joyreactor\.cc$
(^|\.)sasisa\.ru$
(^|\.)zaycev\.net$

# Конфиг без комментариев (просмотр)
sed -e '/^#/d' -e '/^$/d' squid.conf

### Некоторые команды управления
# Вот теперь можем проверить конфигурацию:
service squid start
squid -k check


# Остановим прокси, перестроим кеш (так как мы изменили его параметры) и запустим заново:
service squid stop
squid -z
service squid start


# Проверяем конфигурацию
squid -k parse
service squid start && service squid status

# Применяем конфигурацию смотрим возможные ошибки и исправляем
squid -k reconfigure

# Для работы в прозрачном режиме, без указания порта в браузере, необходимо настроить iptables
touch /etc/rc.d/rc.firewall
echo "#/bin/bash" > /etc/rc.d/rc.firewall
chmod +x /etc/rc.d/rc.firewall
nano -b /etc/rc.d/rc.firewall


# Вставить в файл rc.firewall скрипт:
# Файл /etc/rc.d/rc.firewall изначально отсутствует, но если его создать, он будет вызываться из /etc/rc.d/rc.sysinit

##################################

# Локальная подсеть
LAN_RANGE="192.168.8.0/24"
# Сетевая карта шлюз смотрящая в локальную сеть
LAN="ether0"
# Правила для таблицы nat, для перенаправления портов 80 > 3128, 443 > 3129
iptables -t nat -A PREROUTING -i $LAN -s $LAN_RANGE -p tcp -m multiport --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -i $LAN -s $LAN_RANGE -p tcp -m multiport --dport 443 -j REDIRECT --to-port 3129

##################################
# Смотрим изменения
iptables -t nat -n -v -L --line-numbers
iptables -n -v -L --line-numbers

# Удаление правил
iptables -t nat -D PREROUTING 1
« Последнее редактирование: 21.03.2021 22:23:42 от rabochyITs »

Оффлайн rits

  • Завсегдатай
  • *
  • Сообщений: 824
  • ITS
Вылезла новая проблема, ошибки и иногда, отказ подключения клиентов 1С по http к серверам 1С через squid в прозрачном режиме. Перелопатил кучу разных настроек и выяснилось, что проблема работы с кешем. Возможно, а по сути, неправильно работать с базами через посторонние кеши.   Два дня теста, пока показали стабильную работу.
Ошибки на версиях 3.5.28 и 4.13 одинаковые. Переделал конфигфайл:
# nano -b /etc/squid/squid.conf

########## START squid.conf v. 4.13 ######
acl SSL_ports port 443
acl Safe_ports port 80-82 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

# доступ к интернету только из списка.
acl ip-all src 192.168.8.13-192.168.8.254
acl ip-adm src 192.168.8.75 192.168.8.50 192.168.8.3-192.168.8.12
# блокируем сайты вручную
acl httpssoclist dstdom_regex -i "/etc/squid/acls/httpssoc.acl"
acl httpssoclists ssl::server_name_regex -i "/etc/squid/acls/httpssoc.acl"

dns_nameservers  192.168.8.1
#dns_nameservers 127.0.0.1

acl intermediate_fetching transaction_initiator certificate-fetching
http_access allow intermediate_fetching

http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager

# применяем правила
http_access allow ip-adm
http_access deny httpssoclist httpssoclists
http_access allow ip-all
http_access deny all

# время выделенное для закрытия соединений перед остановкой сервиса
shutdown_lifetime 5 seconds

# прозрачный порт указывается опцией intercept
http_port 192.168.8.1:3128 intercept

# указываем HTTPS порт с нужными опциями
https_port 192.168.8.1:3129 intercept ssl-bump options=ALL:NO_SSLv3 cert=/etc/squid/squidCA.pem

# указать непрозрачный порт для браузера
http_port 192.168.8.1:8081

always_direct allow all
sslproxy_cert_error allow all

# стандартный блок разбора ssl соединений
acl step1 at_step SslBump1
ssl_bump peek step1
# блокируем соединение, если клиент заходит на запрещенный ресурс в списках файлов
ssl_bump terminate httpssoclist httpssoclists
ssl_bump splice all

# Не использовать IPv6, если доступен IPv4-адрес
dns_v4_first on

# создание сертификата по подмене squid 4
sslcrtd_program /usr/lib/squid/security_file_certgen -s /var/spool/squid/ssl_db -M 4MB
# создание сертификата по подмене squid 3
#sslcrtd_program /usr/lib/squid/ssl_crtd -s /var/spool/squid/ssl_db -M 4MB

coredump_dir /var/spool/squid
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern .               0       20%     4320

visible_hostname = "ae-proxy.gp.ae"

# отключить кеш, при работе с 1С через http, вылетают ошибки с использованием кеширования
cache deny all

#кол-во ротаций логов  Squid
logfile_rotate 14

########## END squid.conf ###########

# nano -b /etc/squid/acls/httpssoc.acl
(^|\.)vk\.com$
(^|\.)ok\.ru$
(^|\.)facebook\.com$
(^|\.)youtube\.com$
(^|\.).*youtube.*\.com
(^|\.)yaplakal\.com$

Оффлайн rits

  • Завсегдатай
  • *
  • Сообщений: 824
  • ITS
# просмотр лога с человеческой датой
cat /var/log/squid/access.log | awk '{"date -d @"$1|getline dt;$1=dt}1'
# просмотр логов онлайн
watch tail -n15 /var/log/squid/access.logwatch 'tail -n15 /var/log/squid/access.log | awk '"'"'{"date -d @"$1|getline dt;$1=dt}1'"'"''cat /var/log/squid/access.log  | grep -i denied | awk '{"date -d @"$1|getline dt;$1=dt}1'

Оффлайн mayhl

  • Завсегдатай
  • *
  • Сообщений: 556
    • softmasterhl.awardspace.info
    • Email
Добрая работа, уважаемые... (изрядно сам этим морочился...) https://forum.altlinux.org/index.php?topic=41669.msg342652#msg342652
Тема очень нужная. Как бы на на вики это...

Ещё у меня в комп.классе:
1. Семейный яндекс ДНС 77.88.8.7 77.88.8.3

2. в конфиге:
2.1. http_port 127.0.0.1:3128 чтобы из сети только по 8081 https://dansguardian.ucoz.ru/faq
2.2. сквид переводит поисковые запросы на "безопасный поиск" http://poisk.skydns.ru [2 прокур проверки пройдены благодаря переадресации... ] https://forum.altlinux.org/index.php?topic=35788.0
Спойлер
acl search_engines dstdomain ya.ru
acl search_engines dstdomain yandex.ru
acl search_engines dstdomain yandex.ua
acl search_engines dstdomain yandex.fr
acl search_engines dstdomain rambler.ru
acl search_engines dstdomain yahoo.com
acl search_engines dstdomain meta.ru
acl search_engines dstdomain meta.ua
acl search_engines dstdomain bing.com
acl search_engines dstdomain www.bing.com
acl search_engines dstdomain go.mail.ru
acl search_engines dstdomain mail.ru
acl search_engines dstdomain searchengines.ru
acl search_engines dstdomain searchengines.guru
acl search_engines dstdomain filesearch.ru
acl search_engines dstdomain ask.com
acl search_engines dstdomain ozon.ru
acl search_engines dstdomain softportal.com
acl search_engines dstdomain google.com
acl search_engines dstdomain google.ru
acl search_engines dstdomain google.com.ua
acl search_engines dstdomain www.google.com
acl search_engines dstdomain www.google.ru
acl search_engines dstdomain www.google.com.ua
acl search_engines dstdomain translate.google.ru
acl search_engines dstdomain translate.google.com.ua
acl search_engines dstdomain translate.ru
acl search_engines dstdomain translate.meta.ua
acl search_engines dstdomain translate.yandex.ru
acl search_engines dstdomain translate.yandex.ua
acl search_engines dstdomain ru.wikipedia.org
acl search_engines dstdomain en.wikipedia.org
acl search_engines dstdomain www.wikipedia.org
acl search_engines dstdomain duckduckgo.com
acl search_engines dstdomain www.baidu.com
acl search_engines dstdomain wiki2.org
acl search_engines dstdomain ok.ru
acl search_engines dstdomain vk.com
acl search_engines dstdomain youtube.com
acl search_engines dstdomain www.youtube.com
acl search_engines dstdomain rutube.com
acl search_engines dstdomain www.rutube.com

http_access deny search_engines
deny_info http://poisk.skydns.ru search_engines
2.3. блокировка мультимедиа потоков
Спойлер
acl youtube rep_mime_type -i ^audio/mp4$
acl youtube rep_mime_type -i ^video/mp4$
acl youtube rep_mime_type -i ^video/x-f4f$
acl youtube rep_mime_type -i ^video/x-flv$
acl youtube rep_mime_type -i ^audio/mpeg$
acl youtube rep_mime_type -i ^audio$
acl youtube rep_mime_type -i ^mpeg$
http_reply_access deny youtube all
3. подключен "Реестр безопасных образовательных сайтов" 2019г. для ОУ с сайта https://web.archive.org/web/20200115011614/http://www.единыйурок.рф/index.php/proekty/metod  (ссылки сейчас на орг.метод.рекомендации, списки... = убраны) https://www.единыйурок.рф/images/rbos/bel-spisok062019.txt с исправлением ~1000 опечаток (пробелов, недопустимых символов, комментариев и т.п.)...
« Последнее редактирование: 25.01.2022 21:33:01 от mayhl »

Оффлайн Skull

  • Глобальный модератор
  • *****
  • Сообщений: 19 237
    • Домашняя страница
    • Email
Добрая работа, уважаемые... (изрядно сам этим морочился...)
Тема очень нужная. Как бы на на вики это...

Ещё у меня в комп.классе:
1. Семейный яндекс ДНС 77.88.8.7 77.88.8.3

2. в конфиге:
2.1. http_port 127.0.0.1:3128 чтобы из сети только по 8081 https://dansguardian.ucoz.ru/faq
2.2. сквид переводит поисковые запросы на "безопасный поиск" http://poisk.skydns.ru [2 прокур проверки пройдены благодаря переадресации... ] https://forum.altlinux.org/index.php?topic=35788.0
Спойлер
acl search_engines dstdomain ya.ru
acl search_engines dstdomain yandex.ru
acl search_engines dstdomain yandex.ua
acl search_engines dstdomain yandex.fr
acl search_engines dstdomain rambler.ru
acl search_engines dstdomain yahoo.com
acl search_engines dstdomain meta.ru
acl search_engines dstdomain meta.ua
acl search_engines dstdomain bing.com
acl search_engines dstdomain www.bing.com
acl search_engines dstdomain go.mail.ru
acl search_engines dstdomain mail.ru
acl search_engines dstdomain searchengines.ru
acl search_engines dstdomain searchengines.guru
acl search_engines dstdomain filesearch.ru
acl search_engines dstdomain ask.com
acl search_engines dstdomain ozon.ru
acl search_engines dstdomain softportal.com
acl search_engines dstdomain google.com
acl search_engines dstdomain google.ru
acl search_engines dstdomain google.com.ua
acl search_engines dstdomain www.google.com
acl search_engines dstdomain www.google.ru
acl search_engines dstdomain www.google.com.ua
acl search_engines dstdomain translate.google.ru
acl search_engines dstdomain translate.google.com.ua
acl search_engines dstdomain translate.ru
acl search_engines dstdomain translate.meta.ua
acl search_engines dstdomain translate.yandex.ru
acl search_engines dstdomain translate.yandex.ua
acl search_engines dstdomain ru.wikipedia.org
acl search_engines dstdomain en.wikipedia.org
acl search_engines dstdomain www.wikipedia.org
acl search_engines dstdomain duckduckgo.com
acl search_engines dstdomain www.baidu.com
acl search_engines dstdomain wiki2.org
acl search_engines dstdomain ok.ru
acl search_engines dstdomain vk.com
acl search_engines dstdomain youtube.com
acl search_engines dstdomain www.youtube.com
acl search_engines dstdomain rutube.com
acl search_engines dstdomain www.rutube.com

http_access deny search_engines
deny_info http://poisk.skydns.ru search_engines
2.3. блокировка мультимедиа потоков
Спойлер
acl youtube rep_mime_type -i ^audio/mp4$
acl youtube rep_mime_type -i ^video/mp4$
acl youtube rep_mime_type -i ^video/x-f4f$
acl youtube rep_mime_type -i ^video/x-flv$
acl youtube rep_mime_type -i ^audio/mpeg$
acl youtube rep_mime_type -i ^audio$
acl youtube rep_mime_type -i ^mpeg$
http_reply_access deny youtube all
3. подключен "список безопасных сайтов для ОУ" 2019г. с сайта единыйурок.рф (ссылки сейчас на метод.рекомендации, списки... = убраны)
xn—d1abkefqip0a2f.xn—p1ai/images/rbos/bel-spisok062019.txt с исправлением ~1000 опечаток (пробелов, недопустимых символов, комментариев и т.п.)...
Не хотите сами написать на altlinux.org?
Андрей Черепанов (cas@)

Оффлайн mayhl

  • Завсегдатай
  • *
  • Сообщений: 556
    • softmasterhl.awardspace.info
    • Email
Не хотите сами написать на altlinux.org?
Хотеть, то хочу, но есть и предшествующие авторы (и более "продвинутые").
У меня ещё не всё отлажено ( из внешней сети требуется по желанию подключение к прокси+СКФ, битва c iptable, проверка работы dansguardian, идентифицирующие сообщения-сайты-мессаджи...) (переводил по конфигам с p7 Школьного разных вариантов обновления на Образование 9 = не всё вычищено).
« Последнее редактирование: 25.01.2022 21:06:34 от mayhl »

Оффлайн yaleks

  • Мастер
  • ***
  • Сообщений: 6 140
Не хотите сами написать на altlinux.org?
а смысл? через пару месяцев все школы отключат от интернета, а в ЕСПД и так блокировок хватит с избытком  :-t

Оффлайн NickM

  • Завсегдатай
  • *
  • Сообщений: 657
а смысл?

Шейпить канал, собирать статистику?

Оффлайн yaleks

  • Мастер
  • ***
  • Сообщений: 6 140
а смысл?

Шейпить канал, собирать статистику?
там по ТЗ статистика и так будет вплоть до ФИО.

Оффлайн YYY

  • Мастер
  • ***
  • Сообщений: 5 784
там по ТЗ статистика и так будет вплоть до ФИО.

это про wi-fi через госуслуги ? :)

Оффлайн fce

  • Завсегдатай
  • *
  • Сообщений: 249
  • ALT Linux, XBMC live, Ubuntu, Kubuntu, Android
    • Dansguardian+
    • Email
Всем привет.
В поиске гугла  как-то резануло глаза упоминание бывшего моего сайта.

В общем, если для школ настраиваете фильтрацию, то полная печаль ждет впереди.
У нас отказ от ЕСПД написан, но все-таки видимо додавят. Министру образования региона на проблемы школ глубоко фиолетово.
Зам.министра с вебинара с Ростелекомом свалила в первые 4 минуты. Выступающих в трансляции было практически не слышно.
Как выразился представитель технической поддержки Ростелекома - сеть построенная с одними роутерами - это сеть на костылях, и из-за костылей в школах они не могут завершить подключение школ к ЕСПД.

Тут кратенько проблемы ЕСПД
я разделил проблемы по двум большим группам:
1.Реализация.

Доступ только через прокси.
Это частая ошибка настройки, поскольку прокси-сервер не предоставляет обработку многих протоколов,  и при текущей настройке не предоставляет многие возможности, такие как регулировка скорости, управление доступом по логину/паролю, адресам или данным аутентификации в домене.
Отсутствие прозрачного проксирования
Прозрачный режим — это автоматическое перенаправление трафика протоколов HTTP/S на порт прокси. Настройка прокси-сервера в прозрачный режим могла бы сэкономить кучу времени специалистам настраивающим ЕСПД.
Неработоспособность QoS, прочие проблемы.
Увы, прокси не в состоянии задать приоритет трафику, а  регулирование скорости (которого нет) посредством пулов вместе с контент-фильтрацией приводит к интересным проблемам в работе сервисов и сайтов, например, к зависанию форм и не оправке данных формы.
Также есть проблема с настройкой иерархии прокси-серверов, когда прокси-сервер ЕСПД выступает в роли «parent proxy»
Проблемы перенастройки
Так как прокси и шлюз прописывается вручную, то это вызывает проблемы у сотрудников использующих личные средства коммуникации в рабочих целях при переключении сетей (рабочая/домашняя)
Шлюз и маршрутизация
Отсутствие работающей маршрутизации иного трафика
Как было сказано ранее, нет маршрутизации иного трафика.
Это означает, что многие программы и устройства теряют свой функционал и  работоспособность. Например, не работает обновление роутеров, нет доступа к роутерам, не работают сервисы на самих роутерах, нет доступа к умным устройствам. Также не работают многие голосовые программы и программы критичные к сетевым задержкам, такие как Skype и прочие.
Недостаточность и ненужность выделенных адресов
На один узел подключения выделяется 60-70 адресов, но по факту компьютеров используется гораздо больше и использование адресов выделяемых ЕСПД как основных для локальной сети абсолютно неприемлемо из-за возможности доступа посторонних к локальным ресурсам.
Отсутствие маршрутов между узлами сети
Хоть сеть и называется единой, такого функционала на данный момент не предусмотрено, а в распоряжении нашей школы два подключения ЕСПД, а моста и прописанных маршрутов между ними нет, как нет и возможности белого IP, что делает создание туннеля для связи сетей невозможным.
Отсутствие возможности подключить белый IP
Многие интернет-компании покидают российский рынок, в связи с этим могут начаться проблемы с хостингом сайтов, в связи с чем многие школы могли бы на своей базе поднять свой сайт и иметь полный контроль и управление веб-сервером без ограничения места и применяемых технологий, с учетом того что школьные сайты не самые посещаемые ресурсы, то вполне рабочий и адекватный вариант. Также при необходимостиможно  поднять свое облако и среды обучения позволяющие школе работать без проблем на дистанционном обучении. Статический адрес у ЕСПД недоступен, что делает не возможным простое подключение с использование открытого софта  к своим ресурсам для управления и адресной удаленной помощи.
Ограничение трафика.
Заявлены ограничения трафика, интересно на каком уровне планировалось. Хотя как показывает практика, трафик основного задания не превышает 300Гб/месяц, это такие сущие копейки, дома за месяц трафика больше уходит.

Фильтрация
Отсутствие управления фильтрами

Это очень серьезная проблема, поскольку при обнаружении недопустимых ресурсов, нет возможности оперативно включить ограничение доступа. Так же и для обратной ситуации при ложной блокировке нет возможности разблокировать необходимый ресурс. К тому же количество профилей фильтрации очень мало — на данный момент всего два — административный (без всякой фильтрации) и фильтр с вскрытием трафика посредством MITM-атаки.
Отсутствие просмотра статистических данных
Невозможно просмотреть данные по блокировкам, объему данных, скорости и т. д. И даже при предоставлении подобной возможности, данные будут некорректны из-за подключения локальной сети через NAT роутеров.
Недоработки фильтра.
Увы, но даже с вскрытием защищенного трафика MITM-атакой, все равно есть возможность получить доступ к закрытым сайтам и ресурсам. По конкретной реализации подсказывать я не буду, пусть работают соответствующие специалисты, но за долгое время пока администрировал собственную систему фильтрации на основе СПО (Linux, Squid, Dansguardian, OpenSSL) я уже насмотрелся на очень извращенные способы обхода фильтров.
Mitm-ataka
Как же все хотят залезть в защищенный трафик, но одно дело когда подобное делается на своем местном сервере с полностью отключенными журналами и с сервером стоящем в недоступном месте и другое дело — когда сервер где-то и непонятно с каким доступом и с кого потом спрашивать за уплывшие пароли.
Нет возможности использовать DNS-фильтрацию на административных машинах.
И прописать хотя бы ЯндексДНС на роутере не представляется возможным, так как доменные имена резолвятся на прокси, а роутер упорно твердит, что сервис DNS не доступен, так как не работает через прокси.
Ширина канала.
В фиксированных цифрах выглядит замечательно, а по факту в одном здании 100 компьютеров на 50 мбит/с, а в другом 4 компьютера на 50 мбит/с. Понятно, что с учетом фильтрации интернет будет гораздо быстрее в сети с 4 компьютерами.
А в здании с  100 компьютерами превратится в улитку, поскольку встроенные средства QoS в роутер просто не работают в совокупности с ЕСПД, хотя до этого интернет стабильно работал на 30мбит/с.
На коммерческом соединении школа может выбирать провайдера по качеству предоставления услуги, скорость по тарифу, дополнительные опции.  Не в обиду сказано, но Ростелеком хоть и крупный провайдер, но по качеству далеко не первый, к тому же поддержка превратилась в эшелонированную оборону голосовых ботов, через которую невозможно прорваться в разумное время, чтобы оставить заявку на ремонт.

2.Поддержка.
Информационная поддержка.

Отсутствие необходимой документации и информации на местах.
Да, как ни странно, никто не озаботился предоставить полный пакет информации школам.
Нет технической информации о настройке, о правовых аспектах.
Техническая поддержка
Очень медлительная и некомпетентная техподдержка, отсылающая в Министерство Образования, Минцифры и т.д. Отсутствует передача информации о нерешаемых проблемах с первых уровней техподдержки выше до ответственных лиц в министерствах и ведомствах.
При первом подключении ЕСПД шлюз работал как положено, роутеры были доступны через Интернет, Skype и остальные приложения в сети работали.
Я задал вопрос (запись телефонного разговора у меня есть)  в техподдержке, можно ли использовать чисто шлюз без прокси-сервера для административных машин и пустить трафик от остальных на прокси, меня заверили что да, все будет работать и проблем не будет. Какое было удивление, когда в понедельник от Интернет в школе и следа не осталось, так как весь трафик был перенастроен уже на прокси-сервер. Пришлось вернуться к старому подключению.
Раз компания предоставляет некачественную услугу, а я говорю сейчас о неработающих роутерах, обновлениях, программах, то должна в рамках техподдержки сделать все, чтобы у нас не было этих проблем.
За эталон я беру обычное коммерческое подключение к Интернет. Я просто подсоединил роутер, настроил и все работает.
Увы, в ЕСПД это не работает, множество функций не работает.
Например, в административном сегменте трафик не фильтруется, а так как он идет через прокси, то вариант фильтрации средствами роутера вообще отпадает, как и средствами ОС, к тому же не работает удаленное управление, не работают обновления.
Звоню в  техподдержку, прошу открыть доступ для административного сегмента через шлюз,а дальше начинается…
Открытый доступ мы вам не дадим, не положено, хотя в контракте п.5.9 написано обеспечить доступ административного сегмента без контент-фильтрации, а фильтрация по портам — одна из частей контент-фильтрации. Вот это поворот…
Далее мы вам можем открыть определенные порты на определенные адреса, но вы должны нам их дать.
И все бы хорошо, но вопрос где взять эту информацию, если производитель оборудования/ПО ушел с рынка и/или не оказывает техподдержку, и почему школа должна заниматься  реверс-инженирингом протоколов обмена, если на коммерческом подключении все работает как надо, в техподдержке тоже остался без ответа. Школа только должна сообщить в техподдержку модель и марку устройства или название и версию ПО, а дальше пусть техподдержка занимается делом, а  не перекладывает это на плечи школы.


Итоги.
Все вышесказанное  и вызвало наш отказ от подключения к ЕСПД.
И только с отказом начались какие-то подвижки в сторону  признания проблем и недоработки ЕСПД.
На моей памяти это уже не первый проект подключения школ по госпрограммам к сети Интернет, и все до этого оказались провальными. Причин провала было две — низкие скорости и неуправляемая фильтрация трафика, но даже там до такого (доступ только через прокси-сервер) не доходило.
Тут точно также, невозможность выбрать скорость, опции подключения и неуправляемый фильтр настроенный с «синдромом вахтера».

И это вас ждет.
Если у нас останется нормальный интернет, то я просто подключу SKYDNS на платной основе 16000р за 50 компьютеров и не буду ломать голову фильтрацией, сейчас они хорошо подтянули фильтрацию, в том числе и контекстную, вдобавок входят в реестр российского ПО.
Сейчас же рассматриваю и готовлюсь к худшему развитию событий, т.е. внедрению ЕСПД, а прописывать прокси на каждой машине мне не упало, поэтому рассматриваю возможность шлюза на прозрачном прокси с указанным родительским и возможность использования программ типа proxifier или чего-нибудь самобытного.

Смотря на то, по каким ресурсам проверятся работоспособность ЕСПД, так и мелькает мысль, что у какой-то шишки танкист из WOT жену увел.
В общем, дожили до железного занавеса, обходится конечно, дети сильно старались по обходу dansguardian, так что наработки есть.

А и качество фильтра ЕСПД говно, выдает и самострелы и много чего еще, так что прокуратуре можно и не напрягаться, а если сесть за административную машину, то там вообще шоколад - вся фильтрация отключена, а доступ только через прокси, Вопрос: "Почему бы не оставить доступ через шлюз в административной сети?" остается открытым.

Так что держитесь, хотя из несколько сотен школ в регионе только 11 написали отказ, т.е остальные сотни школ пошли как кролики на убой.
 


« Последнее редактирование: 25.04.2022 23:56:16 от fce »
Безвыходных ситуаций не бывает, есть ситуации в которые нет входа. На каждого компьютерного гения найдётся свой хакер с винтом.