如何使用 Squid 通过 https 阻止 mime_types?

如何使用 Squid 通过 https 阻止 mime_types?

我有这条规则来阻止扩展:

acl bl_ext url_regex -i "/path_to/bl_ext.txt"
http_access deny workdays bl_ext

示例内容文件“bl_ext.txt”:

\.avi([a-zA-Z][0-9]*)?(\?.*)?$
\.m4a([a-zA-Z][0-9]*)?(\?.*)?$
\.m4r([a-zA-Z][0-9]*)?(\?.*)?$
\.m4v([a-zA-Z][0-9]*)?(\?.*)?$
\.mid([a-zA-Z][0-9]*)?(\?.*)?$
\.mov([a-zA-Z][0-9]*)?(\?.*)?$
\.mp3([a-zA-Z][0-9]*)?(\?.*)?$
\.mp4([a-zA-Z][0-9]*)?(\?.*)?$
\.mpeg4([a-zA-Z][0-9]*)?(\?.*)?$
\.mpeg([a-zA-Z][0-9]*)?(\?.*)?$
\.mpegps([a-zA-Z][0-9]*)?(\?.*)?$
\.mpg([a-zA-Z][0-9]*)?(\?.*)?$
#etc, etc, etc

这条规则用来阻止 mime_type:

acl bl_mt rep_mime_type -i "/path_to/bl_mt.txt"
http_reply_access deny bl_mt

示例内容文件“bl_mimetype.txt”:

^audio/mp4$
^audio/mpeg$
^audio/wav$
^audio/.wma$
^audio/x-midi$
^audio/x-mp3$
^audio/x-mp4$
^audio/x-mpeg$
^audio/x-mpegurl$
^audio/x-ms-wma$
^audio/x-pn-realaudio$
^audio/x-pn-realaudio-plugin$
^audio/x-scpls$
^audio/x-wav$
^video/
^video/3gpp$
^video/avi$
^video/flash$
^video/flv$
^video/mp4$
^video/mpeg$
^video/mpeg4$
^video/ogg$
# etc, etc, etc

但这些规则不起作用。根据我的分析,似乎乌贼当 https 加密流量时无法阻止扩展(仅限 http)

PD:另外,我还尝试了在互联网上找到的这些规则,但都没有成功:

acl video rep_header Content-Type video\/.*
acl audio rep_header Content-Type audio\/.*
http_reply_access deny video
http_reply_access deny audio

和:

acl mediapr urlpath_regex \.(avi|mp4|mov|m4v|mkv|flv|mpg|mpeg|wmv|rmvb|afx|asf|swf)(\?.*)?$
acl mediaprapp url_regex dvrplayer mediastream ^mms://
http_access deny mediapr mediaprapp
# Media Streams
acl media rep_mime_type ^application/x-shockwave-flash$
acl media rep_mime_type ^video/x-ms-asf$
acl media rep_mime_type ^application/vnd.ms.wms-hdr.asfv1$
acl media rep_mime_type ^application/x-mms-framed$
acl media rep_mime_type ^audio/x-pn-realaudio$
acl media rep_mime_type ^video/
acl media rep_mime_type ^video\/
acl media rep_mime_type ^application/x-shockwave-flash
acl media rep_mime_type ^application/vnd.ms.wms-hdr.asfv1
acl media rep_mime_type ^application/x-fcs
acl media rep_mime_type ^application/x-mms-framed
acl media rep_mime_type ^video/x-ms-asf
acl media rep_mime_type ^audio/mpeg
acl media rep_mime_type ^audio/x-scpls
acl media rep_mime_type ^video/x-flv
acl media rep_mime_type ^video/mpeg4
acl media rep_mime_type ms-hdr
acl media rep_mime_type x-fcs
acl media rep_mime_type mms
acl media rep_mime_type x-ms-asf
acl media rep_mime_type video/flv
acl media rep_mime_type video/x-flv
http_reply_access deny media

但什么也没发生

有没有办法阻止 Squid 在代理缓存模式下(非透明 - 拦截)通过 https 传输的文件 mime_type 文件扩展名(无需使用 SSL Bumping)?。 谢谢

PD:如果一定要用 SSL Bump 来完成,那我就没办法了。我想知道是否有其他替代方案或其他程序(例如 ipset、fail2ban、没有字符串规则的 iptables,因为它们不可靠等)?

答案1

SSL Bump 可对 Squid HTTPS 内容设置过滤器

要对 HTTPS 内容设置 ACL,您需要在 Squid 中配置 SSL Bump,并将您生成的证书导入到浏览器和/或操作系统中。Firefox 有自己的证书存储区。其他浏览器可能会使用操作系统上的证书存储区。

来自我的 squid 代理的示例,包括有关如何生成证书的注释。NoBump.txt 文件应包含您不想进行中间人攻击的域,例如银行、一些 google 子域、paypal 以及使用公钥固定的任何其他域。

acl NoBump dstdomain -i "/etc/squid/acl/NoBump.txt"
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
# vi /etc/pki/tls/openssl.cnf # edit v3_ca to allow cRLSign, keyCertSign
#  cd /etc/squid/ssl_cert
#  openssl req -new -newkey rsa:2048 -sha256 -days 365 -nodes -x509 -extensions v3_ca -keyout myCA.pem -out myCA.pem
#  rsync -av /etc/squid/ssl_cert/myCA.pem /etc/pki/ca-trust/source/anchors/
#  update-ca-trust
#  openssl x509 -in myCA.pem -outform DER -out myCA.der
#  chown squid:squid *;chmod 00400 *.pem
#  Firefox -> Certs -> Authorities -> Import myCA.der
#
# You MUST first initialize the DB and chown its dir to squid:squid
# AND you MUST do this (recreate the DB) any time you change the CA certifiate.
#
# rm -Rf /var/lib/ssl_db
# /usr/lib64/squid/ssl_crtd -c -s /var/lib/ssl_db -M 96MB
# chown -R squid:squid /var/lib/ssl_db
# restorecon -F -R -v /var/lib/ssl_db
#
sslcrtd_program /usr/lib64/squid/ssl_crtd -s /var/lib/ssl_db -M 96MB
sslcrtd_children 132 startup=32 idle=32
#
http_port 192.168.1.1:3128 ssl-bump cert=/etc/squid/ssl_cert/myCA.pem generate-host-certificates=on dynamic_cert_mem_cache_size=32
MB version=1
host_verify_strict off
sslproxy_cafile /etc/ssl/certs/ca-bundle.crt
sslproxy_cert_error allow all
sslproxy_flags DONT_VERIFY_PEER
#sslproxy_options NO_SSLv2,NO_SSLv3,SINGLE_DH_USE
sslproxy_options ALL
sslproxy_session_cache_size 64 MB
ssl_bump peek step1
ssl_bump peek step2 NoBump
ssl_bump splice step3 NoBump
ssl_bump bump all
always_direct allow all

这只是一个例子。最好阅读这些选项以及实现此目的的不同方法Squid 的网站,因为这将随着 Squid 的较新版本而改变,并且可能因您使用的 Squid 版本而异。特别注意主机验证您可能需要根据您计划通过此代理访问的网站来启用该功能。您必须添加您生成的证书来自评论并导入到您的浏览器和/或操作系统的证书存储中。

相关内容