Почему веб-прокси-сервер Squid3 блокирует файлы javascript?

Привет и спасибо, что прочитали мой вопрос.

У меня есть новая установка прокси-сервера squid3 (версия 3.3.8) на сервере Ubuntu 14.04 LTS.

Я использую кальмар только для фильтрации некоторых веб-сайтов, поэтому я не использую его возможности кэширования.

Проблема заключается в том, что squid блокирует js-файлы (я вижу, что они заблокированы в консоли Chrome с сообщением об ошибке 503 Service Unreahable), поэтому веб-страницы загружаются неправильно.

Я перенаправляю https и http-трафик на tcp-порт squid 3128. Но я не фильтрую веб-сайты.

Есть ли что-то, что я пропустил при настройке squid?

Спасибо за любую помощь.


javascript proxy acl squid ubuntu-14.04
person Anis Bedhiafi    schedule 02.02.2015    source источник
comment
Если я не перенаправляю трафик https на порт squid, как я могу фильтровать такие сайты, как facebook или twitter? Вот как я хотел, чтобы это работало: доступ к интернету должен быть только через прокси. Поэтому браузер должен быть настроен так, чтобы он указывал на прокси-сервер squid. Предположим, что я не перенаправляю порт https 443 на порт squid 3128, и пользователь не настроил свой браузер, чтобы он мог легко открывать все сайты https, и прокси становится бесполезным. Если вы скажете, что перенаправлять https-трафик - плохая идея, так что есть идеи, как я могу заблокировать некоторые https-сайты без перенаправления портов. Спасибо за помощь.   -  person Anis Bedhiafi    schedule 05.02.2015

Ответы (2)


arrow_upward
0
arrow_downward

I am redirecting https and http traffic to squid tcp port 3128. But I am not filtering any web site. с помощью iptables? или установить в браузере? если вы используете iptables для перенаправления 443 на 3128, это нехорошо!!!!

person Marcos Carraro    schedule 05.02.2015

arrow_upward
0
arrow_downward

Вы никогда не сможете читать HTTPS с помощью Squid.

Во-первых, потому что Squid/вам придется генерировать новый самозаверяющий сертификат для каждого веб-сайта, к которому вы обращаетесь.

Во-вторых, основные веб-сайты используют привязку ключей, что делает невозможным изменение сертификата, даже если у вас развернут собственный ЦС.

Проверьте HPKP rfc.

person Michael Vergoz    schedule 12.07.2015
comment
HPKP можно легко отфильтровать из заголовков. Squid имеет режим SslBump, который генерирует сертификаты на лету. Все, что вам нужно, это импортировать его сертификат на клиентские хосты. - person ayvango; 21.01.2016