鱿鱼:不可能否认港口80 -- ssl 领域 和 https 领域 和 http 领域 和 squid 领域 服务器管理 相关 的问题

SQUID: Impossible to deny the port 80


简体版||繁體版
0
vote

问题

中文

我想让我的互联网网站只使用HTTPS。 我尝试了以下解决方案: squid反向代理重定向/重写http到https

  acl PORT80 myport 80 acl MYSITE dstdomain foo.server.com http_access deny PORT80 MYSITE deny_info 301:https://foo.server.com%R MYSITE   

在我的情况下:

  acl PORT80 myport 80 acl MYSITE dstdomain www.asrtos.com http_access deny PORT80 MYSITE deny_info 301:https://www.asrtos.com%R MYSITE   

这不起作用,因为浏览器仍可访问端口80

我该怎么办? 非常感谢您的帮助。

my squid.conf文件是:

  # # Recommended minimum configuration: #  debug_options ALL,1 33,2 28,9  acl localnet src 10.0.0.0/8 # RFC1918 possible internal network acl localnet src 172.16.0.0/12  # RFC1918 possible internal network acl localnet src 82.223.0.0/12  # RFC1918 possible internal network acl localnet src 192.168.0.0/16 # RFC1918 possible internal network acl localnet src fc00::/7       # RFC 4193 local private network range acl localnet src fe80::/10      # RFC 4291 link-local (directly plugged) machines  acl all src 0.0.0.0/0.0.0.0 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl to_localhost dst 127.0.0.0/8 acl Safe_ports port 1025-65535  # unregistered ports  acl Safe_ports port 443 563 # https  acl CONNECT method CONNECT  # # Recommended minimum Access Permission configuration: # # accept only SSL ports http_access deny  !Safe_ports http_access allow  Safe_ports  acl PORT80 myport 80 acl MYSITE dstdomain www.asrtos.com http_access deny PORT80 MYSITE deny_info 301:https://www.asrtos.com%R MYSITE   http_access deny to_localhost  # # INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS # https_port 443 accel cert=/etc/ssl/certs/asrtos.com_ssl_certificate.cer key=/etc/ssl/certs/_.asrtos.com_private_key.key cafile=/etc/ssl/certs/_.asrtos.com_ssl_certificate_INTERMEDIATE.cer defaultsite=workflow01.asrtos.com   cache_peer 82.223.66.210 parent 80 0 no-query originserver name=hp # If you use one single computer, write this instead:  http_port 3128 accel defaultsite=workflow01.asrtos.com vhost       # Doc config reverse proxy sous linux  # And finally deny all other access to this proxy  http_access deny all  # Uncomment the line below to enable disk caching - path format is /cygdrive/<full path to cache folder>, i.e. #cache_dir aufs /cygdrive/d/squid/cache 3000 16 256  # Leave coredumps in the first cache dir coredump_dir /var/cache/squid  max_filedescriptors 3200   

基础架构应如下:

https - [反向代理squid] - http - [Domino Server]&lt; - - &gt;(Domino数据库)

HTTP服务器是集成到Domino服务器的部分。 (Domino服务器的任务)

Squid反向代理和Domino服务器安装在同一Windows 2008 R2计算机上。 Internet应用程序通过Domino服务器访问Domino数据库。

根据用户权,服务器Domino发送登录表单以识别用户。 Domino服务器自动假定用户权限的所有计算。

在HTTP模式下(非安全模式全部工作得很好)。 我必须安装安全模式,并且所有操作都适用于异常:

当Web客户端发送此URL: https://www.asrtos.com/database.nsf

服务器发送登录表单以检查用户权限,然后打开以下URL: (非安全模式)。

如果我手动修改URL: https://www.asrtos.com/database.nsf < / a>一切都很好。但随时可以手动向非安全模式返回:http:// ...

我无法访问集成到Domino服务器的HTTP任务。

所以我不知道如何在Domino HTTP服务器内进行重定向。

我希望它可以在代理中找到一个解决方案。

英文原文

I would like to make my internet site only working with https. I tried the following solution: Squid reverse proxy redirect / rewrite HTTP to HTTPS

acl PORT80 myport 80 acl MYSITE dstdomain foo.server.com http_access deny PORT80 MYSITE deny_info 301:https://foo.server.com%R MYSITE 

In my case:

acl PORT80 myport 80 acl MYSITE dstdomain www.asrtos.com http_access deny PORT80 MYSITE deny_info 301:https://www.asrtos.com%R MYSITE 

This does not work because the browser cans still access the port 80

What can I do? Thanks a lot for your help.

My squid.conf file is:

# # Recommended minimum configuration: #  debug_options ALL,1 33,2 28,9  acl localnet src 10.0.0.0/8 # RFC1918 possible internal network acl localnet src 172.16.0.0/12  # RFC1918 possible internal network acl localnet src 82.223.0.0/12  # RFC1918 possible internal network acl localnet src 192.168.0.0/16 # RFC1918 possible internal network acl localnet src fc00::/7       # RFC 4193 local private network range acl localnet src fe80::/10      # RFC 4291 link-local (directly plugged) machines  acl all src 0.0.0.0/0.0.0.0 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl to_localhost dst 127.0.0.0/8 acl Safe_ports port 1025-65535  # unregistered ports  acl Safe_ports port 443 563 # https  acl CONNECT method CONNECT  # # Recommended minimum Access Permission configuration: # # accept only SSL ports http_access deny  !Safe_ports http_access allow  Safe_ports  acl PORT80 myport 80 acl MYSITE dstdomain www.asrtos.com http_access deny PORT80 MYSITE deny_info 301:https://www.asrtos.com%R MYSITE   http_access deny to_localhost  # # INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS # https_port 443 accel cert=/etc/ssl/certs/asrtos.com_ssl_certificate.cer key=/etc/ssl/certs/_.asrtos.com_private_key.key cafile=/etc/ssl/certs/_.asrtos.com_ssl_certificate_INTERMEDIATE.cer defaultsite=workflow01.asrtos.com   cache_peer 82.223.66.210 parent 80 0 no-query originserver name=hp # If you use one single computer, write this instead:  http_port 3128 accel defaultsite=workflow01.asrtos.com vhost       # Doc config reverse proxy sous linux  # And finally deny all other access to this proxy  http_access deny all  # Uncomment the line below to enable disk caching - path format is /cygdrive/<full path to cache folder>, i.e. #cache_dir aufs /cygdrive/d/squid/cache 3000 16 256  # Leave coredumps in the first cache dir coredump_dir /var/cache/squid  max_filedescriptors 3200 

The infrastructure should be the following:

https--[Reverse Proxy SQUID]--http--[Domino Server]< - - >(Domino data bases)

The http server is a part integrated to the Domino server. (A task of the domino server)

The Squid reverse proxy and the Domino servers are installed on the same Windows 2008 R2 machine. The internet application accesses to domino database thru the Domino server.

According to the user right the server domino sends a login form to identify the user. All the computation of the user rights is assumed automatically by the domino server.

In http mode (non-secure mode all works very well). I have to install a secure mode and all works well with an exception:

When the web client send this url : https://www.asrtos.com/database.nsf

The server sends a login form to check the user rights and then opens the following url: http://www.asrtos.com/database.nsf (the same url in non-secure mode).

If I modify manually the url: https://www.asrtos.com/database.nsf all works well. But itxe2x80x99s always possible to go back manually to a non-secure mode: http://...

I have no access to the HTTP task which is integrated to the Domino server.

So I donxe2x80x99t know how to make a redirect inside the Domino http server.

I hope itxe2x80x99s possible to find a solution inside the proxy.

           
   
   

回答列表

0
 
vote

这种鱿鱼的配置可以:

最小配置:

debug_options全部,0

ACL LocalNet SRC 82.223.0.0/12#RFC1918可能的内部网络 ACL localhost src 127.0.0.1/255.255.255.255 ACL Safe_ports端口443#https

cache_peer myserver.mydomain父8088 0无查询Originserver name = myserver.mydomain前端https:On#如果您使用单个计算机,请写下: https_port 443 Accel Cert = / etc / ssl / certs / mydomain_ssl_certificate.cer键= / etc / ssl / certs / _。mydomain_private_key.key cafile = / etc / ssl / certs / _。mydomain_ssl_certificate_intermediate.ce defaultsite = myserver.mydomain http_port 80 Accel DefaultSite = MyServer.myDomain

http_access允许safe_ports

ACL Port80端口80 http_access deny port80. deny_info 301: https://%h%r port80

http_access否认所有 http_port 3128透明 dns_nameservers 127.0.0.1

max_filedescriptors 3200

 

This configuration of Squid is OK :

minimum configuration:

debug_options ALL,0

acl localnet src 82.223.0.0/12 # RFC1918 possible internal network acl localhost src 127.0.0.1/255.255.255.255 acl Safe_ports port 443 # https

cache_peer myServer.myDomain parent 8088 0 no-query originserver name=myServer.myDomain Front-End-Https: On # If you use one single computer, write this instead: https_port 443 accel cert=/etc/ssl/certs/myDomain_ssl_certificate.cer key=/etc/ssl/certs/_.myDomain_private_key.key cafile=/etc/ssl/certs/_.myDomain_ssl_certificate_INTERMEDIATE.cer defaultsite=myServer.myDomain http_port 80 accel defaultsite=myServer.myDomain

http_access allow Safe_ports

acl PORT80 port 80 http_access deny PORT80 deny_info 301:https://%H%R PORT80

http_access deny all http_port 3128 transparent dns_nameservers 127.0.0.1

max_filedescriptors 3200

 
 

相关问题

1  如何使用Text / VND.wap.wml mime类型来阻止鱿鱼缓存HTML页面?  ( How do i prevent squid from caching html pages with the text vnd wap wml mime ty ) 
我们在大型网站上有一组Squid服务器,为大型网站,我们偶尔会收到一些页面/用户的报告,其中一些页面使用浏览器不支持的MIME类型(因此他们将被强制下载文件与浏览页面)。 问题是这些页面已被文本/ vnd.wap.wml mime类型缓存。为了解决它,我必须使用鱿鱼链手动吹扫它们,然后使用普通浏览器浏览到页面。 我相...

1  HTTPS流量的透明代理  ( Transparent proxy for https traffic ) 
我正在寻找拦截HTTP流量NA通过HTTPS流量的代理。 Burp可以用 ssl通过 。使用该选项,SSL流量未修改或捕获,而只是隧道。我不想在中间袭击中表演男人。可以(例如)鱿鱼模拟此行为? 编辑: 通过与拦截不同。隧道流量没有解密,只是隧道。 ...

0  HTTPS代理鱿鱼和本地CA产生的现场证书  ( Https proxying with squid and local ca produced site certificates ) 
此刻,我将HTTP(443)请求重定向到SQUID配置HTTPS_PORT中。它按预期工作。它终止与鱿鱼中安装的SSL证书连接的SSL连接。然后代理流量。 在此设置中,最终用户当然会获得非法证书错误。 我想建立一个本地CA并将此本地CA的公共证书安装到最终用户客户端PC。 Squid应该获取目标域名,它应该在瞬间为本...

1  iptables可以允许鱿鱼处理请求,然后将响应报文重定向到另一个端口?  ( Can iptables allow squid to process a request then redirect the response packet ) 
我正在尝试测试一个花哨的流量分析仪应用程序,我在端口8890上运行。 我的目前的计划是让任何HTTP请求进入鱿鱼,在端口3128上,让它处理请求,然后就在发送响应后,使用IPTABLE来重定向响应报文(离开端口3128)到端口8890。 我整晚都在研究这个,并尝试了许多iptables命令,但我错过了一些东西,我的头...

0  鱿鱼和丹娃娃的本地透明代理  ( Local transparent proxy with squid and dansguardian ) 
我无法使用squid和dansguardian设置本地网络缓存和过滤系统。 它适用于浏览器配置为使用代理框的IP(192.168.1.2)但我无法创建工作透明设置 - 在默认网关上使用iptables重定向所有端口80流量(从代理商的流量除外)到代理框。 我正在使用Mangle iptable标记这些数据包,我有...

4  为什么鱿鱼突破Kerberos / NTLM Auth?  ( Why is squid breaking kerberos ntlm auth ) 
我正在使用squid 2.6.22(CentOS 5默认值)作为代理。鱿鱼似乎在需要NTLM或Kerberos Auth时打破网页的身份验证过程。 我用SharePoint 2007测试并尝试了所有3个身份验证方法(NTLM,Kerberos,Basic)。 在所有情况下访问没有鱿鱼的网站。当我使用squid访问同一...

2  将OpenVPN网关流量重定向到Privoxy  ( Redirect openvpn gateway traffic to privoxy ) 
我想重定向通过我的OpenVPN网关到Privoxy的流量,如: OpenVPN客户端 - &gt; Internet-&gt; OpenVPN网关 - &gt; Privoxy-&gt; Internet-&gt; webserver(反之亦然) 到目前为止,我设法让OpenVPN网关工作正常。连接到Privox...

2  在鱿鱼刷新模式下设置LM系数的最佳实践  ( Best practices for setting lm factor in squid refresh patterns ) 
我在django前面运行一个鱿鱼(3.1)缓存。该网站的内容不经常变化,所以鱿鱼给我们的后端提供了呼吸室。 目前,这是我们使用的刷新模式,以缓存内容: refresh_pattern。 60 100%60 在鱿鱼之前,我们基本上想要缓存至少一个小时(且只有一个小时),然后重新验证内容。 我的问题位于"100%" 参...

0  如何使用Squid缓存缓存Android软件包?  ( How can i cache android packages using squid cache ) 
我使用Debian和Squid / Dansguardian具有另一个系统的无线接入点作为过滤成人内容的透明代理。 我可以看到90%的流量来自Android手机,人们使用它们使用WiFi更新他们的应用程序而不是使用他们的数据计划。 所以我试图强制鱿鱼使用/etc/squid/squid.conf上的这些行缓存apk文...

1  可以为HTTPS请求鱿鱼缓存吗?  ( Can squid cache for https requests ) 
就像在"中所说的https站点中的?",要缓存来自 https 站点的对象,需要使用SSL Bump功能。 但是,我可以设置 https 代理以及 http 一个,即使是ssl bump功能是 not 。这是否意味着设置https代理只意味着它只能让内容通过而没有缓存? 如果没有ssl凹凸功能,那么真的发生了什...

2  如何配置外部CentOS服务器以充当HTTP代理/继电器?  ( How to configure an external centos server to act as an http proxy relay ) 
我有一个外部托管的CentOS 5服务器( abcdefghijklmnexternal.example.com ),我想用作我本地Web请求的继电器/代理。所以基本上,如果我加载 google.com 在我的本地计算机上,我希望请求出现在谷歌上,就像它来自 external.example.com 而不是 loca...

2  不能为鱿鱼代理绑定套接字错误  ( Cannot bind socket error for squid proxy ) 
我使用DataDog / Squid Image在Docker-Machine内设置了一个鱿鱼代理,当我访问容器内的Cache.log文件时,我在日志末尾看到以下内容: -A ''8 我不确定致癌错误源自何种问题,我应该研究什么? ...

0  如何在我的PC和Squid代理之间创建安全连接?  ( How to create secure connection between my pc and squid proxy ) 
我在私人局域网外安装了一个鱿鱼代理。如何在我的电脑和鱿鱼代理之间进行沟通,以便没有人坐在我的局域网嗅探我的沟通? ...

0  鱿鱼代理服务器(不透明)在3128和80端口工作  ( Squid proxy server not transparent working on port 3128 and 80 ) 
我有一个鱿鱼代理服务器(debian)与身份验证完美地工作: auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/passwd 我也希望尝试使用代理作为网关获取网页的客户端(端口80)在端口3128上重定向。 我已经尝试了iptables...

0  鱿鱼反向代理:维护模式  ( Squid reverse proxy maintenance mode ) 
目前我正在尝试配置我的squid(3.1)反向代理,以始终在维护中始终显示静态网页。 无需自动切换。维护模式应通过手动配置更改激活。 鱿鱼文档和wiki对这一点来说并不真正有用。 我的想法是阻止每个请求,并显示一个静态网页作为 deny_info ,其中200个状态代码如下: acl everyone src 0...

1  通过鱿鱼路由和验证所有访问  ( Routing and authenticating all access through squid ) 
我想通过鱿鱼代理服务器路由我的网络中的所有Internet访问权限,并进行身份验证和记录所有用户。我希望这是一个独立的客户设置,以便在浏览器或机器上没有人需要做任何事情。 我已将我的网络网关设置为代理服务器,以便将所有流量发送到它。我在DHCP服务器中使用了此选项。 现在我尝试使用 squid作为透明代理,但是它不...

1  将鱿鱼设置为透明代理背后的反向代理  ( Set up squid as a reverse proxy behind a transparent proxy ) 
我有一个关于将鱿鱼设置为透明/转发代理后面的反向代理的问题。基本上,我正在寻找的是它是否可以在下面设置(b): 客户(a) - &gt;鱿鱼作为反向代理(b) - &gt;鱿鱼作为前向代理(c) - &gt;原点服务器根据客户端请求URI(d) 根据来自(a)的客户端请求,(b)可以将请求路由到不同的原点服务器(多个...

0  Docker中的鱿鱼,RDNS测试失败  ( Squid within docker rdns test failed ) 
我构建一个带有这样的鱿鱼码头容器: https://github.com/sameersbn/docker-squid/blob/master// dockerfile 并且在交互式开始时注意到以下问题: 2020/05/03 00:07:45| WARNING: 'my-docker' rDNS test...

2  获取x_fowarded_for ip  ( Get x fowarded for ip ) 
配置设置: 192.168.18.130:Ubuntu 12.04上的Squid3代理服务器 192.168.18.131:WebServer运行 192.168.18.132:用户 我希望在Web服务器中运行的PHP页面中可以看到使用IP。 目前我没有得到x_forwarded_for ...

0  如何可靠地阻止Twitter上的敏感内容?  ( How to reliably block sensitive content on twitter ) 
由于推出了Twitters内​​容策略,可能是敏感内容被标记,用户必须跳过警告以实际看到推文。有没有办法可以通过像Sophos或PFSense这样的防火墙完全阻止可能的敏感推文,而无需选择它? ...

0  鱿鱼代理上的多个IP路由  ( Multple ip routing on squid proxy ) 
我在具有4个IP地址的服务器上安装了Squid代理.Eg 192.123.0.10 192.123.0.11 192.123.0.12 192.123.0.13 192.123.0.10 是主IP。我希望能够: 将我的浏览器代理指向四个IP中列出的1个,并具有Squid使用该...

0  如何动态路由请求  ( How to dynamically route requests ) 
我有这个网络, 带互联网连接的3台计算机 - 每台计算机都有自己的与互联网(超过VPN)的不同连接 蓝色 - 代理服务器,鱿鱼 绿色 - 计算机中的计算机中的计算机) 随时始终是3个红色PC和蓝色PC知道,其中2个蓝色PC目前在线。现在,我需要做的是,我应该如何设置蓝色计算机以随机的2个红色计算机随机发送来自绿...

5  使用squid添加HTTP请求标头  ( Adding an http request header with squid ) 
我想允许我的用户仅为我的域名登录Google Apps。我通过添加HTTP标头<代码> ABCDEFGHIJKLMNABCDEFGHIJKLMN5 如这个谷歌帮助页面 我使用鱿鱼,但无法弄清楚如何配置鱿鱼来执行此操作。如何使用鱿鱼添加此请求标题? ...

1  OpenVPN加鱿鱼  ( Openvpn plus squid ) 
图: OpenVPN client A ----> openVPN Server A ----> Squid Proxy (remote) 当客户端A连接到OpenVPN服务器A时,我希望他的所有流量都通过Squid(远程位置)上的WAN接口进行鱿鱼代理并退出。 如何这样做? ...

0  用鱿鱼替换Web流量内容  ( Replace web traffic content with squid ) 
我正在使用鱿鱼来阻止某些类型的流量来减少频段宽度,我迄今为止被封锁,闪存应用程序,视频流和其他这样的东西。当网站或广告变阻时,将显示"自定义错误" 页面。 但是,当我停止出现播放器时,当播放器只有模具,我留下了空心视频播放器,无论如何都是使用鱿鱼(不太不必安装多个包),我可以获得Web视频播放器显示自定义错误? 在一...




© 2021 it.wenda123.org All Rights Reserved. 问答之家 版权所有