Liberação de alguns links no squid

hunter2800aa
(usa Debian)

Enviado em 15/04/2025 - 12:15h

Boa tarde pessoal...

Fiz a seguinte ACL abaixo
acl teste url_regex -i /etc/squid/vids_ok
http_access allow teste

onde nesse arquivo vids_ok tem alguns links de video do Youtube que quero liberar, mas não estou conseguindo.

Logo abaixo eu tenho uma ACL q bloquei o Youtube mas gostaria de deixar um canal completo ou alguns videos disponiveis....isso é possivel??

Buckminster
(usa Debian)

Enviado em 15/04/2025 - 12:33h

Como é essa ACL que bloqueia o Youtube?


_________________________________________________________
Rule number one: Always listen to Buck!
Enquanto o cursor estiver pulsando, há vida!

hunter2800aa
(usa Debian)

Enviado em 15/04/2025 - 13:57h

Muito obrigado por responder.....

O bloqueio vem depois (mais pra baixo no squid.conf) o que parece eh q o squid não esta entendendo os links pra aceitar um Allow.

acl vid url_regex -i "/etc/squid/vids"

http_access deny vid
http_access deny SSL_ports vid

E dentro desse arquivo vid tem varios como:
googlevideo.com
youtube.com
video.yahoo.com
videos.globo.com
aovivoagora.com
globoplay.globo.com
tudotv.tv

hunter2800aa
(usa Debian)

Enviado em 15/04/2025 - 15:45h

To tentando com GPT, com DeepSeek, tdo esses bagulho mas não sei se vai dar bom!!!

O duro q na epoca q eu usava CENTOS isso funcionava!!!


O LOG do squid fica assim...ele bloqueia antes de ler, mesmo a regra de liberação sendo bem antes da regra de bloqueio!!!
1114737231.880 0 192.168.10.234 TCP_DENIED/403 4021 CONNECT www.youtube.com:443 - HIER_NONE/- text/html
1114737232.954 0 192.168.10.234 TCP_DENIED/403 4021 CONNECT www.youtube.com:443 - HIER_NONE/- text/html
1114737237.341 0 192.168.10.234 TCP_DENIED/403 4021 CONNECT www.youtube.com:443 - HIER_NONE/- text/html
1114737237.983 0 192.168.10.234 TCP_DENIED/403 4021 CONNECT www.youtube.com:443 - HIER_NONE/- text/html

amarildosertorio
(usa Fedora)

Enviado em 15/04/2025 - 16:10h

Se o Squid não estiver configurado com SSL Bump (interceptação SSL), as regras baseadas em domínio realmente não funcionarão. O protocolo HTTPS utiliza criptografia de ponta a ponta, o que impede o Squid sem inspeção SSL de visualizar o nome do domínio. Nesse caso, ele enxerga apenas o IP de destino e não consegue aplicar corretamente as ACLs baseadas em nomes de domínio.

hunter2800aa
(usa Debian)

Enviado em 15/04/2025 - 16:18h

Muito obrigado por responder amarildosertorio...

não sabia sobre a existência do SSL Bump.....depois de instalar ele vai mudar alguma configuração de ACL que que eu já tenha pronta como allow / deny ou delay_pools?

Outra coisa...se ele consegue ler inspecionar SSL os logs do SARG poderão ficar mais completos com ele?

amarildosertorio
(usa Fedora)

Enviado em 15/04/2025 - 16:30h

O comportamento vai mudar para as ACLs que dependem de informações que só se tornam disponíveis após a decodificação do tráfego HTTPS.

Com a inspeção SSL ativada, os relatórios do SARG passarão a exibir dados mais detalhados sobre os acessos HTTPS.

hunter2800aa
(usa Debian)

Enviado em 15/04/2025 - 16:40h

Q legal.......

Vou instalar em uma maquina de testes aqui antes de colocar em produção!!!!


Muito obrigado....quero voltar pra dar boas noticias!!!!

Carlos_Cunha
(usa Linux Mint)

Enviado em 15/04/2025 - 20:33h

Na verdade funciona, pois o dominio principal o squid consegue ver sem precisar "descriptografar" a conexão, por isso bloqueio e liberações baseado no dominio funciona, mas ja bloquei por coisas depois disso não, e nem tela de bloqueio personalizada por exemplo.

Sem SSL BUMP funciona "SÓ", liberando/bloqueando o domonio(ou palavras nesse dominio) exemplo, google.com , facebook.com
Ja por exemplo se quiser bloquear a palavra "[*****]" que estiver depois do dominio na url não funciona, exemplo: www.acesso.com.br/site1/[*****], pois o SQUID não ve ess parte por conta do HTTPS.
E Relatorios tambem so vão aparecer o dominio(e o metodo CONNECT que é https)

Ja com SSL BUMP, se faz tudo que se faz sem e consegue obter a URL inteira, seja para relatorios ou liberação/bloqueio.
Porém precisa ter o certificado TLS(a CA) usado no SQUID dentro do navegador/dispositivo, se não tera erro em todo o site.
OBS: A site que usam processo com certificados proprios(como site de assinatrua digital) esse vc precisa "bypassar" do proxy vide que ele quebra o HTTPS.




#-------------------------------------------------------------------------------------#
"Falar é fácil, me mostre o código." - Linus Torvalds
#-------------------------------------------------------------------------------------#

amarildosertorio
(usa Fedora)

Enviado em 15/04/2025 - 20:55h

Verdade, camarada! Dando uma olhada na documentação, vi que o Squid realmente consegue utilizar o campo ssl::server_name, presente no SNI durante o handshake TLS, mesmo sem estar configurado com SSL Bump. Isso permite que ele identifique o domínio acessado como www.youtube.com e aplique ACLs com base nessa informação. No entanto, sem a inspeção SSL, o Squid não tem acesso ao caminho completo da URL nem ao conteúdo da conexão, o que acaba limitando o nível de controle sobre o tráfego HTTPS.

Carlos_Cunha
(usa Linux Mint)

Enviado em 15/04/2025 - 21:02h

Esta dando BLOCK por ou tem alguma acl acima dando BLOCK ou tem algo errado na sua liberação...

Pq na verdade não entendi pq vc usa DENNY aqui e não aALLOW se vc quer liberar ??

# SUA CONF

acl vid url_regex -i "/etc/squid/vids"

http_access deny vid

http_access deny SSL_ports vid



# TENTE ASSIM(e garanta que esteja acima de outros bloqueios)

acl vid src  "/etc/squid/vids"

http_access allow vid



 

#-------------------------------------------------------------------------------------#
"Falar é fácil, me mostre o código." - Linus Torvalds
#-------------------------------------------------------------------------------------#

Carlos_Cunha
(usa Linux Mint)

Enviado em 15/04/2025 - 21:03h

Sim, hj em dia sem usar a "inspeção ssl" não vale a pena ter um proxy, pois tudo praticamente usa https....


#-------------------------------------------------------------------------------------#
"Falar é fácil, me mostre o código." - Linus Torvalds
#-------------------------------------------------------------------------------------#