我有这个规则来阻止扩展:
acl bl_ext url_regex -i "/path_to/bl_ext.txt"
http_access deny workdays bl_ext
示例内容文件“bl_ext.txt”:
\.avi([a-zA-Z][0-9]*)?(\?.*)?$
\.m4a([a-zA-Z][0-9]*)?(\?.*)?$
\.m4r([a-zA-Z][0-9]*)?(\?.*)?$
\.m4v([a-zA-Z][0-9]*)?(\?.*)?$
\.mid([a-zA-Z][0-9]*)?(\?.*)?$
\.mov([a-zA-Z][0-9]*)?(\?.*)?$
\.mp3([a-zA-Z][0-9]*)?(\?.*)?$
\.mp4([a-zA-Z][0-9]*)?(\?.*)?$
\.mpeg4([a-zA-Z][0-9]*)?(\?.*)?$
\.mpeg([a-zA-Z][0-9]*)?(\?.*)?$
\.mpegps([a-zA-Z][0-9]*)?(\?.*)?$
\.mpg([a-zA-Z][0-9]*)?(\?.*)?$
#etc, etc, etc
而这条规则来阻止 mime_type:
acl bl_mt rep_mime_type -i "/path_to/bl_mt.txt"
http_reply_access deny bl_mt
示例内容文件“bl_mimetype.txt”:
^audio/mp4$
^audio/mpeg$
^audio/wav$
^audio/.wma$
^audio/x-midi$
^audio/x-mp3$
^audio/x-mp4$
^audio/x-mpeg$
^audio/x-mpegurl$
^audio/x-ms-wma$
^audio/x-pn-realaudio$
^audio/x-pn-realaudio-plugin$
^audio/x-scpls$
^audio/x-wav$
^video/
^video/3gpp$
^video/avi$
^video/flash$
^video/flv$
^video/mp4$
^video/mpeg$
^video/mpeg4$
^video/ogg$
# etc, etc, etc
但这些规则不起作用。根据我做的分析,好像squid在是https加密流量的时候是无法屏蔽扩展的(http only)
PD:此外,我尝试了在互联网上找到的这些规则,但都没有:
acl video rep_header Content-Type video\/.*
acl audio rep_header Content-Type audio\/.*
http_reply_access deny video
http_reply_access deny audio
和:
acl mediapr urlpath_regex \.(avi|mp4|mov|m4v|mkv|flv|mpg|mpeg|wmv|rmvb|afx|asf|swf)(\?.*)?$
acl mediaprapp url_regex dvrplayer mediastream ^mms://
http_access deny mediapr mediaprapp
# Media Streams
acl media rep_mime_type ^application/x-shockwave-flash$
acl media rep_mime_type ^video/x-ms-asf$
acl media rep_mime_type ^application/vnd.ms.wms-hdr.asfv1$
acl media rep_mime_type ^application/x-mms-framed$
acl media rep_mime_type ^audio/x-pn-realaudio$
acl media rep_mime_type ^video/
acl media rep_mime_type ^video\/
acl media rep_mime_type ^application/x-shockwave-flash
acl media rep_mime_type ^application/vnd.ms.wms-hdr.asfv1
acl media rep_mime_type ^application/x-fcs
acl media rep_mime_type ^application/x-mms-framed
acl media rep_mime_type ^video/x-ms-asf
acl media rep_mime_type ^audio/mpeg
acl media rep_mime_type ^audio/x-scpls
acl media rep_mime_type ^video/x-flv
acl media rep_mime_type ^video/mpeg4
acl media rep_mime_type ms-hdr
acl media rep_mime_type x-fcs
acl media rep_mime_type mms
acl media rep_mime_type x-ms-asf
acl media rep_mime_type video/flv
acl media rep_mime_type video/x-flv
http_reply_access deny media
但什么也没有发生
有没有办法在代理缓存模式(不透明 - 拦截)下通过 https(不使用 SSL Bumping)阻止 Squid 中的文件 mime_type 文件扩展名?谢谢
PD:如果这肯定必须通过 SSL Bump 来完成,那么我不能。我想知道是否还有其他替代方案或其他程序(例如 ipset、fail2ban、没有字符串规则的 iptables,因为它们不可靠等)?
SSL Bump 在 Squid HTTPS 内容上设置过滤器
要在 HTTPS 内容上设置 ACL,您需要在 Squid 中配置 SSL Bump 并将您生成的证书导入浏览器和/或操作系统。Firefox 有自己的证书存储。其他浏览器可能会使用操作系统上的证书存储。
来自我的 squid 代理的示例,包括有关如何生成证书的评论。NoBump.txt 文件应包含您不希望出现在中间人的域,例如银行、一些 google 子域、paypal 和使用公钥固定的任何其他人。
这只是一个例子。最好在Squid 的网站上阅读这些选项和完成此操作的不同方法,因为这会随着 Squid 的较新版本而改变,并且可能会根据您使用的 Squid 版本而有所不同。特别要注意host_verify_strict,因为您可能希望根据您计划通过此代理访问的站点来进行。您必须添加从评论中生成的证书并导入浏览器和/或操作系统的证书存储区。