URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID12
Нить номер: 6527
[ Назад ]

Исходное сообщение
"squid и method connect"
Отправлено dixit , 11-Окт-10 18:27

Имеется сквид Version 2.5.STABLE14.
От юзеров поступают жалобы такого плана:
Периодически возникают проблемы с доступом на https://www.portmone.com.ua/terminal/uk/start/
Служба поддержки portmone.com.ua ответила:
Проблема в том, что из-за не правильных настроек Вашего прокси-сервера, Ваш
офис для выхода на наш сайт использует метод CONNECT,
который поддерживается только прокси-серверами (т.е. Ваш сервер считает
portmone.com не сайтом а прокси-сервером).
Т.к. это запрещенная команда, наша система обнаружения атак временно
блокирует Ваш ip-адрес, думая что это сетевая атака.
Я то думал что метод CONNECT и нужен что б отрабатывать такие запросы... Подскажите, где копать, вот выдержка из конфига сквида:
acl SSL_ports port 563 8143 1533 1950 81 82 8443 6101
acl Safe_ports port 443 80 8001 8081 # http
acl CONNECT method CONNECT
http_access allow CONNECT SSL_ports Safe_ports

Содержание

squid и method connect,Andrey Mitrofanov, 18:50 , 11-Окт-10
squid и method connect,Aquarius, 19:16 , 11-Окт-10
- squid и method connect,dixit, 21:24 , 11-Окт-10
  - squid и method connect,Andrey Mitrofanov, 09:42 , 12-Окт-10
    - squid и method connect,dixit, 13:47 , 12-Окт-10

Сообщения в этом обсуждении

"squid и method connect"
Отправлено Andrey Mitrofanov , 11-Окт-10 18:50

>Подскажите, где копать, вот выдержка из конфига сквида:
> http_access allow CONNECT SSL_ports Safe_ports
http_access allow CONNECT SSL_ports
http_access allow CONNECT Safe_ports

"squid и method connect"
Отправлено Aquarius , 11-Окт-10 19:16

> http_access allow CONNECT SSL_ports Safe_ports
http_access и другие подобные директивы принимает в качестве аргументов список имен ACL, который воспринимает, как определение нового ACL как пересечение перечисленных
и в данном случае, если в SSL_ports и Safe_ports нет пересечений, данная директива ничего не разрешает, потому что, пересечение даже SSL_ports и Safe_ports пусто

"squid и method connect"
Отправлено dixit , 11-Окт-10 21:24

>> http_access allow CONNECT SSL_ports Safe_ports
> http_access и другие подобные директивы принимает в качестве аргументов список имен ACL,
> который воспринимает, как определение нового ACL как пересечение перечисленных
> и в данном случае, если в SSL_ports и Safe_ports нет пересечений, данная
> директива ничего не разрешает, потому что, пересечение даже SSL_ports и Safe_ports
> пусто
Если я правильно понял, так будет правильно:
http_access allow CONNECT SSL_ports
http_access allow CONNECT Safe_ports

"squid и method connect"
Отправлено Andrey Mitrofanov , 12-Окт-10 09:42

> Если я правильно понял, так будет правильно:
Нет, не будет.
Это тривиальное исправление твоего варианта, который хоть как-то будет работать в отличие от.
Будет ли он "правильным" -- зависит от постановки задачи, критериев "правильности".

"squid и method connect"
Отправлено dixit , 12-Окт-10 13:47

Спасибо за помощь.