yasuと申します。
下記の件で行きづまり、問合せしてしまうこと、
誠に恐縮です。
Proxyサーバをsquidにて稼動してます。
この度、WEBメールサイトのアクセス拒否をかけたいと思い、
これまでのように、拒否サイトのリスト(別途リストを設けそれを
squid.confに読込せて使用中)に該当URLを記述しましたが
「Access Denied」になりません。
洗い出してみると、SSL(https://〜)のページが
「Access Denied」になってくれないことが判明しました。
http://〜 では「Access Denied」になるが、
https://〜 では「Access Denied」になってくれない。
以上、https://〜 のサイトもアクセス拒否できるには
どのようにしたら良いのでしょうか?
ご教授頂けると幸いです。
squid.conf の設定の位置はデフォルトのままで、
特に順番を変更したりはしていません。
> Proxyサーバをsquidにて稼動してます。
>
> この度、WEBメールサイトのアクセス拒否をかけたいと思い、
> これまでのように、拒否サイトのリスト(別途リストを設けそれを
> squid.confに読込せて使用中)に該当URLを記述しましたが
> 「Access Denied」になりません。
>
> 洗い出してみると、SSL(https://〜)のページが
> 「Access Denied」になってくれないことが判明しました。
>
> http://〜 では「Access Denied」になるが、
> https://〜 では「Access Denied」になってくれない。
>
>
> 以上、https://〜 のサイトもアクセス拒否できるには
> どのようにしたら良いのでしょうか?
恐らく、そのリストには
^http://www.aconus.com/
^https://www.aconus.com/
と書かれていて、https://www.aconus.com/ の方が通過してしまう。ということですよね。
もしそうなら、そうなります。パケットをキャプチャすればわかりますが、httpは
GET http://www.aconus.com/ HTTP/1.0
となりますが、proxy経由でhttpsアクセスする場合はCONNECTメソッドでアクセスするので、
CONNECT www.aconus.com:443 HTTP/1.0
となるので、上記正規表現ではマッチングしません。
^www.aconus.com:443
と書いてあげれば、https://www.aconus.com/ へのアクセスは拒否できると思います。
> > Proxyサーバをsquidにて稼動してます。
> >
> > この度、WEBメールサイトのアクセス拒否をかけたいと思い、
> > これまでのように、拒否サイトのリスト(別途リストを設けそれを
> > squid.confに読込せて使用中)に該当URLを記述しましたが
> > 「Access Denied」になりません。
> >
> > 洗い出してみると、SSL(https://〜)のページが
> > 「Access Denied」になってくれないことが判明しました。
> >
> > http://〜 では「Access Denied」になるが、
> > https://〜 では「Access Denied」になってくれない。
> >
> >
> > 以上、https://〜 のサイトもアクセス拒否できるには
> > どのようにしたら良いのでしょうか?
> 恐らく、そのリストには
>
> ^http://www.aconus.com/
> ^https://www.aconus.com/
>
> と書かれていて、https://www.aconus.com/ の方が通過してしまう。ということですよね。
> もしそうなら、そうなります。パケットをキャプチャすればわかりますが、httpは
>
> GET http://www.aconus.com/ HTTP/1.0
>
> となりますが、proxy経由でhttpsアクセスする場合はCONNECTメソッドでアクセスするので、
>
> CONNECT www.aconus.com:443 HTTP/1.0
>
> となるので、上記正規表現ではマッチングしません。
>
> ^www.aconus.com:443
>
> と書いてあげれば、https://www.aconus.com/ へのアクセスは拒否できると思います。
上記、確認取れました。
ご教授ありがとうございます。
http://www.aconus.com/ は通すけれど、
https://www.aconus.com/webmail は通さない
このようにする時にはどうしたら良いのでしょうか?
www.aconus.com/webmail:443
という定義ではアクセス拒否できません。
以上、よろしくお願いします。
> http://www.aconus.com/ は通すけれど、
> https://www.aconus.com/webmail は通さない
> このようにする時にはどうしたら良いのでしょうか?
>
> www.aconus.com/webmail:443
> という定義ではアクセス拒否できません。
上記は有り得ない書き方ですね。敢えて書くなら
www.aconus.com:443/webmail
ですが、残念ながらhttpsでは
CONNECT www.aconus.com:443 HTTP/1.0
でCONNECTした後は通信内容は暗号化されてしまうため中身はわからない(だからSSL)ので、https://www.aconus.com/webmail は通さないという設定はできません。できるのは、https://www.aconus.com は通さない設定までで、URIが何であれ全て遮断することしかできません。
http://www.aconus.com/ はデフォルトでは通るので何もしなくても大丈夫ですよね。
> > http://www.aconus.com/ は通すけれど、
> > https://www.aconus.com/webmail は通さない
> > このようにする時にはどうしたら良いのでしょうか?
> >
> > www.aconus.com/webmail:443
> > という定義ではアクセス拒否できません。
> 上記は有り得ない書き方ですね。敢えて書くなら
>
> www.aconus.com:443/webmail
>
> ですが、残念ながらhttpsでは
>
> CONNECT www.aconus.com:443 HTTP/1.0
>
> でCONNECTした後は通信内容は暗号化されてしまうため中身はわからない(だからSSL)ので、https://www.aconus.com/webmail は通さないという設定はできません。できるのは、https://www.aconus.com は通さない設定までで、URIが何であれ全て遮断することしかできません。
> http://www.aconus.com/ はデフォルトでは通るので何もしなくても大丈夫ですよね。
勉強になります。
幸い、(例)https://www.aconus.com/webmail は
ログイン後のURLが必ず https://webmail.aconus.com/〜 に
なるため、webmail.aconus.com:443 でアクセス拒否できることに
成功しました。
ご教授、どうもありがとうございました。