Squid blockt ungefragt HTTPS

[malante]

Hallo.

nach dem Upgrade von Wheezy auf Jessie blockt mein Squid (2.7.STABLE9) plötzlich HTTPS-Verbindungen. Eigentlich sollte er sie einfach ungeprüft durchlassen, stattdessen werden sie nun an SquidGuard übergeben.
Wenn ich diese Zeile auskommentiere:

Code: Alles auswählen

redirect_program /usr/bin/squidGuard -c /etc/squid/squidGuard.conf

klappt HTTPS wieder, allerdings werden dann keine Seiten mehr gefiltert.

Hier meine squid.conf:

Code: Alles auswählen

acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32
acl localnet src 192.168.0.0/16	
acl SSL_ports port 443		
acl SSL_ports port 563		
acl SSL_ports port 873		
acl Safe_ports port 80		
acl Safe_ports port 21		
acl Safe_ports port 443		
acl Safe_ports port 70		
acl Safe_ports port 210		
acl Safe_ports port 1025-65535	
acl Safe_ports port 280		
acl Safe_ports port 488		
acl Safe_ports port 591		
acl Safe_ports port 777		
acl Safe_ports port 631		
acl Safe_ports port 873		
acl Safe_ports port 901		
acl purge method PURGE
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access allow localnet
http_access deny all
icp_access allow localnet
icp_access deny all
http_port 3128
hierarchy_stoplist cgi-bin ?
access_log /var/log/squid/access.log squid
refresh_pattern ^ftp:		1440	20%	10080
refresh_pattern ^gopher:	1440	0%	1440
refresh_pattern -i (/cgi-bin/|\?) 0	0%	0
refresh_pattern (Release|Packages(.gz)*)$	0	20%	2880
refresh_pattern .		0	20%	4320
acl shoutcast rep_header X-HTTP09-First-Line ^ICY.[0-9]
upgrade_http0.9 deny shoutcast
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
extension_methods REPORT MERGE MKACTIVITY CHECKOUT
hosts_file /etc/hosts
coredump_dir /var/spool/squid
redirect_program /usr/bin/squidGuard -c /etc/squid/squidGuard.conf

Hat jemand eine Idee, was falsch ist?

[uname]

Ich halte es schon für sinnvoll auch HTTPS-Verbindung an SquidGuard zu übergeben auch wenn du nur auf IP-Adressen und DNS-Namen filtern kannst. Wenn du darauf verzichtest kannst du es auch gleich sein lassen, da große Teile des Internets heutzutage TLS/SSL nutzen. Da Zertifikate zudem nichts mehr kosten wird dieser Anteil wohl weiter ansteigen.

Ich könnte mir vorstellen, dass die Parameter an SquidGuard falsch übergeben werden. Leider kenne ich mich mit Squid und SquidGuard nicht mehr wirklich aus.

[malante]

Wäre mir auch egal, Hauptsache HTTPS-Seiten werden überhaupt angezeigt.

[malante]

Hallo nochmal,

wenn ich den SquidGuard manuell auf der Befehlzeile teste, erhalte ich ein ERR.

Code: Alles auswählen

root@raspi:/home/pi# echo "https://www.debianforum.de 192.168.1.2/ - - GET" | squidGuard -c /etc/squidguard/squidGuard.conf -d 
2015-12-29 11:23:41 [1092] INFO: New setting: dbhome: /var/lib/squidguard/db
2015-12-29 11:23:41 [1092] INFO: New setting: logdir: /var/log/squid
2015-12-29 11:23:41 [1092] init domainlist /var/lib/squidguard/db/ads
2015-12-29 11:23:41 [1092] INFO: loading dbfile /var/lib/squidguard/db/ads.db
2015-12-29 11:23:41 [1092] INFO: squidGuard 1.5 started (1451388221.194)
2015-12-29 11:23:41 [1092] INFO: squidGuard ready for requests (1451388221.207)
ERR
2015-12-29 11:23:41 [1092] INFO: squidGuard stopped (1451388221.211)

Die Log-Dateien zeigen nichts merkwürdiges. Weiß jemand, wie ich herausfinden kann, woher dieses ERR kommen könnte?
Bei der Installation wurde automatisch squid3 installiert. Das Paket SquidGuard hängt allerdings von squid oder squid3 ab, daher habe ich squid3 wieder entfernt. Kann es sein, dass SquidGuard 1.5.4 trotzdem nicht mit Squid 2.7 zusammenarbeiten will?

[malante]

Hallo,

das Problem besteht immer noch. Hat niemand eine Idee? Wo könnte ich Hilfe bekommen? Weiß jemand eine Alternative zum SquidGuard?
Manuelles Blocken per squid.conf funktioniert auch nicht wie gewünscht:

Code: Alles auswählen

acl geblockt dstdomain "/etc/squid/blacklist
http_access deny geblockt
http_reply_access deny geblockt localnet

Wenn ich eine Site aus dieser Datei direkt aufrufe, wird sie geblockt, ist sie in eine andere Site eingebunden, wird sie angezeigt.

[uname]

Wenn ich eine Site aus dieser Datei direkt aufrufe, wird sie geblockt, ist sie in eine andere Site eingebunden, wird sie angezeigt.

Das ist natürlich Blödsinn, da der Browser alle Seiten (fast) vollkommen unabhängig voneinander beim Proxy anfragt. Lösch vielleicht mal deinen Cache. Schau dir sicherheitshalber auch mal die Logdaten beim Proxy an. Wahrscheinlich unterscheidet sich der direkte Aufruf vom eingebundenen Aufruf.

[malante]

Wenn ich eine Site aus dieser Datei direkt aufrufe, wird sie geblockt, ist sie in eine andere Site eingebunden, wird sie angezeigt.

Das ist natürlich Blödsinn, da der Browser alle Seiten (fast) vollkommen unabhängig voneinander beim Proxy anfragt.

Nein, das ist kein Blödsinn, sondern reproduzierbar und auch im Log ablesbar.
Ich habe in meiner squidguard.conf ein Logfile zum Filter hinzugefügt

Code: Alles auswählen

dest ads {
        urllist ads
        logfile /var/log/squid3/ads.log
        }

Rufe ich nun http://adition.com in der Adressleiste des Browsers auf, erhalte ich in /var/log/squid3/ads.log
2016-03-05 10:44:32 [11133] Request(default/ads/-) http://adition.com/favicon.ico 192.168.1.223/pc223.netz.home - GET REDIRECT

Rufe ich heise.de auf, das wiederum http://adition.com einbindet, wird Werbung von http://adition.com angezeigt. In /var/log/squid3/ads.log erscheint nichts, die i]/var/log/squid3/access.log[/i] enthält
1457167937.504 652 192.168.1.223 TCP_MISS/200 21883 CONNECT ad4.adfarm1.adition.com:443 - HIER_DIRECT/217.79.188.46 -

Auch der direkte Test von SquidGuard funktioniert:
echo "http://www.adition.com 192.168.1.223/ - - GET" | squidGuard -c /etc/squidguard/squidGuard.conf -d
liefert
...
2016-03-05 10:58:42 [11444] Request(default/ads/-) http://www.adition.com 192.168.1.223/- - - REDIRECT
OK rewrite-url="http://localhost/index.html"
(es würde also auf meine interne »blocked!«-Site umgeleitet)