Buster | Squid | GET DENIED 403

Gemeinsam ins Internet mit Firewall und Proxy.
Antworten
slu
Beiträge: 1691
Registriert: 23.02.2005 23:58:47

Buster | Squid | GET DENIED 403

Beitrag von slu » 08.06.2020 18:20:24

Hallo,

ich hab heute mal ein Squid installiert welcher nur Windows Updates erlauben soll (was auch soweit funktioniert):

Code: Alles auswählen

root@server:/etc/squid# grep "^[^#;]" squid.conf 
acl SSL_ports port 443
acl Safe_ports port 80		# http
acl Safe_ports port 443		# https
acl CONNECT method CONNECT
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager
include /etc/squid/conf.d/*
acl windowsupdate dstdomain windowsupdate.com
acl windowsupdate dstdomain wustat.windows.com
acl windowsupdate dstdomain .microsoft.com
http_access allow windowsupdate
http_access deny all
http_port 3128
maximum_object_size 2000 MB
cache_dir ufs /var/spool/squid 8000 16 256
coredump_dir /var/spool/squid
refresh_pattern -i microsoft.com/.*\.(cab|exe|ms[i|u|f]|[ap]sf|wm[v|a]|dat|zip) 4320 80% 43200 reload-into-ims
refresh_pattern -i windowsupdate.com/.*\.(cab|exe|ms[i|u|f]|[ap]sf|wm[v|a]|dat|zip) 4320 80% 43200 reload-into-ims
refresh_pattern -i windows.com/.*\.(cab|exe|ms[i|u|f]|[ap]sf|wm[v|a]|dat|zip) 4320 80% 43200 reload-into-ims
refresh_pattern ^ftp:		1440	20%	10080
refresh_pattern ^gopher:	1440	0%	1440
refresh_pattern -i (/cgi-bin/|\?) 0	0%	0
refresh_pattern .		0	20%	4320
quick_abort_min -1
range_offset_limit 2000 MB windowsupdate
Warum kann gibt es beim GET ein 403 obwohl die Domain ok ist?

Code: Alles auswählen

TCP_DENIED/403 4228 GET http://ctldl.windowsupdate.com/[...]
Gruß
slu

Das Server Reinheitsgebot:
Debian Buster, sonst nichts.

Stolzer Gewinner der Jessie Release Wette:
https://wiki.debianforum.de/Jessie_Release_Wette#SIEGER

MSfree
Beiträge: 5924
Registriert: 25.09.2007 19:59:30

Re: Buster | Squid | GET DENIED 403

Beitrag von MSfree » 08.06.2020 18:30:14

slu hat geschrieben: ↑ zum Beitrag ↑
08.06.2020 18:20:24

Code: Alles auswählen

root@server:/etc/squid# grep "^[^#;]" squid.conf 
...
acl windowsupdate dstdomain windowsupdate.com
...
Warum kann gibt es beim GET ein 403 obwohl die Domain ok ist?

Code: Alles auswählen

TCP_DENIED/403 4228 GET http://ctldl.windowsupdate.com/[...]
Die oben ausgeschnippelte ACL erlaubt nur den Zugriff auf windowsupdate.com, nicht aber auf ctldl.windowsupdate.com.

Das entscheidende Extra ist ein kleine Punkt vor windowsupdate.com

Code: Alles auswählen

acl windowsupdate dstdomain .windowsupdate.com

slu
Beiträge: 1691
Registriert: 23.02.2005 23:58:47

Re: Buster | Squid | GET DENIED 403

Beitrag von slu » 09.06.2020 09:23:30

MSfree hat geschrieben: ↑ zum Beitrag ↑
08.06.2020 18:30:14
Das entscheidende Extra ist ein kleine Punkt vor windowsupdate.com

Code: Alles auswählen

acl windowsupdate dstdomain .windowsupdate.com
Danke, x-mal drauf geschaut und trotzdem übersehen.
Gruß
slu

Das Server Reinheitsgebot:
Debian Buster, sonst nichts.

Stolzer Gewinner der Jessie Release Wette:
https://wiki.debianforum.de/Jessie_Release_Wette#SIEGER

Antworten