15
Squid Domainblockade funktioniert nicht
Hallo,
ich habe nen Squid laufen, um den Traffic zu filtern. Es soll z.B. die Werbung gefiltert werden, das erledige ich mit der Hosts-Datei. Grund für Squid: Alle Netzwerknutzer müssen den verwenden. Jetzt sehe ich aber noch im squid-Log, dass Verbindungen zu securepubads.g.doubleclick.net aufgebaut werden.
Auf dem Rechner mit dem Squid habe ich das mit der Hosts-Datei auf 0.0.0.0 aufgelöst, ein nslookup securepubads.g.doubleclick.net gibt mir als IP auch 0.0.0.0 aus.
Warum kann dann noch Inhalt von dieser Seite geladen werden?
Jetzt habe ich es mit einer ACL versucht, aber gleiches Ergebnis:
Auszug aus squidview
Ist zwar Https, es soll aber gar keine Verbindung zu diesem Server hergestellt werden dürfen.
Verbindungen werden weiterhin hergestellt, bei der Eingabe dieser Domains im Browser erhalte ich jedoch die Sperrseite. Was mache ich hier noch falsch?
LG Marco
ich habe nen Squid laufen, um den Traffic zu filtern. Es soll z.B. die Werbung gefiltert werden, das erledige ich mit der Hosts-Datei. Grund für Squid: Alle Netzwerknutzer müssen den verwenden. Jetzt sehe ich aber noch im squid-Log, dass Verbindungen zu securepubads.g.doubleclick.net aufgebaut werden.
Auf dem Rechner mit dem Squid habe ich das mit der Hosts-Datei auf 0.0.0.0 aufgelöst, ein nslookup securepubads.g.doubleclick.net gibt mir als IP auch 0.0.0.0 aus.
Warum kann dann noch Inhalt von dieser Seite geladen werden?
Jetzt habe ich es mit einer ACL versucht, aber gleiches Ergebnis:
visible_hostname P4-Server
forwarded_for off
http_port 443
auth_param basic program /usr/lib/squid3/basic_ncsa_auth /etc/squid/squid.passwd
auth_param basic children 5
auth_param basic realm Proxy
auth_param basic credentialsttl 3 hours
auth_param basic casesensitive off
acl blacklist_advert_domains dstdomain "/etc/squid/BL/advert/domains.txt"
acl users proxy_auth REQUIRED
acl sectionx proxy_auth REQUIRED
http_access deny users blacklist_advert_domains
http_access allow users.doubleclick.net
.google-analytics.com
.pubads.g.doubleclick.net
.pagead2.googlesyndication.com
.securepubads.g.doubleclick.net
.ggpht.com
.yt3.ggpht.com
.ade.googlesyndication.com
.googleads.g.doubleclick.netproxyuse d securepubads.g.doubleclick.net:443Verbindungen werden weiterhin hergestellt, bei der Eingabe dieser Domains im Browser erhalte ich jedoch die Sperrseite. Was mache ich hier noch falsch?
LG Marco
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 385526
Url: https://administrator.de/contentid/385526
Printed on: April 16, 2024 at 05:04 o'clock
15 Comments
Latest comment
Sicher, dass auf den Clients der Proxy eingestellt ist? Klingt so, als ob deine clients drann vorbei surfen dürfen.
Hi,
Probiere mal in Zeile 16 das users hinter die blacklist und mit CONNECT.
http_access deny CONNECT blacklist_advert_domains users
Fuer Deine domain.txt reichen 4 Eintraege.
BFF
Probiere mal in Zeile 16 das users hinter die blacklist und mit CONNECT.
http_access deny CONNECT blacklist_advert_domains users
Fuer Deine domain.txt reichen 4 Eintraege.
.doubleclick.net
.google-analytics.com
.googlesyndication.com
.ggpht.com BFF
Squid fragt normalerweise selbst die Nameserver und nutzt keine Systemschnittstelle dafür — ergo wird auch die Hosts-Datei nicht beachtet.
Mache das lieber mit einer ordentlichen ACL, wie schon beschrieben wurde.
Mache das lieber mit einer ordentlichen ACL, wie schon beschrieben wurde.
Hi,
Wenn dem so waere, wuerden keine Eintraege im Logfile seines Squid auftauchen.
BFF
Klingt so, als ob deine clients drann vorbei surfen dürfen.
Wenn dem so waere, wuerden keine Eintraege im Logfile seines Squid auftauchen.
BFF
Als Nameserver dient dnsmasq auf der 127.0.0.1 und der nutzt die hosts-Datei. die 127.0.0.1 ist auch in der ersten Zeile der resolv.conf
Mit http_access deny CONNECT blacklist_advert_domains users lässt sich squid nicht starten.
Eine weitere Idee wäre, die IPs der Domains mit nslookup nachzufragen und dann pe iptables zu sperren.
Mit http_access deny CONNECT blacklist_advert_domains users lässt sich squid nicht starten.
Eine weitere Idee wäre, die IPs der Domains mit nslookup nachzufragen und dann pe iptables zu sperren.
Noch was Kurioses:
Daher funktionieren auch meine IPTables-Regeln nicht.
root@Pentium4Server:~# nslookup yt3.ggpht.com 9.9.9.9 |grep Address
Address: 9.9.9.9#53
Address: 172.217.21.193
Address: 2a00:1450:4001:806::2001
root@Pentium4Server:~# nslookup yt3.ggpht.com 9.9.9.9 |grep Address
Address: 9.9.9.9#53
Address: 172.217.18.161
Address: 2a00:1450:4001:81d::2001
root@Pentium4Server:~# Mit http_access deny CONNECT blacklist_advert_domains users lässt sich squid nicht starten.
Finde heraus warum Dein Squid das nicht tut mit Standardeintraegen in der Konfiguration.
Ich denke mal, dass Dein Konfiguration des Squid und dessen Umgebung nicht passen.
BFF
P.S.
visible_hostname P4-Server
Das ist doch nicht dieser "beruehmte" P4?
Nein, die Betraege suche ich jetzt nicht raus.
OS ist Ubuntu Bionic x86 auf Pentium 4 550, ist NICHT der 2.53er im Medion-PC.
Die User habe ich mit htpasswd eingerichtet und liegen in der /etc/squid/squid.passwd.
Sonst ist beim squid nichts eingerichtet. Das Paket stammt aus den Paketquellen von Ubuntu.
Diese Zeile mit CONNECT scheint er nicht zu mögen. Hast du diese bei dir in Verwendung?
Die User habe ich mit htpasswd eingerichtet und liegen in der /etc/squid/squid.passwd.
Sonst ist beim squid nichts eingerichtet. Das Paket stammt aus den Paketquellen von Ubuntu.
root@Pentium4Server:~# systemctl status squid.service
● squid.service - LSB: Squid HTTP Proxy version 3.x
Loaded: loaded (/etc/init.d/squid; generated)
Active: failed (Result: exit-code) since Wed 2018-09-05 21:07:18 CEST; 11s ago
Docs: man:systemd-sysv-generator(8)
Process: 21578 ExecStop=/etc/init.d/squid stop (code=exited, status=0/SUCCESS)
Process: 21662 ExecStart=/etc/init.d/squid start (code=exited, status=3)
Sep 05 21:07:18 Pentium4Server systemd[1]: Starting LSB: Squid HTTP Proxy version 3.x...
Sep 05 21:07:18 Pentium4Server squid[21668]: Bungled /etc/squid/squid.conf line 15: http_access deny CONNECT blacklist_advert_
Sep 05 21:07:18 Pentium4Server squid[21674]: Bungled /etc/squid/squid.conf line 15: http_access deny CONNECT blacklist_advert_
Sep 05 21:07:18 Pentium4Server squid[21662]: * FATAL: Bungled /etc/squid/squid.conf line 15: http_access deny CONNECT blackli
Sep 05 21:07:18 Pentium4Server systemd[1]: squid.service: Control process exited, code=exited status=3
Sep 05 21:07:18 Pentium4Server systemd[1]: squid.service: Failed with result 'exit-code'.
Sep 05 21:07:18 Pentium4Server systemd[1]: Failed to start LSB: Squid HTTP Proxy version 3.x.
lines 1-14/14 (END)...skipping...
● squid.service - LSB: Squid HTTP Proxy version 3.x
Loaded: loaded (/etc/init.d/squid; generated)
Active: failed (Result: exit-code) since Wed 2018-09-05 21:07:18 CEST; 11s ago
Docs: man:systemd-sysv-generator(8)
Process: 21578 ExecStop=/etc/init.d/squid stop (code=exited, status=0/SUCCESS)
Process: 21662 ExecStart=/etc/init.d/squid start (code=exited, status=3)
Sep 05 21:07:18 Pentium4Server systemd[1]: Starting LSB: Squid HTTP Proxy version 3.x...
Sep 05 21:07:18 Pentium4Server squid[21668]: Bungled /etc/squid/squid.conf line 15: http_access deny CONNECT blacklist_advert_domains users
Sep 05 21:07:18 Pentium4Server squid[21674]: Bungled /etc/squid/squid.conf line 15: http_access deny CONNECT blacklist_advert_domains users
Sep 05 21:07:18 Pentium4Server squid[21662]: * FATAL: Bungled /etc/squid/squid.conf line 15: http_access deny CONNECT blacklist_advert_domains users
Sep 05 21:07:18 Pentium4Server systemd[1]: squid.service: Control process exited, code=exited status=3
Sep 05 21:07:18 Pentium4Server systemd[1]: squid.service: Failed with result 'exit-code'.
Sep 05 21:07:18 Pentium4Server systemd[1]: Failed to start LSB: Squid HTTP Proxy version 3.x.
Hi,
Ja habe ich, nur nicht mit Deiner Conf. ;)
Und es kann auch sein, dass Connect nicht so mit Deiner Conf klappt. War nur ein Schnellschuss meinerseits.
BFF
Ja habe ich, nur nicht mit Deiner Conf. ;)
Und es kann auch sein, dass Connect nicht so mit Deiner Conf klappt. War nur ein Schnellschuss meinerseits.
BFF
Ich habe so eine Vermutung: Die Anfrage wird ohne DNS-Auflösung, sondern direkt mit der IP gemacht und der squid löst einfach rückwärts auf. Ist das eventuell der Fall?
Das würde die weiteren Aufrufe trotz DNS-Blockade erklären.
2. Wie handhabt ihr die Werbefilterung z.B. in Unternehmen?
Das würde die weiteren Aufrufe trotz DNS-Blockade erklären.
2. Wie handhabt ihr die Werbefilterung z.B. in Unternehmen?
Zu 1. Erklaere mal.
Zu 2. Produktiv hat kein Internet und die Sitzungen die duerfen haben Blocklisten und sowas wie einen PI-Hole davor.
BFF
Zu 2. Produktiv hat kein Internet und die Sitzungen die duerfen haben Blocklisten und sowas wie einen PI-Hole davor.
BFF
Die Domain googleads.g.doubleclick.net wird auf 0.0.0.0 aufgelöst, ergo kann man da nicht erreichen. Ich habe bei den anderen per hosts gesperrten Domains im squid-Log ein invialid request. Das gilt nicht für die o.g. Doamins wie pagead2.googlesyndication.com, die tauschen weiterhin auf. Da diese aber nicht über den DNS auflösbar sind muss die Verbindung ohne vorherige DNS-Auflösung direkt per IP aufgebaut werden, sonst würde man versuchen sich mit der 0.0.0.0 zu verbinden.
Moin,
Gruß,
Dani
ich habe nen Squid laufen, um den Traffic zu filtern. Es soll z.B. die Werbung gefiltert werden, das erledige ich mit der Hosts-Datei. Grund für Squid:
meinerseits an ganz anderes Ansatz: Warum filterst du nicht mit Hilfe von Pi-Hole?Auf dem Rechner mit dem Squid habe ich das mit der Hosts-Datei auf 0.0.0.0 aufgelöst, ein nslookup securepubads.g.doubleclick.net gibt mir als IP auch 0.0.0.0 aus.
0.0.0.0 halte ich für sehr fragwürdig, weil es keine IP-Adresse ist sondern eine Routing-Adresse. Ich würde es am ehesten mit 127.0.0.1 versuchen. Eine weitere Idee wäre, die IPs der Domains mit nslookup nachzufragen und dann pe iptables zu sperren.
Was machst du mit Internetseiten welche über CDN gehostet werden und die IP-Adressen wechseln?Gruß,
Dani
Genau da liegt das Problem mit den Google-Anzeigen.
IPs ändern sich.
127.0.0.1 ist ein Problem, da auf dem squid-Rechner ein Webserver auf Port 80 lauscht.
Dann werden dauerhaft Inhalte von dort geladen. Die Idee mit 0.0.0.0 habe ich von http://winhelp2002.mvps.org/hosts.htm
Wie löst denn Pi-hole dieses Problem mit den wechselnden IP-Adressen?
IPs ändern sich.
127.0.0.1 ist ein Problem, da auf dem squid-Rechner ein Webserver auf Port 80 lauscht.
Dann werden dauerhaft Inhalte von dort geladen. Die Idee mit 0.0.0.0 habe ich von http://winhelp2002.mvps.org/hosts.htm
Wie löst denn Pi-hole dieses Problem mit den wechselnden IP-Adressen?
Moin,
Gruß,
Dani
Wie löst denn Pi-hole dieses Problem mit den wechselnden IP-Adressen?
das Projekt ist Open Source und hat eine gutes FAQ - How does Pi-hole work?Gruß,
Dani