Eine Nuss die es zu knacken gilt...

[M Goeres]

ist beim testen nun das Squid-Handling.
Sicher wird es bei vielen ein anliegen sein, dass beruehmte "Web-Radio" auch per Proxy dezent ins Nirvana zu schicken.

Also ran ans Werk:
Proxy Filter-Categories auf music (mmhhh was wird da gesanned...wird schon richtig sein)
Ergebnis = Egal (www.#live.de) zum testen. (Will keine Werbung machen :P )

Naechster Check: Kontrolle der URL und der Erweiterung...
akamai.net auf den filter und asf als Erweiterung (auch andere Erweiterungen)......
Ergebnis = funzt immer noch

Nun also mal die Empfindlichkeit beim Content-Filter hoch
Ergebnis = funzt

Ich weiss das Streaming ueber einen Proxy ein Problem ist, da die meisten schoen auf Port 80 "tunneln" aber wie kriege ich so etwas in den Griff, ohne auf die IPTables-Brechstange zrueckgreifen zu muessen und bei jeder Aenderung der IP/Port wieder die Leitung dampfen zu sehen?

Gruss

M.Goeres

[philipp]

Da man derzeit über den Manager noch keine Mimetypes etc. sperren kann, muss das Template vom Squid angepasst werden. Ein Beispiel:
loggen Sie sich auf die CLI ein.
geben Sie change extc_template /etc/squid/squid.conf ein
danach folgenden Inhalt einfügen (angepasste template, mit show extc_template, können sie sich vorher auch das originale Template anzeigen lassen)

Code: Alles auswählen

http_port           127.0.0.1:49221 transparent

# Kaskadierung
#IF ${ENABLE_FORWARD}=1
cache_peer ${FORWARD_PROXY_IP} parent ${FORWARD_PROXY_PORT} 0 default no-query
#ENDIF
icp_port 0
acl QUERY urlpath_regex cgi-bin \\?
acl all src 0.0.0.0/0.0.0.0
no_cache deny all
cache_mem  16 MB
cache_swap_low  70
cache_swap_high 75
maximum_object_size 4096 KB
ipcache_size 1024
ipcache_low  70
ipcache_high 75
fqdncache_size 1024
#cache_dir ufs  /var/spool/squid 1000 16 256
cache_dir null /dev/null
#cache_access_log /var/log/squid/access.log
cache_access_log /dev/null
#cache_log /var/log/squid/cache.log
cache_log /dev/null
#cache_store_log /var/log/squid/store.log
cache_store_log /dev/null
emulate_httpd_log off
mime_table /etc/squid/mime.conf
log_mime_hdrs off
pid_filename /var/run/squid.pid
debug_options ALL,1
log_fqdn off
ftp_user anonymous@foo
unlinkd_program /usr/libexec/unlinkd

# Authentisierung mit lokaler Datenbank
#IF ${ENABLE_AUTH_LOCAL}=1
auth_param basic program /usr/libexec/ncsa_auth /etc/squid/squid_user.dat
#ENDIF

# Authentisierung mit Radius
#IF ${ENABLE_AUTH_RADIUS}=1
auth_param basic program /usr/bin/squid_radius_auth -f /etc/squid_radius_auth.conf
#ENDIF

auth_param basic realm Securepoint Firewall
auth_param basic children 32
auth_param basic credentialsttl 2 hours
refresh_pattern         ^ftp:           1440    20%     10080
refresh_pattern         ^gopher:        1440    0%      1440
refresh_pattern         .               0       20%     4320
quick_abort_min 16 KB
quick_abort_max 16 KB
quick_abort_pct 95
negative_ttl 5 minutes
positive_dns_ttl 6 hours
negative_dns_ttl 5 minutes
range_offset_limit 0 KB
connect_timeout 120 seconds
read_timeout 15 minutes
request_timeout 30 seconds
client_lifetime 1 day
half_closed_clients on
pconn_timeout 120 seconds
shutdown_lifetime 30 seconds

# Authentisierunf erforderlich

#IF ${ENABLE_AUTH_LOCAL}=1
acl authentication proxy_auth REQUIRED
#ENDIF

#IF ${ENABLE_AUTH_RADIUS}=1
acl authentication proxy_auth REQUIRED
#ENDIF

# Webseiten filtern
acl porn url_regex "/etc/squid/denied.txt"
acl noporn url_regex "/etc/squid/nodenied.txt"

acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443
acl Safe_ports port 20 21 80 81 443 1025-65535
acl CONNECT method CONNECT

# Download Groesse beschraenken
#IF ${ENABLE_SIZE_LIMIT}=1
reply_body_max_size ${REPLY_BODY_MAX_SIZE} allow all
#ELSE
reply_body_max_size 0 allow all
#ENDIF

#########################

## Mime Blocking 
acl mimeblockq req_mime_type -i ^application/x-mplayer2$
acl mimeblockq req_mime_type -i application/x-mplayer2
acl mimeblockq req_mime_type -i ^application/x-mplayer$
acl mimeblockq req_mime_type -i application/x-mplayer
acl mimeblockq req_mime_type -i ^video/x-ms-asf$

acl mimeblockp rep_mime_type -i ^application/x-mplayer2$
acl mimeblockp rep_mime_type -i application/x-mplayer2
acl mimeblockp rep_mime_type -i ^video/x-ms-asf$

http_access deny mimeblockq
http_reply_access deny mimeblockp

http_access deny mimeblockq
http_reply_access deny mimeblockp

## Stop multimedia 
acl useragent browser -i ^.NSPlayer.
acl useragent browser -i ^.player.
acl useragent browser -i ^.Windows-Media-Player.
acl useragentq rep_mime_type ^.video.
acl useragentq rep_mime_type ^.audio.
http_access deny useragent
http_access deny useragentq

###############################

# Kaskadierung
#IF ${ENABLE_FORWARD}=1
never_direct allow all
#ENDIF
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

# Zugriff erlaubt mit oder ohne Authentisierung
#IF ${ENABLE_EXCEPTION_URL_LIST}=1
http_access allow noporn all
#ENDIF

# http_access allow noporn authentication
#IF ${ENABLE_BANNED_URL_LIST}=1
http_access deny porn all
#ENDIF

#IF ${ENABLE_AUTH_LOCAL}=1
http_access allow authentication all
#ENDIF

#IF ${ENABLE_AUTH_RADIUS}=1
http_access allow authentication all
#ENDIF

icp_access deny all
miss_access allow all
ident_lookup_access deny all
cache_mgr admin@somewhere
cache_effective_user nobody
cache_effective_group nogroup
visible_hostname localhost
unique_hostname localhost
logfile_rotate 0
tcp_recv_bufsize 0 bytes
memory_pools off
forwarded_for off
log_icp_queries off
icp_hit_stale off
minimum_direct_hops 4
cachemgr_passwd disable all
store_avg_object_size 13 KB
store_objects_per_bucket 50
client_db off
query_icmp off
test_reachability off
buffered_logs off
reload_into_ims off
error_directory /etc/squid/errors
maximum_single_addr_tries 3
uri_whitespace deny
prefer_direct on
strip_query_terms on

bestätigen Sie die Eingabe mit ** danach sollten Sie wieder auf der CLI landen. speichern Sie die Konfiguration und starten den squid neu (update applications sollte reichen auch reichen)
Ich hatte leider nicht viel Zeit diese Einstellungen zu testen, ein Rückmeldung, falls Sie es testen, wäre nett.

[M Goeres]

Mhhhh...das wird einen Moment dauern, da der Browser alle Zeilenumbrueche gekillt hat.......gebe aber sofort nach dem Test Feedback.

Danke vorab...

M.Goeres

[M Goeres]

Mhhh bekomme nach dem einfuegen und wechsel auf das CLI nur ein "-- no such application".

show extc_template /etc/etc/squid.conf funzt aber einwandfrei...

Gruss

M. Goeres

[philipp]

Code: Alles auswählen

change extc_template /etc/squid/squid.conf <enter>
<einfügen>
**

so funktioniert es hier.

[M Goeres]

Sry war ein typer....hatte den richtigen Pfad angegeben /etc/squid/squid.conf

Habe es auch nochmal via Filesystem probiert und "just 4 fun" auch mal die gesamte conf-Datei geleert. Speichern der Appliance-Einstellungen und nach dem Neustart des Squid ist alles wie "durch Zauberhand" beim alten.

Gruss

M.Goeres

[philipp]

die /etc/squid/squid.conf wird nach einem neustart durch die /etc.orig/squid/squid.conf überschrieben.

[M Goeres]

Ich weiss nicht wieso oder warum...habe einfach mal beim change nur "blubb" eingetragen und das wurde akzeptiert.
Danach habe ich die neue conf eingefuegt und gespeichert....da klappte dann auch alles.
Die Milter-Erweiterung und Player Erkennung klappt einwandfrei.
Habe es zwar bisher erst bei 3 Sites getestet, aber entweder herrscht "schweigen im Walde" oder beim Start eines externen Players kommt die Proxy-Fehlerseite.

Great Job und vielen Dank...

M.Goeres

[M Goeres]

Nur fuer den Fall das noch jemand mit dem erweiterten Template arbeitet oder arbeiten will.

Um den Winamp vom Streaming ueber pls-Dateien abzuhalten, habe ich das Template um folgende Zeilen erweitert:

acl mimeblockp rep_mime_type -i ^audio/x-scpls$
acl mimeblockp rep_mime_type -i audio/x-scpls

...leider habe ich aber noch keine korrekte acl generieren koennen, die direkte Bookmarks "abknipst".

Gruss

M.Goeres