0

该项目的目的是强制在主要搜索引擎上进行安全搜索。

我设法安装了 Squid(3.3 版)和 SquidGuard,将 Squid 配置为具有 SSL 拦截功能的透明代理......

我设法在 Google、Yahoo 和 Bing 上强制执行安全搜索,但我无法使用 Duckduckgo 并且我找不到任何合理的解释(无论是在我自己还是在网络上)。

我的 Squid.conf 是:

    acl localnet src 192.168.1.0/24 # RFC1918 possible internal network
    acl localnet src fc00::/7       # RFC 4193 local private network range
    acl localnet src fe80::/10      # RFC 4291 link-local (directly plugged) machin$

    acl SSL_ports port 443
    acl Safe_ports port 80          # http
    acl Safe_ports port 21          # ftp
    acl Safe_ports port 443         # https
    acl Safe_ports port 70          # gopher
    acl Safe_ports port 210         # wais
    acl Safe_ports port 1025-65535  # unregistered ports
    acl Safe_ports port 280         # http-mgmt
    acl Safe_ports port 488         # gss-http
    acl Safe_ports port 591         # filemaker
    acl Safe_ports port 777         # multiling http

    acl CONNECT method CONNECT

    acl engines dstdomain .yahoo.com
    acl engines dstdomain .duckduckgo.com
    acl engines dstdomain .google.com
    acl engines dstdomain .bing.com

    cache deny all
    http_access deny !Safe_ports

    http_access deny CONNECT !SSL_ports

    http_access allow localhost manager
    http_access deny manager

    log_access allow all
    url_rewrite_program /usr/bin/squidGuard -c /etc/squid/squidGuard.conf
    url_rewrite_children 500

    http_access allow localnet
    http_access allow localhost

    http_access deny all

    http_port 3129
    http_port 3128 intercept
    https_port 3130 intercept ssl-bump connection-auth=off generate-host-certificates=on cert=/etc/squid/control.com.au.pem key=/etc/squid/control.com.au.pem cipher=ECDHE-RSA-RC4-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES128-SHA:DHE-RSA-CAMELLIA128-SHA:RC4-SHA:HIGH:!aNull:!MD5:!ADH
    ssl_bump none localhost
    ssl_bump server-first engines
    #ssl_bump server-first all
    ssl_bump none all

    always_direct allow all
    sslproxy_cert_error deny all
    sslproxy_flags DONT_VERIFY_PEER

    refresh_pattern ^ftp:           1440    20%     10080
    refresh_pattern ^gopher:        1440    0%      1440
    refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
    refresh_pattern .               0       20%     4320

SquidGuard 中的重写规则是:

    rewrite engines {
        s@.*bing.com/search.*@&\&adlt=strict@i
        s@.*bing.com/images.*@&\&adlt=strict@i
        s@.*bing.com/videos.*@&\&adlt=strict@i
        s@.*au.search.yahoo.com.*@&\&vm=r@i
        s@.*duckduckgo.com.*@&\&kp=1@i
        s@.*google.com.au.*@1&safe=strict@i
        s@.*google.com.*@1&safe=strict@i
        s@.*bing.com.*@&\&adlt=strict@i
    }

我很确定 squidGuard 重写规则没问题,因为如果我更改 Squid 配置以拦截所有SSL 通信,那么duckduckgo.com 就会被强制执行。问题是我应该输入什么而不是:

    acl engines dstdomain .duckduckgo.com

??????

提前致谢

4

3 回答 3

1

我敢打赌,2015 年 6 月 23 日之后,上述内容不适用于 SquidGuard

“2015 年 6 月 23 日,谷歌搜索服务将把所有搜索结果移到 SSL 加密之后。这意味着所有搜索结果都将使用 'https' 提供,并在网络浏览器中显示安全挂锁。”

许多学校和企业非常生气,他们现在正在使用:

“‘SSL 拦截’功能可以在 Google 实施更改后拦截和过滤 Google 搜索结果。这也允许随后解决已经转移到 SSL 的其他 Google 服务(如 YouTube)的现有问题。”

于 2015-06-29T20:11:16.520 回答
0

您可以通过设置强制透明安全搜索 google(http 和 https):

Configure
set service dns forwarding options address=/.google.com/216.239.38.120
commit
save

完毕 !!!!有用。

额外奖励:

如果您想阻止所有访问 ask and bing 和 dadduckgo 和其他域,请使用:

configure
set service dns forwarding options address=/.bing.com/216.239.38.120
set service dns forwarding options address=/.ask.com/216.239.38.120
set service dns forwarding options address=/.duckduckgo.com/216.239.38.120
commit
save

这会阻止 http 和 https 上的 bing、ask 和 dadduckgo 域。

于 2015-05-13T01:10:00.830 回答
0

这是事实发生一年多之后,但我发现这个线程试图自己解决这个确切的问题,所以就这样吧。

在您的 squid 配置中,您有:

acl engines dstdomain .yahoo.com
acl engines dstdomain .duckduckgo.com
acl engines dstdomain .google.com
acl engines dstdomain .bing.com

但这意味着duckduckgo.com 下的任何子域(即www.duckduckgo.comsearch.duckduckgo.com),但不是duckduckgo.com

当我进行 DDG 搜索时,它只是使用https://duckduckgo.com/$search_string,如下所示:

例如duckduckgo搜索

简而言之,您的显式 ssl-bump aclengines与 dadduckgo 不匹配,因为它需要子域,而不是域本身。当您将配置更改为“全部颠倒”时,它显然会捕获它,因为它会捕获所有内容。

如果你交换这条线

acl engines dstdomain .duckduckgo.com

对于这条线

acl engines dstdomain duckduckgo.com

它会工作的。

于 2016-06-09T05:03:59.513 回答