- PR -

squidの設定とプロクシをはじくWEBサイトについて

1
投稿者投稿内容
kalze
ぬし
会議室デビュー日: 2003/10/23
投稿数: 406
お住まい・勤務地: 東京・東京
投稿日時: 2004-04-21 15:35
いつもお世話になっております。

squidを利用してプロクシを構築しようとしています。
Debian GNU/Linux Woodyに、debパッケージのsquid2.4を使用しております。

現在、基本的にはプロクシサーバとして機能しているのですが、
プロクシ制限をかけているサイトではじかれてしまいます。
  HTTP_X_FORWARDED_FOR
  HTTP_VIA
  HTTP_CACHE_CONTROL
などの送信自体をやめるにはソースをいじるくらいしかないようですが、
できるだけパッケージ管理を通したいので、避けたいところです。

プロクシを利用している方も多いかとおもいますが、
プロクシをはじくWEBサイト対策はどうされているのでしょうか?

プロクシと分かるヘッダを一切送信しないようにされているのでしょうか?
そういうサイトはプロクシを通さずにアクセスしているのでしょうか?

#canon.jpがプロクシを通すとみれないので、ドライバ関係もあり困っています。
#それ以外にもいくつかプロクシをはじいていると思われるところがあるのですが。
はゆる
ぬし
会議室デビュー日: 2004/02/16
投稿数: 1008
お住まい・勤務地: 首都圏をウロウロと
投稿日時: 2004-04-21 19:06
こんにちは〜。

手元の squid ちゃんも遠くに旅立ってしまった(もらわれていった。笑)ので確認は取れないのですが、こちらのサイトさんの情報は参考にならないでしょうか?
squid.conf で潰せるようです。
http://www.win.ne.jp/~yoshikaw/linux/squid.html

ちなみに、squid じゃない proxy を通してみましたが、canon.jp は見えました。
「診断くん(←URL が変更になってます)」 で見てみたら、HTTP_CACHE_CONTROL は出てきています(一応評価は 「A」 とのこと)。
kalze
ぬし
会議室デビュー日: 2003/10/23
投稿数: 406
お住まい・勤務地: 東京・東京
投稿日時: 2004-04-21 19:50
はゆる様、ご返答ありとうございました。

各種設定を見直したんですが、ダメでした。
しかし、ふと以前にECNオプションでメールサーバが、特定のホストにsmtpで送信できなかったことを思い出し、同じくECNオプションが立っているとhttpでもはじかれるという話だったので、ECNを無効にしてみました。

すると、まったく問題なく見えました。

squid関係ないじゃん、俺!
と自己ツッコミしつつ、解決したことを報告させていただきます。
#現状見れなかったところは、ECNのせいだったようです
#プロクシ拒否なサイトもあるとおもうので、そうなったらまた試行錯誤してみます
あんとれ
ぬし
会議室デビュー日: 2004/01/14
投稿数: 556
投稿日時: 2004-04-21 21:07
squid.confで以下の設定をすれば、HTTP_X_FORWARDED_FOR、HTTP_VIA、HTTP_CACHE_CONTROLは送信されなくなります。

forwarded_for off
header_access X-Forwarded-For deny all
header_access Via deny all
header_access Cache-Control deny all

でも、これはsquid-2.5STABLE5での設定ですので、2.4ではどうかは分かりません。
(この辺、一回変わったような気がするので)
kalze
ぬし
会議室デビュー日: 2003/10/23
投稿数: 406
お住まい・勤務地: 東京・東京
投稿日時: 2004-04-21 21:52
ご返答ありがとうございます

引用:

squid.confで以下の設定をすれば、HTTP_X_FORWARDED_FOR、HTTP_VIA、HTTP_CACHE_CONTROLは送信されなくなります。

forwarded_for off
header_access X-Forwarded-For deny all
header_access Via deny all
header_access Cache-Control deny all

でも、これはsquid-2.5STABLE5での設定ですので、2.4ではどうかは分かりません。
(この辺、一回変わったような気がするので)


実はこちらについては調べていました。
2.5からのオプションのようで、2.4ではできないようです。
Debianのtestingでは2.5なんですが、
それを入れようとすると、libc6などもtestingになってしまうので、
できれば避けたいなぁと思っておりました。
最悪、どうしてもとなったらソースから入れるか、testing入れるかしかないかなぁと思っていましたが。

X-Forwarded-ForとViaについては、送信しないように2.4でもできました。
ただ、同時に他のものがひとつ送信されなくなっていましたけど・・・。
もしかしたらCache-Controlも送信しなくなる設定がある可能性はあるのですが、
ネットワーク管理が兼任で、本職の方が忙しい為にあまり設定いじって実験している暇もなく・・・。

なにはともあれ、あんとれ様ご教示ありがとうございました
1

スキルアップ/キャリアアップ(JOB@IT)