The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"SQUID и  HTTPS"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Настройка Squid и других прокси серверов (Прозрачный proxy)
Изначальное сообщение [ Отслеживать ]

"SQUID и  HTTPS"  +/
Сообщение от sasiska (ok) on 18-Мрт-14, 09:57 
Ищу вашей помощи, стоит прокси сервер на squid в связке с редиректором, проблема в том, что squid пропускает весь https в обход себе, то есть люди по https могут заходить на закрытые ресурсы (соц сети, ютуб и тп)

в настройках IPFW ситот:
${FwCMD} add fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 to any 80,8080 via ${LanOut}
если добавить строку:
${FwCMD} add fwd 127.0.0.1,3129 tcp from 192.168.0.0/24 to any 443 via ${LanOut}
то https весь перестает работать

в squid.conf
http_port 192.168.0.1:3128 intercept
http_port 192.168.0.1:3129 - добавил, что бы мог слушить второй порт

цель: что бы https проходил так же через squid с редиректором, и пользователи с закрытым доступом не могли залезать на неположенные сайты

в данный момент в IPFW стоит разрешение на весь трафик по 443 порту

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "SQUID и  HTTPS"  +/
Сообщение от Andrey Mitrofanov on 18-Мрт-14, 10:33 
""{X} WARNING: {X} HTTPS was designed to give users an expectation of privacy and security. Decrypting HTTPS tunnels without user consent or knowledge may violate ethical norms and may be illegal in your jurisdiction.

http://wiki.squid-cache.org/Features/HTTPS#Intercepting_dire...
http://wiki.squid-cache.org/Features/HTTPS#Bumping_direct_SS...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "SQUID и  HTTPS"  +/
Сообщение от sasiska (ok) on 18-Мрт-14, 11:00 
> ""{X} WARNING: {X} HTTPS was designed to give users an expectation of
> privacy and security. Decrypting HTTPS tunnels without user consent or knowledge
> may violate ethical norms and may be illegal in your jurisdiction.
> http://wiki.squid-cache.org/Features/HTTPS#Intercepting_dire...
> http://wiki.squid-cache.org/Features/HTTPS#Bumping_direct_SS...

единственный путь, это найти серверный сертификат и приватный ключ? А самый простой способ - купить


Или блочить ресурс через IPFW, и отдельно правилом выше добавить пользователей которые могут посещать данные сайты?

И блочить я так понимаю придется исключительно по IP

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "SQUID и  HTTPS"  +/
Сообщение от name (??) on 18-Мрт-14, 18:14 
1) блокируете прямой трафик https
2) кому он нужен, пусть в настройках браузера указывает ваш прокси
3) прокси фильтрует шифрованный трафик на уровне доменов.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "SQUID и  HTTPS"  +/
Сообщение от sasiska (ok) on 17-Апр-14, 12:57 
Забыл написать, но решил проблему так:
весь трафик лочить было нельзя, так как перестал бы работать гугл, а у нас google apps
решение было простым:
в верху правил для ipfw добавил
add allow ip from "ip"/"mask" to any 80.........  открыл разрешение для vk на 80 порт
и вторым правилом
add deny ip from......... то есть закрыл весь трафик
так как фаерволл читает правила сверху вниз, первое разрешает трафик на 80 порт этого пулла айпи адресов, и сразу же вторым правилом трафик на этот айпи рубится полностью
собственно проблема сайтов с ssl меня не особа мучает, и таких сайтов, которые требовали блокировки только: соц сети, ютуб, пару анонимайзеров, а на остальное наплевал, если кто то нашел другие лазейки, я пока о них не знаю
Дальше уже придется все таки купить сертификат для squid'а, но пока работает
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру