URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID12
Нить номер: 7089
[ Назад ]

Исходное сообщение
"SQUID и HTTPS"
Отправлено sasiska , 18-Мрт-14 09:57

Ищу вашей помощи, стоит прокси сервер на squid в связке с редиректором, проблема в том, что squid пропускает весь https в обход себе, то есть люди по https могут заходить на закрытые ресурсы (соц сети, ютуб и тп)
в настройках IPFW ситот:
${FwCMD} add fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 to any 80,8080 via ${LanOut}
если добавить строку:
${FwCMD} add fwd 127.0.0.1,3129 tcp from 192.168.0.0/24 to any 443 via ${LanOut}
то https весь перестает работать
в squid.conf
http_port 192.168.0.1:3128 intercept
http_port 192.168.0.1:3129 - добавил, что бы мог слушить второй порт
цель: что бы https проходил так же через squid с редиректором, и пользователи с закрытым доступом не могли залезать на неположенные сайты
в данный момент в IPFW стоит разрешение на весь трафик по 443 порту

Содержание

SQUID и HTTPS,Andrey Mitrofanov, 10:33 , 18-Мрт-14
- SQUID и HTTPS,sasiska, 11:00 , 18-Мрт-14
  - SQUID и HTTPS,name, 18:14 , 18-Мрт-14
    - SQUID и HTTPS,sasiska, 12:57 , 17-Апр-14

Сообщения в этом обсуждении

"SQUID и HTTPS"
Отправлено Andrey Mitrofanov , 18-Мрт-14 10:33

""{X} WARNING: {X} HTTPS was designed to give users an expectation of privacy and security. Decrypting HTTPS tunnels without user consent or knowledge may violate ethical norms and may be illegal in your jurisdiction.
http://wiki.squid-cache.org/Features/HTTPS#Intercepting_dire...
http://wiki.squid-cache.org/Features/HTTPS#Bumping_direct_SS...

"SQUID и HTTPS"
Отправлено sasiska , 18-Мрт-14 11:00

> ""{X} WARNING: {X} HTTPS was designed to give users an expectation of
> privacy and security. Decrypting HTTPS tunnels without user consent or knowledge
> may violate ethical norms and may be illegal in your jurisdiction.
> http://wiki.squid-cache.org/Features/HTTPS#Intercepting_dire...
> http://wiki.squid-cache.org/Features/HTTPS#Bumping_direct_SS...
единственный путь, это найти серверный сертификат и приватный ключ? А самый простой способ - купить

Или блочить ресурс через IPFW, и отдельно правилом выше добавить пользователей которые могут посещать данные сайты?
И блочить я так понимаю придется исключительно по IP

"SQUID и HTTPS"
Отправлено name , 18-Мрт-14 18:14

1) блокируете прямой трафик https
2) кому он нужен, пусть в настройках браузера указывает ваш прокси
3) прокси фильтрует шифрованный трафик на уровне доменов.

"SQUID и HTTPS"
Отправлено sasiska , 17-Апр-14 12:57

Забыл написать, но решил проблему так:
весь трафик лочить было нельзя, так как перестал бы работать гугл, а у нас google apps
решение было простым:
в верху правил для ipfw добавил
add allow ip from "ip"/"mask" to any 80......... открыл разрешение для vk на 80 порт
и вторым правилом
add deny ip from......... то есть закрыл весь трафик
так как фаерволл читает правила сверху вниз, первое разрешает трафик на 80 порт этого пулла айпи адресов, и сразу же вторым правилом трафик на этот айпи рубится полностью
собственно проблема сайтов с ssl меня не особа мучает, и таких сайтов, которые требовали блокировки только: соц сети, ютуб, пару анонимайзеров, а на остальное наплевал, если кто то нашел другие лазейки, я пока о них не знаю
Дальше уже придется все таки купить сертификат для squid'а, но пока работает