 SQUID и HTTPS,  sasiska, 18-Мрт-14, 09:57 [смотреть все]Ищу вашей помощи, стоит прокси сервер на squid в связке с редиректором, проблема в том, что squid пропускает весь https в обход себе, то есть люди по https могут заходить на закрытые ресурсы (соц сети, ютуб и тп)в настройках IPFW ситот:
${FwCMD} add fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 to any 80,8080 via ${LanOut}
если добавить строку:
${FwCMD} add fwd 127.0.0.1,3129 tcp from 192.168.0.0/24 to any 443 via ${LanOut}
то https весь перестает работать в squid.conf
http_port 192.168.0.1:3128 intercept
http_port 192.168.0.1:3129 - добавил, что бы мог слушить второй порт цель: что бы https проходил так же через squid с редиректором, и пользователи с закрытым доступом не могли залезать на неположенные сайты в данный момент в IPFW стоит разрешение на весь трафик по 443 порту
|
- SQUID и HTTPS, Andrey Mitrofanov, 10:33 , 18-Мрт-14 (1)
- SQUID и HTTPS, sasiska, 11:00 , 18-Мрт-14 (2)
- SQUID и HTTPS, name, 18:14 , 18-Мрт-14 (3)
1) блокируете прямой трафик https
2) кому он нужен, пусть в настройках браузера указывает ваш прокси
3) прокси фильтрует шифрованный трафик на уровне доменов.
- SQUID и HTTPS, sasiska, 12:57 , 17-Апр-14 (4)
Забыл написать, но решил проблему так:
весь трафик лочить было нельзя, так как перестал бы работать гугл, а у нас google apps
решение было простым:
в верху правил для ipfw добавил
add allow ip from "ip"/"mask" to any 80......... открыл разрешение для vk на 80 порт
и вторым правилом
add deny ip from......... то есть закрыл весь трафик
так как фаерволл читает правила сверху вниз, первое разрешает трафик на 80 порт этого пулла айпи адресов, и сразу же вторым правилом трафик на этот айпи рубится полностью
собственно проблема сайтов с ssl меня не особа мучает, и таких сайтов, которые требовали блокировки только: соц сети, ютуб, пару анонимайзеров, а на остальное наплевал, если кто то нашел другие лазейки, я пока о них не знаю
Дальше уже придется все таки купить сертификат для squid'а, но пока работает
|
Версия для распечатки
