unixforum.org

Подскажите такую вещь, начальство приказало ограничить доступ к vk.com и facebook.
Фильтрация http организована через squid с перенаправлением порта.

Насколько я понимаю если делать прозрачное проксирование как с http, то полюбому все сайты будут жаловаться на левый сертификат?
То есть нельзя сделать чтобы например соединения с google.com игнорировались а соединения с vk.com жаловались на сертификат?
Может у кого-то есть ссылочка где описан механизм работы таких вещей?

По IP забанить не проще? Или вообще настроить DNS сервер что-бы говорил что vk.com находится по адресу 127.0.0.1 (хотя это уж совсем легко обходится).

MrClon писал(а): ↑

05.04.2014 15:29

По IP забанить не проще? Или вообще настроить DNS сервер что-бы говорил что vk.com находится по адресу 127.0.0.1 (хотя это уж совсем легко обходится).

По ip забанить можно, но например тот же фейсбук имеет целую автономую систему. Да и фокусы с dns это не действенно
К тому же у меня этот вопрос сложился даже не потому что ппц надо, а потому что самому интересно как это работает.

squid нормально режет ssl-трафик, смотрите в сторону ssl_bump.
по поводу жалоб на "левый сертификат" - установите клиентам свой корневой сертификат (которым прокси подписывает)

lastpriot писал(а): ↑

05.04.2014 23:08

squid нормально режет ssl-трафик, смотрите в сторону ssl_bump.
по поводу жалоб на "левый сертификат" - установите клиентам свой корневой сертификат (которым прокси подписывает)

В том то и вопрос. Согласитесь что ставить сертификат на каждый комп чтобы работать гугль это негуманно.
Компов примерно 150. Некоторые под mac os.

Вопрос в том, можно ли заставить сквид не просить сертификат конкретно для google.com но просить его для остального?

Решение было найдено.

Если вдруг кто-то будет копаться в этом и забредёт сюда вот как я это сделал:

Задача была оставить в покое честные сайты типа google.com или qiwi.ru, так чтобы не импортируя никаких левых сертификатов всё продолжало работать. Но заблокировать фейсбук и вконтакте и т.д., пофигу будет спрашивать сертификат или нет.

версия сквида 3.3,
добавляем в конфиг:



в файлик /etc/squid/badips добавляем весь диапазон айпишников сайтов которые нужно заблочить. Гугль подскажет эти айпишники.
Поскольку ssl_bump по умолчанию имеет значение ssl_bump none то строчку "ssl_bump none all" можно в конце не добавлять. ссл бамп будет срабатывать только на те айпишники которые есть в списке badips.

Делать acl вида dstdomain или url_regex не получится. Только айпишники.

Я считаю это наиболее мягкое решение позволяющее заблокировать неугодное.

костыль

lastpriot писал(а): ↑

07.04.2014 15:56

костыль

Не согласен. Конечно фильтровать на уровне IP было-бы проще и правильнее, но такое решение всё-же лучше подмен всех сертификатов и подсовывания клиентам своего корневого сертификата. Такие выкрутасы нужны если хочется слушать весь SSL трафик, но для зобана фконтактега оно явно избыточно.

kasak писал(а): ↑

05.04.2014 19:53

По ip забанить можно, но например тот же фейсбук имеет целую автономую систему. Да и фокусы с dns это не действенно
К тому же у меня этот вопрос сложился даже не потому что ппц надо, а потому что самому интересно как это работает.

Вот всю AS и забанить, наверняка IPы аккуратно собраны в одну - две подсети. Всё-равно ведь пришлось брать список IPов и банить по ним, только не сразу фаерволом, а погоняв трафик через сквид.

Инструкция по настройке прозрачной фильтрации https в squid - ссылка. А чтобы не ругалось на сертификат просто добавить корневой сертификат во все браузеры.