Ограничение исходящего HTTPS трафика (SQUID или IPTABLES)

Обсуждение настройки и работы сервисов, резервирования, сетевых настроек и вопросов безопасности ОС.

Модераторы: SLEDopit, Модераторы разделов

Аватара пользователя
yamah
Сообщения: 1116
ОС: Rosa Fresh, Debian, RELS

Ограничение исходящего HTTPS трафика

Сообщение yamah »

Доброго времени суток.
Есть задача ограничить на шлюзе выгрузку данных на удаленные Web-Адреса.
Для HTTP-трафика задача решается легко - тупо блокировать в IPTABLES передачу файлов по типам (заголовкам файла).
Однако, на HTTPS трафике этот подход не работает.
Совсем блокировать HTTPS нельзя - входящий явно нужен, поэтому хотя бы GET-запросы нужно оставить.
Шлюз из себя представляет Debian Squeeze, SQUID+SAMS, а так же NAT (средствами IPTABLES) для избранных (, их IP жестко прописаны в конфиге IPTABLES, остальных IPTABLES просто блокирует, если те пожелают пройти мимо SQUID-а). Контролировать трафик достаточно только у "неизбранных".

Как решить поставленную задачу?
Понимание - это меч с тремя кромками: ваша правда, наша правда и Истина.
Жизнь - игра: сюжет задуман фигова, но графика хорошая...
Лучший игровой сервер - Земля: карта всего одна, но на 7 миллиардов игроков; читеров нет, админ терпеливый, но если уж забанит...
Спасибо сказали:
Аватара пользователя
Poor Fred
Сообщения: 1575
Статус: Pygoscelis papua
ОС: Gentoo Linux, FreeBSD

Re: Ограничение исходящего HTTPS трафика

Сообщение Poor Fred »

HTTPS-трафик определяется по номеру порта - 443. На мой взгляд, проблема легко решается поиском "iptables shaping".
Убить всех человеков!
Спасибо сказали:
Аватара пользователя
yamah
Сообщения: 1116
ОС: Rosa Fresh, Debian, RELS

Re: Ограничение исходящего HTTPS трафика

Сообщение yamah »

Poor Fred писал(а):
25.10.2012 08:56
HTTPS-трафик определяется по номеру порта - 443. На мой взгляд, проблема легко решается поиском "iptables shaping".

Спасибо за подсказку. :-)
Буду разбираться.
Понимание - это меч с тремя кромками: ваша правда, наша правда и Истина.
Жизнь - игра: сюжет задуман фигова, но графика хорошая...
Лучший игровой сервер - Земля: карта всего одна, но на 7 миллиардов игроков; читеров нет, админ терпеливый, но если уж забанит...
Спасибо сказали:
IMB
Сообщения: 2567
ОС: Debian

Re: Ограничение исходящего HTTPS трафика

Сообщение IMB »

Poor Fred писал(а):
25.10.2012 08:56
HTTPS-трафик определяется по номеру порта - 443.

Что мне мешает сконфигурировать сервер на использование другого порта?
Но если рассматривать это как наиболее распространённый вариант.
Спасибо сказали:
Аватара пользователя
Poor Fred
Сообщения: 1575
Статус: Pygoscelis papua
ОС: Gentoo Linux, FreeBSD

Re: Ограничение исходящего HTTPS трафика

Сообщение Poor Fred »

IMB писал(а):
26.10.2012 12:54
Poor Fred писал(а):
25.10.2012 08:56
HTTPS-трафик определяется по номеру порта - 443.

Что мне мешает сконфигурировать сервер на использование другого порта?

Ничего. Но тогда пользователи топикстартера на твой сервер просто не попадают. Разумется, если брандмауер настроен как "запрещено всё, кроме того, что разрешено".

Ты можешь, конечно, все свои серверы посадить на абсолютно левые порты, но тогда ты лишаешься большинства корпоративных пользователей.
Убить всех человеков!
Спасибо сказали: