прозрачный squid + бан httpS:\\vk.com

[alexandr.jurka]

Дано: debian, squid 2.7 в прозрачном режиме - http банится без проблем.
Проблема: хоть http и банится, доступ через защищенный канал httpS есть.
Вопрос: чем же можно прикрыть некоторые httpS-ные сайты? и чем лучше реализовать?
Конкретно - соцсети и прочие неугодные сайты, но чтобы нужные - типа Киви оставались нетронутыми. + доступ к соц.сетям нужно оставить одному-двум IP.

[ihammers]

Если хотите полный бан молот, то вам через iptables. А если хотите "тонкой" настройки, то вам через acl (squid), узнаёте ip, которые все могут и создаёте правило остальных рубите.

[alexandr.jurka]

вариант с Иптейблз мне не подходит.
Если я правильно понимаю всю суть, нужно :
1) завернуть запросы на порт 443 на любой свободный порт, чтоб слушать в Сквиде (3129 например);
2) создать сертификат и ключ, положить в папку сквида;
3) в конфиге указать какой порт слушать (3129) и пути к ключам, но тогда все сайты с хттпС будут ругаться, т.к. сертификат самописанный - классическая атака "человек посередине"

как можно избежать ругани нормальных сайтов - типа киви, а вк банить.. Может у кого конфиг есть для примера. Либо другими средствами можно реализовать...

[endru]

перенаправляй https трафик на squid. Будет банить без всяких настроек сертификатов так же как и http, только кэшировать ничего не будет.

[alexandr.jurka]

перенаправляй https трафик на squid. Будет банить без всяких настроек сертификатов так же как и http, только кэшировать ничего не будет.

попробовал, после перезапуска сквид :

Код: [Выделить]

parseConfigFile: squid.conf:2 unrecognized: 'https_port'

[315th]

вариант с Иптейблз мне не подходит.

Код: [Выделить]

-A FORWARD -m tcp -p tcp -m string --algo bm --string vk.com -i $INT_IFACE -j DROPРазве не подходит?

[alexandr.jurka]

Spoiler: ShowHide

вариант с Иптейблз мне не подходит.

Код: [Выделить]

-A FORWARD -m tcp -p tcp -m string --algo bm --string vk.com -i $INT_IFACE -j DROPРазве не подходит?

Для фильтрации по тексту запросов нужно работать с прикладным уровнем, то бишь использовать всякие прокси - это сказано в руководстве по iptables.

Почему так - там тоже сказано:

пакеты при пересылке через сеть фрагментируются, и строка, которую вы ищете, не попадется вам целиком, если начало ее будет в одном пакете, а конец - в другом. Для того, чтобы такая фильтрация все-таки давала эффект, нужно выполнять работу по поиску указанной подстроки в сериях последовательных пакетов из одного соединения, что создаст повышенную нагрузку на процессор.

iptables нужен для фильтрации на транспортном/сетевом уровнях.

поэтому хочется все настроить именно через прокси

[endru]

parseConfigFile: squid.conf:2 unrecognized: 'https_port'

конфиг выкладывай.

[alexandr.jurka]

Spoiler: ShowHide

http_port 192.168.0.1:3128 transparent
https_port 192.168.0.1:3129
icp_port 0

cache_effective_user proxy
cache_effective_group proxy
cache_mgr mehonoshin@sc.vsu.ru

access_log /var/log/squid/access.log squid

# Proxy server ACL List
acl all src all
acl common src 192.168.0.0/255.255.255.0
acl it src 192.168.0.254/255.255.255.255
acl it2 src 192.168.51.0/255.255.255.0

acl blocksites url_regex -i "/etc/squid/blocked.txt"
http_access deny blocksites !it

# time to limit the number of user connections
acl 2CONN maxconn 60

http_access allow common
http_access allow it
http_access allow it2
http_access deny all

http_port 80 vhost
ignore_expect_100 on

[315th]

alexandr.jurka, да, такое может быть в сегментированной сети, когда пакет проходит через несколько маршрутизаторов.
Может Вам стоит обновить squid до 3-й ветки и строить там ssl_bump?

[alexandr.jurka]

alexandr.jurka, да, такое может быть в сегментированной сети, когда пакет проходит через несколько маршрутизаторов.
Может Вам стоит обновить squid до 3-й ветки и строить там ssl_bump?

а подскажите, а какую именно версию данной ветки? их там много, какая будет постабильней и безглючней? я в Линуксе не так давно - подскажите также: как обновиться до нужной версии?

[315th]

Не подскажу, использую другой прокси-сервер.
Обновиться как обычно

Код: [Выделить]

aptitude install squid3

[endru]

а подскажите, а какую именно версию данной ветки? их там много, какая будет постабильней и безглючней?

все версии которые находятся в репах jessie и wheezy
для обновления нужно поправить список источников /etc/apt/sources.list, сделать apt-get update и установить нужный пакет.

[agentgoblin]

как можно избежать ругани нормальных сайтов - типа киви, а вк банить

Сказать браузеру, что он теперь работает через прокси такой-то, при этом вроде бы ругательства прекращаются. Соответственно разрешить в iptables http(s)-трафик только от squid, остальной забанить. Нет прописаного прокси в браузере - нет веб-страничек. Есть прописаный прокси - есть веб-странички, доступ к которым вы и контроллируете.

[alexandr.jurka]

Нет прописаного прокси в браузере - нет веб-страничек. Есть прописаный прокси - есть веб-странички, доступ к которым вы и контроллируете.

интересует именно прозрачный прокси, чтоб никому ничего не прописывать