Автор Тема: прозрачный squid + бан httpS:\\vk.com  (Прочитано 7050 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн alexandr.jurka

прозрачный squid + бан httpS:\\vk.com
« : 17 Июля 2015, 16:55:27 »
Дано: debian, squid 2.7 в прозрачном режиме - http банится без проблем.
Проблема: хоть http и банится, доступ через защищенный канал httpS есть.
Вопрос: чем же можно прикрыть некоторые httpS-ные сайты? и чем лучше реализовать?
Конкретно - соцсети и прочие неугодные сайты, но чтобы нужные - типа Киви оставались нетронутыми. + доступ к соц.сетям нужно оставить одному-двум IP.
 

Оффлайн ihammers

Re: прозрачный squid + бан httpS:\\vk.com
« Ответ #1 : 17 Июля 2015, 19:13:24 »
Если хотите полный бан молот, то вам через iptables. А если хотите "тонкой" настройки, то вам через acl (squid), узнаёте ip, которые все могут и создаёте правило остальных рубите.
Debian GNU/Linux Stretch, kernel 4.9.0-5-amd64,
LXQt/KDE/OpenBox AMD Phenon X4 / 16Gb RAM / ATI HD7750 Silent
_______________________________
Debian GNU/Linux Stretch, kernel 4.9.0-5-amd64, LXQt/KDE/OpenBox
Acer Aspire One 722 AMD C60 / 4Gb RAM / ATI HD6290
 

Оффлайн alexandr.jurka

Re: прозрачный squid + бан httpS:\\vk.com
« Ответ #2 : 20 Июля 2015, 10:42:27 »
вариант с Иптейблз мне не подходит.
Если я правильно понимаю всю суть, нужно :
1) завернуть запросы на порт 443 на любой свободный порт, чтоб слушать в Сквиде (3129 например);
2) создать сертификат и ключ, положить в папку сквида;
3) в конфиге указать какой порт слушать (3129) и пути к ключам, но тогда все сайты с хттпС будут ругаться, т.к. сертификат самописанный - классическая атака "человек посередине"

как можно избежать ругани нормальных сайтов - типа киви, а вк банить.. Может у кого конфиг есть для примера. Либо другими средствами можно реализовать...
 

Оффлайн endru

Re: прозрачный squid + бан httpS:\\vk.com
« Ответ #3 : 20 Июля 2015, 10:57:22 »
перенаправляй https трафик на squid. Будет банить без всяких настроек сертификатов так же как и http, только кэшировать ничего не будет.
 
Пользователи, которые поблагодарили этот пост: alexandr.jurka

Оффлайн alexandr.jurka

Re: прозрачный squid + бан httpS:\\vk.com
« Ответ #4 : 20 Июля 2015, 15:44:30 »
перенаправляй https трафик на squid. Будет банить без всяких настроек сертификатов так же как и http, только кэшировать ничего не будет.

попробовал, после перезапуска сквид : parseConfigFile: squid.conf:2 unrecognized: 'https_port'
 

Оффлайн 315th

Re: прозрачный squid + бан httpS:\\vk.com
« Ответ #5 : 20 Июля 2015, 22:23:57 »
вариант с Иптейблз мне не подходит.
-A FORWARD -m tcp -p tcp -m string --algo bm --string vk.com -i $INT_IFACE -j DROPРазве не подходит?
Debian GNU/Linux 7.11 (wheezy) - CLI
ICH7; D525MV; r8169; Linux 4.14.32-atomd525mv-imq-ja1 (i686); Intel Atom D525 1.8 GHz
 
Пользователи, которые поблагодарили этот пост: sidbar

Оффлайн alexandr.jurka

Re: прозрачный squid + бан httpS:\\vk.com
« Ответ #6 : 21 Июля 2015, 13:16:51 »
Spoiler: ShowHide
вариант с Иптейблз мне не подходит.
-A FORWARD -m tcp -p tcp -m string --algo bm --string vk.com -i $INT_IFACE -j DROPРазве не подходит?

Для фильтрации по тексту запросов нужно работать с прикладным уровнем, то бишь использовать всякие прокси - это сказано в руководстве по iptables.

Почему так - там тоже сказано:
Цитировать
пакеты при пересылке через сеть фрагментируются, и строка, которую вы ищете, не попадется вам целиком, если начало ее будет в одном пакете, а конец - в другом. Для того, чтобы такая фильтрация все-таки давала эффект, нужно выполнять работу по поиску указанной подстроки в сериях последовательных пакетов из одного соединения, что создаст повышенную нагрузку на процессор.

iptables нужен для фильтрации на транспортном/сетевом уровнях.

поэтому хочется все настроить именно через прокси
 

Оффлайн endru

Re: прозрачный squid + бан httpS:\\vk.com
« Ответ #7 : 21 Июля 2015, 13:21:27 »
parseConfigFile: squid.conf:2 unrecognized: 'https_port'
конфиг выкладывай.
 
Пользователи, которые поблагодарили этот пост: alexandr.jurka

Оффлайн alexandr.jurka

Re: прозрачный squid + бан httpS:\\vk.com
« Ответ #8 : 21 Июля 2015, 15:01:54 »
Spoiler: ShowHide
http_port 192.168.0.1:3128 transparent
https_port 192.168.0.1:3129
icp_port 0

cache_effective_user proxy
cache_effective_group proxy
cache_mgr mehonoshin@sc.vsu.ru

access_log /var/log/squid/access.log squid

# Proxy server ACL List
acl all src all
acl common src 192.168.0.0/255.255.255.0
acl it src 192.168.0.254/255.255.255.255
acl it2 src 192.168.51.0/255.255.255.0

acl blocksites url_regex -i "/etc/squid/blocked.txt"
http_access deny blocksites !it

# time to limit the number of user connections
acl 2CONN maxconn 60

http_access allow common
http_access allow it
http_access allow it2
http_access deny all

http_port 80 vhost
ignore_expect_100 on
 

Оффлайн 315th

Re: прозрачный squid + бан httpS:\\vk.com
« Ответ #9 : 22 Июля 2015, 06:50:08 »
alexandr.jurka, да, такое может быть в сегментированной сети, когда пакет проходит через несколько маршрутизаторов.
Может Вам стоит обновить squid до 3-й ветки и строить там ssl_bump?
Debian GNU/Linux 7.11 (wheezy) - CLI
ICH7; D525MV; r8169; Linux 4.14.32-atomd525mv-imq-ja1 (i686); Intel Atom D525 1.8 GHz
 

Оффлайн alexandr.jurka

Re: прозрачный squid + бан httpS:\\vk.com
« Ответ #10 : 22 Июля 2015, 10:50:11 »
alexandr.jurka, да, такое может быть в сегментированной сети, когда пакет проходит через несколько маршрутизаторов.
Может Вам стоит обновить squid до 3-й ветки и строить там ssl_bump?


а подскажите, а какую именно версию данной ветки? их там много, какая будет постабильней и безглючней? я в Линуксе не так давно - подскажите также: как обновиться до нужной версии?
 

Оффлайн 315th

Re: прозрачный squid + бан httpS:\\vk.com
« Ответ #11 : 23 Июля 2015, 20:54:32 »
Не подскажу, использую другой прокси-сервер.
Обновиться как обычно
aptitude install squid3
« Последнее редактирование: 23 Июля 2015, 21:45:12 от 315th »
Debian GNU/Linux 7.11 (wheezy) - CLI
ICH7; D525MV; r8169; Linux 4.14.32-atomd525mv-imq-ja1 (i686); Intel Atom D525 1.8 GHz
 

Оффлайн endru

Re: прозрачный squid + бан httpS:\\vk.com
« Ответ #12 : 24 Июля 2015, 06:10:40 »
а подскажите, а какую именно версию данной ветки? их там много, какая будет постабильней и безглючней?
все версии которые находятся в репах jessie и wheezy
для обновления нужно поправить список источников /etc/apt/sources.list, сделать apt-get update и установить нужный пакет.

Оффлайн agentgoblin

Re: прозрачный squid + бан httpS:\\vk.com
« Ответ #13 : 06 Августа 2015, 14:59:03 »
как можно избежать ругани нормальных сайтов - типа киви, а вк банить
Сказать браузеру, что он теперь работает через прокси такой-то, при этом вроде бы ругательства прекращаются. Соответственно разрешить в iptables http(s)-трафик только от squid, остальной забанить. Нет прописаного прокси в браузере - нет веб-страничек. Есть прописаный прокси - есть веб-странички, доступ к которым вы и контроллируете.
 

Оффлайн alexandr.jurka

Re: прозрачный squid + бан httpS:\\vk.com
« Ответ #14 : 11 Августа 2015, 08:40:49 »
Нет прописаного прокси в браузере - нет веб-страничек. Есть прописаный прокси - есть веб-странички, доступ к которым вы и контроллируете.
интересует именно прозрачный прокси, чтоб никому ничего не прописывать
 

Теги: