прозрачный squid + бан httpS:\\vk.com

alexandr.jurka · 17 июля 2015, 16:55:27

Дано: debian, squid 2.7 в прозрачном режиме - http банится без проблем.
Проблема: хоть http и банится, доступ через защищенный канал httpS есть.
Вопрос: чем же можно прикрыть некоторые httpS-ные сайты? и чем лучше реализовать?
Конкретно - соцсети и прочие неугодные сайты, но чтобы нужные - типа Киви оставались нетронутыми. + доступ к соц.сетям нужно оставить одному-двум IP.

ihammers · 17 июля 2015, 19:13:24

Если хотите полный бан молот, то вам через iptables. А если хотите "тонкой" настройки, то вам через acl (squid), узнаёте ip, которые все могут и создаёте правило остальных рубите.

alexandr.jurka · 20 июля 2015, 10:42:27

вариант с Иптейблз мне не подходит.
Если я правильно понимаю всю суть, нужно :
1) завернуть запросы на порт 443 на любой свободный порт, чтоб слушать в Сквиде (3129 например);
2) создать сертификат и ключ, положить в папку сквида;
3) в конфиге указать какой порт слушать (3129) и пути к ключам, но тогда все сайты с хттпС будут ругаться, т.к. сертификат самописанный - классическая атака "человек посередине"

как можно избежать ругани нормальных сайтов - типа киви, а вк банить.. Может у кого конфиг есть для примера. Либо другими средствами можно реализовать...

endru · 20 июля 2015, 10:57:22

перенаправляй https трафик на squid. Будет банить без всяких настроек сертификатов так же как и http, только кэшировать ничего не будет.

alexandr.jurka · 20 июля 2015, 15:44:30

Цитата: endru от 20 июля 2015, 10:57:22
перенаправляй https трафик на squid. Будет банить без всяких настроек сертификатов так же как и http, только кэшировать ничего не будет.

попробовал, после перезапуска сквид :

Код Выделить

parseConfigFile: squid.conf:2 unrecognized: 'https_port'

315th · 20 июля 2015, 22:23:57

Цитата: alexandr.jurka от 20 июля 2015, 10:42:27вариант с Иптейблз мне не подходит.

Код Выделить

-A FORWARD -m tcp -p tcp -m string --algo bm --string vk.com -i $INT_IFACE -j DROP
Разве не подходит?

alexandr.jurka · 21 июля 2015, 13:16:51

Спойлер

Цитата: alexandr.jurka от 20 июля 2015, 10:42:27вариант с Иптейблз мне не подходит.

Код Выделить

-A FORWARD -m tcp -p tcp -m string --algo bm --string vk.com -i $INT_IFACE -j DROP
Разве не подходит?

Для фильтрации по тексту запросов нужно работать с прикладным уровнем, то бишь использовать всякие прокси - это сказано в руководстве по iptables.

Почему так - там тоже сказано:

Цитироватьпакеты при пересылке через сеть фрагментируются, и строка, которую вы ищете, не попадется вам целиком, если начало ее будет в одном пакете, а конец - в другом. Для того, чтобы такая фильтрация все-таки давала эффект, нужно выполнять работу по поиску указанной подстроки в сериях последовательных пакетов из одного соединения, что создаст повышенную нагрузку на процессор.

iptables нужен для фильтрации на транспортном/сетевом уровнях.

поэтому хочется все настроить именно через прокси

endru · 21 июля 2015, 13:21:27

Цитата: alexandr.jurka от 20 июля 2015, 15:44:30parseConfigFile: squid.conf:2 unrecognized: 'https_port'

конфиг выкладывай.

alexandr.jurka · 21 июля 2015, 15:01:54

Спойлер

http_port 192.168.0.1:3128 transparent
https_port 192.168.0.1:3129
icp_port 0

cache_effective_user proxy
cache_effective_group proxy
cache_mgr mehonoshin@sc.vsu.ru

access_log /var/log/squid/access.log squid

# Proxy server ACL List
acl all src all
acl common src 192.168.0.0/255.255.255.0
acl it src 192.168.0.254/255.255.255.255
acl it2 src 192.168.51.0/255.255.255.0

acl blocksites url_regex -i "/etc/squid/blocked.txt"
http_access deny blocksites !it

# time to limit the number of user connections
acl 2CONN maxconn 60

http_access allow common
http_access allow it
http_access allow it2
http_access deny all

http_port 80 vhost
ignore_expect_100 on

315th · 22 июля 2015, 06:50:08

alexandr.jurka, да, такое может быть в сегментированной сети, когда пакет проходит через несколько маршрутизаторов.
Может Вам стоит обновить squid до 3-й ветки и строить там ssl_bump?

alexandr.jurka · 22 июля 2015, 10:50:11

Цитата: 315th от 22 июля 2015, 06:50:08
alexandr.jurka, да, такое может быть в сегментированной сети, когда пакет проходит через несколько маршрутизаторов.
Может Вам стоит обновить squid до 3-й ветки и строить там ssl_bump?

а подскажите, а какую именно версию данной ветки? их там много, какая будет постабильней и безглючней? я в Линуксе не так давно - подскажите также: как обновиться до нужной версии?

315th · 23 июля 2015, 20:54:32

Не подскажу, использую другой прокси-сервер.
Обновиться как обычно

Код Выделить

aptitude install squid3

endru · 24 июля 2015, 06:10:40

Цитата: alexandr.jurka от 22 июля 2015, 10:50:11а подскажите, а какую именно версию данной ветки? их там много, какая будет постабильней и безглючней?

все версии которые находятся в репах jessie и wheezy
для обновления нужно поправить список источников /etc/apt/sources.list, сделать apt-get update и установить нужный пакет.

agentgoblin · 06 августа 2015, 14:59:03

Цитата: alexandr.jurka от 20 июля 2015, 10:42:27как можно избежать ругани нормальных сайтов - типа киви, а вк банить

Сказать браузеру, что он теперь работает через прокси такой-то, при этом вроде бы ругательства прекращаются. Соответственно разрешить в iptables http(s)-трафик только от squid, остальной забанить. Нет прописаного прокси в браузере - нет веб-страничек. Есть прописаный прокси - есть веб-странички, доступ к которым вы и контроллируете.

alexandr.jurka · 11 августа 2015, 08:40:49

Цитата: agentgoblin от 06 августа 2015, 14:59:03Нет прописаного прокси в браузере - нет веб-страничек. Есть прописаный прокси - есть веб-странички, доступ к которым вы и контроллируете.

интересует именно прозрачный прокси, чтоб никому ничего не прописывать