URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID12
Нить номер: 6033
[ Назад ]

Исходное сообщение
"фильтрация HTTPS трафика"
Отправлено conspiro , 06-Апр-09 17:46

Всем доброго времени суток!
Есть проблема, решения которой я никак не могу найти.
Возможно ли ограничить доступ к HTTPS ресурсам с помощью squid'а? Сейчас настроена связка iptables + squid, с HTTP все прекрасно =) Возможно ли настроить прозрачное проксирование HTTPS? Как вообще можно учитывать HTTPS трафик?
Подскажите, в какую сторону копать?

Содержание

фильтрация HTTPS трафика,ipmanyak, 18:10 , 06-Апр-09
трафика HTTPS фильтрация,Andrey Mitrofanov, 18:23 , 06-Апр-09
- трафика HTTPS фильтрация,conspiro, 15:35 , 07-Апр-09

Сообщения в этом обсуждении

"фильтрация HTTPS трафика"
Отправлено ipmanyak , 06-Апр-09 18:10

>Всем доброго времени суток!
>Есть проблема, решения которой я никак не могу найти.
>
>Возможно ли ограничить доступ к HTTPS ресурсам с помощью squid'а? Сейчас настроена
>связка iptables + squid, с HTTP все прекрасно =) Возможно ли
>настроить прозрачное проксирование HTTPS?
Почему нет? заворачивай 443 порт также как 80!

"трафика HTTPS фильтрация"
Отправлено Andrey Mitrofanov , 06-Апр-09 18:23

>Возможно ли ограничить доступ к HTTPS ресурсам с помощью squid'а? Сейчас настроена
http:/openforum/vsluhforumID12/5499.html#5
>Подскажите, в какую сторону копать?
http:/openforum/vsluhforumID12/5890.html#3
http:/openforum/vsluhforumID12/5956.html#4
2ipmanyak:
>>Почему нет? заворачивай 443 порт также как 80!
Я, конечно, тоже не возражаю, но не будет ли против сам сквид?...
Впочем, могу ошибаться... натурально.

"трафика HTTPS фильтрация"
Отправлено conspiro , 07-Апр-09 15:35

В общем, получается так:
с HTTPS squid прозрачно не работает (оно теперь и понятно =)).
Я нашел такой выход:
  1) iptables "заворачивают" HTTP трафик на порт прокси (для приложений, которые не понимают "глобальных" настроек прокси)
  2) для клиентов с IE в настройках DHCP сервера (dhcpd.conf) прописано:
     option local-pac-server code 252 = text;
     option local-pac-server "http://<http_server_ip>/wpad.dat";
  3) для клинтов с Firefox (он почему-то не умеет запрашивать настройки у DHCP) прописан VirtualHost wpad.<my_domain> в настройках HTTP сервера.
  4) в корневом каталоге для wpad.<my_domain> создан симлинк wpad.dat -> wpad.da (ибо IE глючен до ужаса, некоторые клиенты запрашивают .dat, некоторые обрезают имя до .da)
  5) Сам wpad.dat имеет такое содержание:
function FindProxyForURL(url,host) {
  if (isInNet(host,"<localnet>","<localnet mask>") {
     return "DIRECT";
  }
  return "PROXY <proxy_ip>:<proxy_port>";
}
вот с такими "костылями" заработала фильтрация HTTPS трафика =) Мож кому полезно будет.
напоследок:
http://www.lissyara.su/?id=1717#DHCP