The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"фильтрация HTTPS трафика"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Настройка Squid и других прокси серверов (Public)
Изначальное сообщение [ Отслеживать ]

"фильтрация HTTPS трафика"  
Сообщение от conspiro (ok) on 06-Апр-09, 17:46 
Всем доброго времени суток!
Есть проблема, решения которой я никак не могу найти.

Возможно ли ограничить доступ к HTTPS ресурсам с помощью squid'а? Сейчас настроена связка iptables + squid, с HTTP все прекрасно =) Возможно ли настроить прозрачное проксирование HTTPS? Как вообще можно учитывать HTTPS трафик?

Подскажите, в какую сторону копать?

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "фильтрация HTTPS трафика"  
Сообщение от ipmanyak (??) on 06-Апр-09, 18:10 
>Всем доброго времени суток!
>Есть проблема, решения которой я никак не могу найти.
>
>Возможно ли ограничить доступ к HTTPS ресурсам с помощью squid'а? Сейчас настроена
>связка iptables + squid, с HTTP все прекрасно =) Возможно ли
>настроить прозрачное проксирование HTTPS?

Почему нет? заворачивай 443 порт также как 80!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "трафика HTTPS фильтрация"  
Сообщение от Andrey Mitrofanov on 06-Апр-09, 18:23 
>Возможно ли ограничить доступ к HTTPS ресурсам с помощью squid'а? Сейчас настроена

http:/openforum/vsluhforumID12/5499.html#5

>Подскажите, в какую сторону копать?

http:/openforum/vsluhforumID12/5890.html#3
http:/openforum/vsluhforumID12/5956.html#4

2ipmanyak:
>>Почему нет? заворачивай 443 порт также как 80!

Я, конечно, тоже не возражаю, но не будет ли против сам сквид?...

Впочем, могу ошибаться... натурально.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "трафика HTTPS фильтрация"  
Сообщение от conspiro (ok) on 07-Апр-09, 15:35 
В общем, получается так:
с HTTPS squid прозрачно не работает (оно теперь и понятно =)).
Я нашел такой выход:
  1) iptables "заворачивают" HTTP трафик на порт прокси (для приложений, которые не понимают "глобальных" настроек прокси)
  2) для клиентов с IE в настройках DHCP сервера (dhcpd.conf) прописано:
     option local-pac-server code 252 = text;
     option local-pac-server "http://<http_server_ip>/wpad.dat";
  3) для клинтов с Firefox (он почему-то не умеет запрашивать настройки у DHCP) прописан VirtualHost wpad.<my_domain> в настройках HTTP сервера.
  4) в корневом каталоге для wpad.<my_domain> создан симлинк wpad.dat -> wpad.da (ибо IE глючен до ужаса, некоторые клиенты запрашивают .dat, некоторые обрезают имя до .da)
  5) Сам wpad.dat имеет такое содержание:

function FindProxyForURL(url,host) {
  if (isInNet(host,"<localnet>","<localnet mask>") {
     return "DIRECT";
  }
  return "PROXY <proxy_ip>:<proxy_port>";
}

вот с такими "костылями" заработала фильтрация HTTPS трафика =) Мож кому полезно будет.

напоследок:
http://www.lissyara.su/?id=1717#DHCP

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру