forum.opennet.ru - "фильтрация HTTPS трафика" (3)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"фильтрация HTTPS трафика"

Форумы Настройка Squid и других прокси серверов (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"фильтрация HTTPS трафика"
Сообщение от conspiro (ok) on 06-Апр-09, 17:46
Всем доброго времени суток! Есть проблема, решения которой я никак не могу найти. Возможно ли ограничить доступ к HTTPS ресурсам с помощью squid'а? Сейчас настроена связка iptables + squid, с HTTP все прекрасно =) Возможно ли настроить прозрачное проксирование HTTPS? Как вообще можно учитывать HTTPS трафик? Подскажите, в какую сторону копать?
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

фильтрация HTTPS трафика, ipmanyak, 18:10 , 06-Апр-09, (1)
трафика HTTPS фильтрация, Andrey Mitrofanov, 18:23 , 06-Апр-09, (2)

трафика HTTPS фильтрация, conspiro, 15:35 , 07-Апр-09, (3)

Сообщения по теме [Сортировка по времени | RSS]

1. "фильтрация HTTPS трафика"

Сообщение от ipmanyak (??) on 06-Апр-09, 18:10

>Всем доброго времени суток!
>Есть проблема, решения которой я никак не могу найти.
>
>Возможно ли ограничить доступ к HTTPS ресурсам с помощью squid'а? Сейчас настроена
>связка iptables + squid, с HTTP все прекрасно =) Возможно ли
>настроить прозрачное проксирование HTTPS?
Почему нет? заворачивай 443 порт также как 80!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "трафика HTTPS фильтрация"

Сообщение от Andrey Mitrofanov on 06-Апр-09, 18:23

>Возможно ли ограничить доступ к HTTPS ресурсам с помощью squid'а? Сейчас настроена
http:/openforum/vsluhforumID12/5499.html#5
>Подскажите, в какую сторону копать?
http:/openforum/vsluhforumID12/5890.html#3
http:/openforum/vsluhforumID12/5956.html#4
2ipmanyak:
>>Почему нет? заворачивай 443 порт также как 80!
Я, конечно, тоже не возражаю, но не будет ли против сам сквид?...
Впочем, могу ошибаться... натурально.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "трафика HTTPS фильтрация"

Сообщение от conspiro (ok) on 07-Апр-09, 15:35

В общем, получается так:
с HTTPS squid прозрачно не работает (оно теперь и понятно =)).
Я нашел такой выход:
  1) iptables "заворачивают" HTTP трафик на порт прокси (для приложений, которые не понимают "глобальных" настроек прокси)
  2) для клиентов с IE в настройках DHCP сервера (dhcpd.conf) прописано:
     option local-pac-server code 252 = text;
     option local-pac-server "http://<http_server_ip>/wpad.dat";
  3) для клинтов с Firefox (он почему-то не умеет запрашивать настройки у DHCP) прописан VirtualHost wpad.<my_domain> в настройках HTTP сервера.
  4) в корневом каталоге для wpad.<my_domain> создан симлинк wpad.dat -> wpad.da (ибо IE глючен до ужаса, некоторые клиенты запрашивают .dat, некоторые обрезают имя до .da)
  5) Сам wpad.dat имеет такое содержание:
function FindProxyForURL(url,host) {
  if (isInNet(host,"<localnet>","<localnet mask>") {
     return "DIRECT";
  }
  return "PROXY <proxy_ip>:<proxy_port>";
}
вот с такими "костылями" заработала фильтрация HTTPS трафика =) Мож кому полезно будет.
напоследок:
http://www.lissyara.su/?id=1717#DHCP

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "фильтрация HTTPS трафика"
Сообщение от ipmanyak (??) on 06-Апр-09, 18:10
>Всем доброго времени суток! >Есть проблема, решения которой я никак не могу найти. > >Возможно ли ограничить доступ к HTTPS ресурсам с помощью squid'а? Сейчас настроена >связка iptables + squid, с HTTP все прекрасно =) Возможно ли >настроить прозрачное проксирование HTTPS? Почему нет? заворачивай 443 порт также как 80!
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

2. "трафика HTTPS фильтрация"
Сообщение от Andrey Mitrofanov on 06-Апр-09, 18:23
>Возможно ли ограничить доступ к HTTPS ресурсам с помощью squid'а? Сейчас настроена http:/openforum/vsluhforumID12/5499.html#5 >Подскажите, в какую сторону копать? http:/openforum/vsluhforumID12/5890.html#3 http:/openforum/vsluhforumID12/5956.html#4 2ipmanyak: >>Почему нет? заворачивай 443 порт также как 80! Я, конечно, тоже не возражаю, но не будет ли против сам сквид?... Впочем, могу ошибаться... натурально.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "трафика HTTPS фильтрация"
	Сообщение от conspiro (ok) on 07-Апр-09, 15:35
	В общем, получается так: с HTTPS squid прозрачно не работает (оно теперь и понятно =)). Я нашел такой выход: 1) iptables "заворачивают" HTTP трафик на порт прокси (для приложений, которые не понимают "глобальных" настроек прокси) 2) для клиентов с IE в настройках DHCP сервера (dhcpd.conf) прописано: option local-pac-server code 252 = text; option local-pac-server "http://<http_server_ip>/wpad.dat"; 3) для клинтов с Firefox (он почему-то не умеет запрашивать настройки у DHCP) прописан VirtualHost wpad.<my_domain> в настройках HTTP сервера. 4) в корневом каталоге для wpad.<my_domain> создан симлинк wpad.dat -> wpad.da (ибо IE глючен до ужаса, некоторые клиенты запрашивают .dat, некоторые обрезают имя до .da) 5) Сам wpad.dat имеет такое содержание: function FindProxyForURL(url,host) { if (isInNet(host,"<localnet>","<localnet mask>") { return "DIRECT"; } return "PROXY <proxy_ip>:<proxy_port>"; } вот с такими "костылями" заработала фильтрация HTTPS трафика =) Мож кому полезно будет. напоследок: http://www.lissyara.su/?id=1717#DHCP
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]