У меня на сервере установлен Squid + DansGuardian, в котором можно
настраивать доступ к нужным сайтам или блокировать их + ограничение по
локальным адресам можно делать Все делается через веб интерфейс.
За https вообще это отдельная тема. Я просто прописываю в DNS запреты на
https сайты. Так как фильтровать https практически не возможно, да и не
имеет особого мысла ввиду того, что он зашифрован. Для фильтрации такого
трафика сервер будет тратить вычислительные ресурсы на расшифровку
трафика, анализ и снова зашифровку.
Так же есть небольшая программка, с помощью которой можно настроить для
каждого ПК конкретную скорость. Возможно Вы встречали в сети HTB.
14.10.2013 15:55, Alexey Alyoshin пишет:
Могу ошибаться, но https можно пускать через прозрачный прокси, если
подменять сертификат.
Best Regards,
Alexey
14 октября 2013 г., 16:43 пользователь Эл Noname
<[email protected] <mailto:[email protected]>> написал:
"А man-in-the-middle для http - чепуха, абсолютно ни каких угроз,
т.к. все шифруется."
Не в том дело. Насколько я понимаю принцип работы прозрачного
прокси - берется пакет, и в нем подменяется адрес, что бы тот
пересылался через прокси, на котором опять же адрес подменяется на
внешний (скорее всего где-то ошибся в описании алгоритма, но вроде
общий смысл примерно такой). Вот тут-то и проблема. Нельзя
подменить таким образом адрес в https пакете.
И да, через прокси https работает, но не через прозрачный. А
вопрос как раз был в том, что бы использовать одновременно
прозрачный прокси и https без каких-либо дополнительных настроек
на клиентских компах.
14 октября 2013 г., 14:23 пользователь Vladimir Skubriev
<[email protected] <mailto:[email protected]>> написал:
On 10/14/2013 02:12 PM, Эл Noname wrote:
Насчет не могут/не получится контролировать - спорить не
буду, у меня большие пробелы в этих знаниях. Но помнится,
когда делал это в последний раз - в режиме прозрачного
проксирования https просто не работал, возможно делал
что-то не так. Но почитав форумы, нашел объяснение что это
нормально, ибо если бы в режиме прокси работал https - то
это уже "men in middle".
А насчет iptables - да, спасибо за подсказку. А что
делать, если хочется еще и статистику, управление шириной
канала для пользователей и тд и тп что дает прокси сервер?
я на сквиде ни когда не настраивал pools, т.е. управление
шириной канала для пользователей
только статистику делал - с этим проблем нет, прикрутить
lightsquid - не сложно
а вот ширина канала на уровне "не прокси" - занятие не для
новичков.
по крайней мере я уже 5 лет о ней мечтаю, но пока вот все
попытки увенчивались тем, что или не получалось или получалось
но совсем не то, что хотелось бы )
вообще я был не прав на счет не могут контроллировать. я
почему то собрал все в кучу а хотел сказать, что https нельзя
контроллировать, ну только на уровне CONNECT'ов наверное.
Работать https через прокси будет, вот прозрачный - ? Да
поидее и так ни чего не будет мешать.
А man-in-the-middle для http - чепуха, абсолютно ни каких
угроз, т.к. все шифруется. Хотя идеально HTTPS настроить не
так уж и просто. Имеется в виду, что там много своих
внутренних ньюансов - которыми можно максимально все защитить.
--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор
Скубриев Владимир
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Россия, Ростовская область, г. Таганрог
тел. моб: +7 (918) 504 38 20
<tel:%2B7%20%28918%29%20504%2038%2020>
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru <http://skubriev.ru>
--
ubuntu-ru mailing list
[email protected] <mailto:[email protected]>
https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
--
С уважением, Эл.
--
ubuntu-ru mailing list
[email protected] <mailto:[email protected]>
https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
--
ubuntu-ru mailing list
[email protected]
https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
