LINUX.ORG.RU
ФорумAdmin

Блокировка https-сайтов, wpad, другие способы?

 , ,


2

3

Здравствуйте! Начальство захотело блокировать соц сети на части компьютеров локальной сети (компьютеры с пары vlan'ов). Сейчас на шлюзе с Debian настроен прозрачный squid, который кэширует (практически ничего не блокируя) только http-запросы. А нужно получается проксировать и https, насколько я понимаю прозрачно проксировать https-трафик не получится (без танцев с бубном).

Попробовал использовать WPAD:

  • установил apache, создал виртуальный хост wpad.localdomain,
  • положил туда доступный по http wpad.dat,
  • в bind дописал алиас wpad.localdomain (в браузере открывается, файл wpad.dat скачать можно),
  • в isc-dhcp-server также указал выдачу клиенту в качестве опции 252 адреса wpad.dat-файла ( option wpad "http://wpad.localdomain/wpad.dat"; ),
  • перевел squid на непрозрачный режим для работы с клиентскими запросами на 80,443 порты.

Однако, ничего автоматически не вышло. Если в том же firefox явно указать адрес прокси-сервера - все отлично, если указать путь к конфиг. файлу wpad.dat (http://wpad.localdomain/wpad.dat) - все отлично, но если выбрать «Автоматически определять настройки прокси» - идет паразит мимо прокси (порты 80 и 443 в FORWARD от клиентов пока открыты), не определяет ничего автоматически.

Насколько я понял разные ОС и разные браузеры «поддерживают» WPAD кто во что горазд (к тому же домена то у меня нет). И придется мне все таки руками вписывать на каждом ПК либо адрес прокси, либо http-адрес до конфиг-файла wpad.dat.

Все бы ничего, не сахарный, могу пройтись, но у нас есть беспарольная WI-FI сеть, пользователи которой точно не догадаются вписывать какие-то настройки прокси. Получается какая-то полумера. К тому-же браузеры на смартфонах тоже могут не поддерживать WPAD. Как же быть, как блокировать неугодные сайты, неужто только по IP-адресам?


Ответ на: комментарий от blind_oracle

вместо 's -ок ** навбивать, и всё я думаю.

anonymous ()
Ответ на: комментарий от blind_oracle

Спасибо за подсказку. Собрал сквид с поддержкой ssl, строго по мануалу, ругается паразит на опции в конфиге. Еще покопаюсь.

gard ()

Можно на squid-е реализовать атаку MITM, установить свой корневой сертификат всем пользователям и фильтровать что угодно и как угодно.

Legioner ★★★★★ ()
Последнее исправление: Legioner (всего исправлений: 1)
Ответ на: комментарий от Legioner

У него нет домена и он, в общем, не хочет смотреть внутрь TLS-сессии, как я понял. Ему будет достаточно имени сервера, чтобы его заблочить. А для этого вполне хватит SNI.

blind_oracle ★★★★★ ()
Ответ на: комментарий от blind_oracle

На первый взгляд легко обходится использованием старого браузера, который не поддерживает SNI.

Legioner ★★★★★ ()

Так и не вышло с ssl-bump, собираю squid с нужными опциями, а все равно после установки ругается на конфиг.

Сейчас смотрю в сторону блокировки с помощью dns (bind9).

gard ()
Ответ на: комментарий от Deleted

На локальном ДНС прописываешь vk.com 127.0.0.1 и делов...

А если пользователь станет использовать нелокальный ДНС? Или запишет vk.com в hosts?

Deleted ()
Ответ на: комментарий от Deleted

На файрволле зарезать DNS не судьба?

А как быть с этим:

запишет vk.com в hosts?

Ну и пользователь может поставить себе какой-нибудь DNSCrypt, как его зарезать?

Deleted ()
Ответ на: комментарий от Radjah

Да, в общем так и сделал в итоге. Оставил WPAD, chrome и IE его все-таки подхватывают. Плюсом создал файл-заглушку описания зоны для bind, где все заворачивается на локалхост (тестировал также вывод своей странички и главной страницы сайта вышестоящей конторы =), но пока оставил локалхост. Транзитный dns-трафик от локальных клиентов закрыл.

Пока не блокирую, но в принципе оно работает, дадут отмашку - включу. Надо будет еще покурить в сторону «вьюсов», пока что блокируемые домены описал как «zone», что автоматически лишает доступа всех клиентов локальной сети, а не определенных подсетей.

gard ()

Firefox емнип не добавляет домен, когда ищет wpad.dat. Т.е. он хочет http://wpad/wpad.dat или что-то такое. Надобно вам сдампить запрос, т.к. дело было давно, я не уверен.

rubic ()
Ответ на: комментарий от gard

Пока не блокирую, но в принципе оно работает, дадут отмашку - включу. Надо будет еще покурить в сторону «вьюсов», пока что блокируемые домены описал как «zone», что автоматически лишает доступа всех клиентов локальной сети, а не определенных подсетей.

В кач-ве рекомендации, для сквида не отдавать эти заглушки, а блокировать уже правилами сквида, удобнее будет рулить если нужно будет разрешить кому-то.

anc ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.