LINUX.ORG.RU
ФорумAdmin

Squid и SSL_Bumping

 , , ,


0

2

Народ, возникла потребность в отделе настроить проксю, с полной блокировкой доступа в инет кроме узкого списка доменов. Но, что самое главное, прокся должна быть прозрачной. Т.е. просто выбросить страничку что доступ заблокирован и всё. Гугление толку дало мало. Либо вываливает ошибку «The proxy server is refusing connections», либо спокойно пропускает в инет. Ткните носом в рабочий конфиг, может делал кто?

Максимум что ты сможешь сделать, для ssl сайтов из чёрного списка , это проксить их в режиме tcp на свой апач тоже с https, но, конечно, юзеру придётся акцептить плохой сертификат, и то для hsts сайтов это не будет работать.

Для этого всего лучше чем sniproxy не знаю инструмента. Он и создан для прозрачного на него кидания трафика.

Bers666 ★★★★★ ()

Я делал. И статью на хабре писал https://habr.com/ru/post/353100/. Раздел «Настройка Interception Proxy». Конфиг рабочий.

Но:

просто выбросить страничку что доступ заблокирован

для https будет выбрасывать браузеровское сообщение о том что сайт недоступен, а не о том что он заблокирован. Нужно допиливать.

  1. некоторые сайты (около 5-10%) всё же работают некорректно в прозрачном режиме, даже если не подменять сертификат, а просто подсматривать SNI. Такие сайты нужно пускать мимо прокси (что тоже не всегда возможно)
hudsucker ()
Ответ на: комментарий от hudsucker

некоторые сайты (около 5-10%) всё же работают некорректно в прозрачном режиме

хм, а это не для них добавили в 4.x on_unsupported_protocol ?

Типа

acl foreignProtocol squid_error ERR_PROTOCOL_UNKNOWN ERR_TOO_BIG
on_unsupported_protocol tunnel foreignProtocol

vel ★★★★★ ()
Ответ на: комментарий от vel

хм, а это не для них добавили в 4.x on_unsupported_protocol ?

а вот об этом я не в курсе, надо проверить, спасибо за наводку

hudsucker ()
Ответ на: комментарий от vel

хм, а это не для них добавили в 4.x on_unsupported_protocol ?

Похоже, что оно самое. Добавил к себе в конфиг, голосовые звонки через WebRTC работают. До этого с бампом работали только в 1 случае из 10.

Хотя, заработало не все. Одна нужная мне программа все еще не хочет соединяться. Но возможно, это разные проблемы.

Khnazile ★★★★★ ()
Последнее исправление: Khnazile (всего исправлений: 1)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.