-
Recently Browsing 0 members
No registered users viewing this page.
-
Similar Content
-
By vit75
Могут ли крупные провайдеры как Киевстар и др. перехватить информацию которую посылает юзер на сайты с https. Проли, текст и пр.? Напимер пароль юзера на https://mail.ukr.net или тест письма?
-
By eminema_nema
Всім доброго дня!
Встановлено Ubilling (1.1.2 rev 7784) на FreeBSD 12.1. Налаштовано дві мережеві карти, одна для зв'язку з NAS (фізичний Mikrotik), інша - реальна ІР.
NAS налаштовано таким чином. Все чудово працює, користувачів при зміні стану Активний\Неактивний перекидає по відповідних списках адрес.
Після встановлення ssl (letsencrypt) - перестає працювати, користувач на мікротіку залишається в списку Not Allow, хоча в білінгу він активний і навпаки. Якщо сам натисну кнопку "Регенерація бази" то лише тоді відбудеться зміна в списках адрес.
Логи cron показують, що регенерація бази multigen відбувається кожної хвилини. SSL встановлено для адмінки та кабінету користувача.
В чому може бути проблема?
-
By Archy_k
Всем привет.
Столкнулся с проблемой: не обновился сертификат SSL.
Попробовал вручную запустить скрипт:
# /etc/letsencrypt/certbot/certbot-auto renew Creating virtual environment... Installing Python packages... /opt/eff.org/certbot/venv/bin/python: No module named pip.__main__; 'pip' is a package and cannot be directly executed Traceback (most recent call last): File "/tmp/tmp.qUAUXX5FHZ/pipstrap.py", line 177, in <module> sys.exit(main()) File "/tmp/tmp.qUAUXX5FHZ/pipstrap.py", line 149, in main pip_version = StrictVersion(check_output([python, '-m', 'pip', '--version']) File "/usr/lib/python2.7/subprocess.py", line 544, in check_output raise CalledProcessError(retcode, cmd, output=output) subprocess.CalledProcessError: Command '['/opt/eff.org/certbot/venv/bin/python', '-m', 'pip', '--version']' returned non-zero exit status 1 И вот какой ответ получаю.
Подскажите пожалуйста, как с этим справиться...
Сервер с Debian и nginx
Заранее спасибо.
-
By major12
Припустимо що ви заблокувати фаєрволом щось маленьке, наприклад 154.47.36.16/32 або щось велике, наприклад 178.154.128.0/17.
І вам цікаво куди пробують стукатись користувачі чи мобільні аплікації.
HTTP зараз стає менш популярним, більшість коннектів відбувається по HTTPS (TLS).
Переважна більшість серверів і клієнтів вміють і будуть використовувати SNI https://uk.wikipedia.org/wiki/Server_Name_Indication
Цим фактом ми і скористаємось.
Отже крок 1 - перезбираємо nginx
cd /usr/ports/www/nginx make config опції які нам потрібні
[x] STREAM Enable stream module [x] STREAM_SSL_PREREAD Enable stream_ssl_preread module ну і далі make install clean чи portmaster nginx
2 - конфігуруємо nginx
stream { log_format main '[$time_local] $remote_addr $server_addr "$ssl_preread_server_name"'; access_log /var/log/ssl_preread.log main; server { listen 843; ssl_preread on; return ""; } } Коментарі:
потрібно саме секція stream а не звична http
рядок return ""; означає повернути 0 байт і закрити з'єднання, можна пробувати повертати щось інше, наприклад "Blocked!", але TLS стек клієнта ітак їх не зрозуміє і розірве конект.
Не забуваємо перезапусти nginx і перевіряємо що він слухає порт
netstat -na | grep 843
3 - перенаправляємо трафік
ipfw add 05210 fwd 127.0.0.1,843 tcp from any to table\(40\) dst-port 443 В табличці 40 адреси які моніторимо (і блокуємо теж, бо коннекти на порт 443 будуть йти на наш nginx)
Результат
В файлі /var/log/ssl_preread.log маємо рядки типу
[23/Dec/2018:19:13:28 +0200] 192.168.33.38 178.154.131.216 "yastatic.net" [23/Dec/2018:19:13:33 +0200] 192.168.25.47 87.240.129.133 "vk.com" Перша айпішка це клієнт, друга це (заблокований) ресурс.
Раджу слідкувати за розміром логу, бо запитів від мобільних аплікацій дуууже багато.
Користуємось поки не прийшов ESNI (Encrypted SNI), де хостів видно не буде.
-
By www.хомнет.укр
Доброго времени!
Есть такая проблема...
Юзверя выпускаются в Инет через микротик. Для тех у кого не проплачено - создается в файрволе адреслист "local_only" в котором ip всех абонов которым запрещен вход в инет. Но в файрволе есть правили которое позволяет заходить на сайт привата и ликпай для оплаты услуг. В следствии чего юзверя могут спокойно пользоваться и заходить на сайты соц сетей и таких как ютюб, гугл, яндекс...
Вопрос: НУЖНО СОДАТЬ ПРАВИЛО ДЛЯ ЭТОГО СПИСКА IP ЧТОБЫ БЛОКИРОВАЛО ВХОД НА ДАННЫЕ РЕСУРСЫ.
-
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now