Golthana 3 Опубликовано: 2016-04-21 16:03:55 Автор Share Опубликовано: 2016-04-21 16:03:55 Для SSL никаких. Удается заблокировать почти весь https трафик, кроме как сервис youtube и тому подобное. И то потому что туда не заворачивается трафик, так как заворот идет по айпи, а потом сквид уже разбирает url. А исходя из того, что в дамп файле с сайтами указаны айпи /32, а у гугл сервис их "ахулиард", потому и тяжело реализовать, а всю сеть на загонишь, потому что тогда ничего не откроется. Так и получается, то закон есть, а реализовать гуманно для потребителя - невозможно( Ссылка на сообщение Поделиться на других сайтах
John_Doe 301 Опубликовано: 2016-04-21 17:41:53 Share Опубликовано: 2016-04-21 17:41:53 Для SSL никаких. Удается заблокировать почти весь https трафик, кроме как сервис youtube и тому подобное. И то потому что туда не заворачивается трафик, так как заворот идет по айпи, а потом сквид уже разбирает url. А исходя из того, что в дамп файле с сайтами указаны айпи /32, а у гугл сервис их "ахулиард", потому и тяжело реализовать, а всю сеть на загонишь, потому что тогда ничего не откроется. Так и получается, то закон есть, а реализовать гуманно для потребителя - невозможно( Блочить по ip и SNI SSL это не одно и тоже. И я слабо себе представляю чем проксить несколько гигов аплинка Ссылка на сообщение Поделиться на других сайтах
Golthana 3 Опубликовано: 2016-04-21 17:48:54 Автор Share Опубликовано: 2016-04-21 17:48:54 Понятно, у меня не такой большой трафик, потому кальмара и хватает. Блокировать по ip - грубо. По айпи идет перенаправление на прокси. Ссылка на сообщение Поделиться на других сайтах
Golthana 3 Опубликовано: 2016-04-21 18:20:12 Автор Share Опубликовано: 2016-04-21 18:20:12 (изменено) А что, если man-in-the-middle? То есть, зарегистрировать домен www.myserver.ru (пример), в squid.conf >> visible_hostname myserver.ru и получить ssl сертификат на этот же домен,понятно, что домен привязать к айпи proxy server, тогда можно будет выходит под этим сертификатом и проблем с проверкой подлинности не должно быть. Или нет? Изменено 2016-04-21 18:50:57 пользователем Golthana Ссылка на сообщение Поделиться на других сайтах
Demid 2 Опубликовано: 2016-04-21 19:35:49 Share Опубликовано: 2016-04-21 19:35:49 нет, нужен сертификат удостоверяющего центра Ссылка на сообщение Поделиться на других сайтах
Golthana 3 Опубликовано: 2016-04-21 19:49:42 Автор Share Опубликовано: 2016-04-21 19:49:42 (изменено) А их подгрузить нельзя? Я же его получу (куплю). Изменено 2016-04-21 19:53:01 пользователем Golthana Ссылка на сообщение Поделиться на других сайтах
John_Doe 301 Опубликовано: 2016-04-21 19:59:17 Share Опубликовано: 2016-04-21 19:59:17 А их подгрузить нельзя? Я же его получу (куплю). как вы получите сертификат на чужой домен? А приделать себе левый домен с сертификатом на сквид,с таким же успехом можете самоподписной приделать,работать не будет шо так шо так Ссылка на сообщение Поделиться на других сайтах
Golthana 3 Опубликовано: 2016-04-21 20:02:09 Автор Share Опубликовано: 2016-04-21 20:02:09 (изменено) как вы получите сертификат на чужой домен? Я или неправильно вопрос поставил, или не совсем понимаю работу сквида( Браузеры ругаются на мой самоподписной сертификат. Если он будет валидный, разве проблема не исчезнет? Изменено 2016-04-21 20:03:05 пользователем Golthana Ссылка на сообщение Поделиться на других сайтах
John_Doe 301 Опубликовано: 2016-04-21 20:17:48 Share Опубликовано: 2016-04-21 20:17:48 Браузеры ругаются на мой самоподписной сертификат. Если он будет валидный, разве проблема не исчезнет? А потом будут ругатся на левый сертификат Ссылка на сообщение Поделиться на других сайтах
Golthana 3 Опубликовано: 2016-04-21 20:21:26 Автор Share Опубликовано: 2016-04-21 20:21:26 (изменено) Это ssl bump? А если его отключить, то сквид не будет видит https, так? То есть решение в покупке DPI? Изменено 2016-04-21 20:22:23 пользователем Golthana Ссылка на сообщение Поделиться на других сайтах
John_Doe 301 Опубликовано: 2016-04-21 20:25:03 Share Опубликовано: 2016-04-21 20:25:03 Это ssl bump? А если его отключить, то сквид не будет видит https, так? То есть решение в покупке DPI? Решение в том чтобы делигировать эту функцию аплинку Ссылка на сообщение Поделиться на других сайтах
Golthana 3 Опубликовано: 2016-04-21 20:31:39 Автор Share Опубликовано: 2016-04-21 20:31:39 Решение в том чтобы делигировать эту функцию аплинку То есть вышестоящему провайдеру? Насколько я знаю, у них похожие проблемы) Ссылка на сообщение Поделиться на других сайтах
Golthana 3 Опубликовано: 2016-04-21 20:36:47 Автор Share Опубликовано: 2016-04-21 20:36:47 На самом деле самоподписаным сертификатом удается блокировать все, кроме определенного контента на youtube Ссылка на сообщение Поделиться на других сайтах
John_Doe 301 Опубликовано: 2016-04-21 20:53:10 Share Опубликовано: 2016-04-21 20:53:10 На самом деле самоподписаным сертификатом удается блокировать все, кроме определенного контента на youtubeНа самом деле почитайте тут А то что вы делаете это костыль,причем не рабочий с технической точки зрения,и не совсем правильный с юридической Ссылка на сообщение Поделиться на других сайтах
Golthana 3 Опубликовано: 2016-04-21 20:58:29 Автор Share Опубликовано: 2016-04-21 20:58:29 (изменено) А то что вы делаете это костыль,причем не рабочий с технической точки зрения,и не совсем правильный с юридической Подмена сертификатов происходит только в отношении заблокированных ресурсов. А с юридической хуже, если не блокировать) Спасибо Вам за информацию. Изменено 2016-04-21 20:58:47 пользователем Golthana Ссылка на сообщение Поделиться на других сайтах
Golthana 3 Опубликовано: 2016-04-21 21:04:50 Автор Share Опубликовано: 2016-04-21 21:04:50 На самом деле почитайте тут За идею отдельное спасибо Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВойти
Уже зарегистрированы? Войдите здесь.
Войти сейчас