ipfw и squid

[Golthana]

 

 

Для SSL никаких.

Удается заблокировать почти весь https трафик, кроме как сервис youtube и тому подобное. И то потому что туда не заворачивается трафик, так как заворот идет по айпи, а потом сквид уже разбирает url. А исходя из того, что в дамп файле с сайтами указаны айпи /32, а у гугл сервис их "ахулиард", потому и тяжело реализовать, а всю сеть на загонишь, потому что тогда ничего не откроется. Так и получается, то закон есть, а реализовать гуманно для потребителя - невозможно(

[John_Doe]

 

Для SSL никаких.

Удается заблокировать почти весь https трафик, кроме как сервис youtube и тому подобное. И то потому что туда не заворачивается трафик, так как заворот идет по айпи, а потом сквид уже разбирает url. А исходя из того, что в дамп файле с сайтами указаны айпи /32, а у гугл сервис их "ахулиард", потому и тяжело реализовать, а всю сеть на загонишь, потому что тогда ничего не откроется. Так и получается, то закон есть, а реализовать гуманно для потребителя - невозможно(

 

Блочить по ip и  SNI SSL это не одно и тоже. И я слабо себе представляю чем проксить несколько гигов аплинка

[Golthana]

Понятно, у меня не такой большой трафик, потому кальмара и хватает. Блокировать по ip - грубо. По айпи идет перенаправление на прокси.

[Golthana]

А что, если man-in-the-middle? То есть, зарегистрировать домен www.myserver.ru (пример), в squid.conf >> visible_hostname myserver.ru и получить ssl сертификат на этот же домен,понятно, что домен привязать к айпи proxy server, тогда можно будет выходит под этим сертификатом и проблем с проверкой подлинности не должно быть. Или нет?

Відредаговано 21 квітня, 2016 Golthana

[Demid]

нет, нужен сертификат удостоверяющего центра

[Golthana]

А их подгрузить нельзя?

Я же его получу (куплю).

Відредаговано 21 квітня, 2016 Golthana

[John_Doe]

А их подгрузить нельзя?

Я же его получу (куплю).

как вы получите сертификат на чужой домен? А приделать себе левый домен с сертификатом на сквид,с таким же успехом можете самоподписной приделать,работать не будет шо так шо так

[Golthana]

как вы получите сертификат на чужой домен?

 

Я или неправильно вопрос поставил, или не совсем понимаю работу сквида(

Браузеры ругаются на мой самоподписной сертификат. Если он будет валидный, разве проблема не исчезнет?

Відредаговано 21 квітня, 2016 Golthana

[John_Doe]

 

 

Браузеры ругаются на мой самоподписной сертификат. Если он будет валидный, разве проблема не исчезнет?

А потом будут ругатся на левый сертификат

[Golthana]

Это ssl bump? А если его отключить, то сквид не будет видит https, так?

 

То есть решение в покупке DPI?

Відредаговано 21 квітня, 2016 Golthana

[John_Doe]

Это ssl bump? А если его отключить, то сквид не будет видит https, так?

 

То есть решение в покупке DPI?

Решение в том чтобы делигировать эту  функцию аплинку

[Golthana]

 

 

Решение в том чтобы делигировать эту функцию аплинку

 

То есть вышестоящему провайдеру? Насколько я знаю, у них похожие проблемы)

[Golthana]

На самом деле самоподписаным сертификатом удается блокировать все, кроме определенного контента на youtube

[John_Doe]

На самом деле самоподписаным сертификатом удается блокировать все, кроме определенного контента на youtube

На самом деле почитайте тут

А то что вы делаете это костыль,причем не рабочий с технической точки зрения,и не совсем правильный с юридической

[Golthana]

А то что вы делаете это костыль,причем не рабочий с технической точки зрения,и не совсем правильный с юридической

Подмена сертификатов происходит только в отношении заблокированных ресурсов. А с юридической хуже, если не блокировать)

Спасибо Вам за информацию.

Відредаговано 21 квітня, 2016 Golthana

[Golthana]

 

 

На самом деле почитайте тут

За идею отдельное спасибо