Golthana 3 Posted 2016-04-21 16:03:55 Author Share Posted 2016-04-21 16:03:55 Для SSL никаких. Удается заблокировать почти весь https трафик, кроме как сервис youtube и тому подобное. И то потому что туда не заворачивается трафик, так как заворот идет по айпи, а потом сквид уже разбирает url. А исходя из того, что в дамп файле с сайтами указаны айпи /32, а у гугл сервис их "ахулиард", потому и тяжело реализовать, а всю сеть на загонишь, потому что тогда ничего не откроется. Так и получается, то закон есть, а реализовать гуманно для потребителя - невозможно( Link to post Share on other sites
John_Doe 301 Posted 2016-04-21 17:41:53 Share Posted 2016-04-21 17:41:53 Для SSL никаких. Удается заблокировать почти весь https трафик, кроме как сервис youtube и тому подобное. И то потому что туда не заворачивается трафик, так как заворот идет по айпи, а потом сквид уже разбирает url. А исходя из того, что в дамп файле с сайтами указаны айпи /32, а у гугл сервис их "ахулиард", потому и тяжело реализовать, а всю сеть на загонишь, потому что тогда ничего не откроется. Так и получается, то закон есть, а реализовать гуманно для потребителя - невозможно( Блочить по ip и SNI SSL это не одно и тоже. И я слабо себе представляю чем проксить несколько гигов аплинка Link to post Share on other sites
Golthana 3 Posted 2016-04-21 17:48:54 Author Share Posted 2016-04-21 17:48:54 Понятно, у меня не такой большой трафик, потому кальмара и хватает. Блокировать по ip - грубо. По айпи идет перенаправление на прокси. Link to post Share on other sites
Golthana 3 Posted 2016-04-21 18:20:12 Author Share Posted 2016-04-21 18:20:12 (edited) А что, если man-in-the-middle? То есть, зарегистрировать домен www.myserver.ru (пример), в squid.conf >> visible_hostname myserver.ru и получить ssl сертификат на этот же домен,понятно, что домен привязать к айпи proxy server, тогда можно будет выходит под этим сертификатом и проблем с проверкой подлинности не должно быть. Или нет? Edited 2016-04-21 18:50:57 by Golthana Link to post Share on other sites
Demid 2 Posted 2016-04-21 19:35:49 Share Posted 2016-04-21 19:35:49 нет, нужен сертификат удостоверяющего центра Link to post Share on other sites
Golthana 3 Posted 2016-04-21 19:49:42 Author Share Posted 2016-04-21 19:49:42 (edited) А их подгрузить нельзя? Я же его получу (куплю). Edited 2016-04-21 19:53:01 by Golthana Link to post Share on other sites
John_Doe 301 Posted 2016-04-21 19:59:17 Share Posted 2016-04-21 19:59:17 А их подгрузить нельзя? Я же его получу (куплю). как вы получите сертификат на чужой домен? А приделать себе левый домен с сертификатом на сквид,с таким же успехом можете самоподписной приделать,работать не будет шо так шо так Link to post Share on other sites
Golthana 3 Posted 2016-04-21 20:02:09 Author Share Posted 2016-04-21 20:02:09 (edited) как вы получите сертификат на чужой домен? Я или неправильно вопрос поставил, или не совсем понимаю работу сквида( Браузеры ругаются на мой самоподписной сертификат. Если он будет валидный, разве проблема не исчезнет? Edited 2016-04-21 20:03:05 by Golthana Link to post Share on other sites
John_Doe 301 Posted 2016-04-21 20:17:48 Share Posted 2016-04-21 20:17:48 Браузеры ругаются на мой самоподписной сертификат. Если он будет валидный, разве проблема не исчезнет? А потом будут ругатся на левый сертификат Link to post Share on other sites
Golthana 3 Posted 2016-04-21 20:21:26 Author Share Posted 2016-04-21 20:21:26 (edited) Это ssl bump? А если его отключить, то сквид не будет видит https, так? То есть решение в покупке DPI? Edited 2016-04-21 20:22:23 by Golthana Link to post Share on other sites
John_Doe 301 Posted 2016-04-21 20:25:03 Share Posted 2016-04-21 20:25:03 Это ssl bump? А если его отключить, то сквид не будет видит https, так? То есть решение в покупке DPI? Решение в том чтобы делигировать эту функцию аплинку Link to post Share on other sites
Golthana 3 Posted 2016-04-21 20:31:39 Author Share Posted 2016-04-21 20:31:39 Решение в том чтобы делигировать эту функцию аплинку То есть вышестоящему провайдеру? Насколько я знаю, у них похожие проблемы) Link to post Share on other sites
Golthana 3 Posted 2016-04-21 20:36:47 Author Share Posted 2016-04-21 20:36:47 На самом деле самоподписаным сертификатом удается блокировать все, кроме определенного контента на youtube Link to post Share on other sites
John_Doe 301 Posted 2016-04-21 20:53:10 Share Posted 2016-04-21 20:53:10 На самом деле самоподписаным сертификатом удается блокировать все, кроме определенного контента на youtubeНа самом деле почитайте тут А то что вы делаете это костыль,причем не рабочий с технической точки зрения,и не совсем правильный с юридической Link to post Share on other sites
Golthana 3 Posted 2016-04-21 20:58:29 Author Share Posted 2016-04-21 20:58:29 (edited) А то что вы делаете это костыль,причем не рабочий с технической точки зрения,и не совсем правильный с юридической Подмена сертификатов происходит только в отношении заблокированных ресурсов. А с юридической хуже, если не блокировать) Спасибо Вам за информацию. Edited 2016-04-21 20:58:47 by Golthana Link to post Share on other sites
Golthana 3 Posted 2016-04-21 21:04:50 Author Share Posted 2016-04-21 21:04:50 На самом деле почитайте тут За идею отдельное спасибо Link to post Share on other sites
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now