- Нужно закрыть интернет сайты оплаты различных услуг, Александр, 17:26 , 29-Май-13 (1)
>[оверквотинг удален] > черные - ходят туда куда разрешило руководство, белые - админы и > руководство, ходит там где нам нужно. > Теперь вот нужно заблокировать некоторые сайты в числе которых https странички оплаты > различных услуг, ну и под закуску https://vk.com :) > Белые-черные списки сделаны через acl, были как то задумки по блокировки неугодных > через ip адрес сайта, но чего-то отвлекся и все вдохновение прошло, > мысль вместе с вдохновением улетучилась. > Если у кого есть идеи как при помощи Squid или сторонних программ > заблокировать неугодные сайты/отдельные страницы https, прошу! > Система развернута на Ubuntu server 10.04 i386, Squid 2.7, dnsmasq.squidGuard поможет.
- Нужно закрыть интернет сайты оплаты различных услуг, VolnovValeryPavlovich, 10:57 , 30-Май-13 (2)
Всё, больше никаких вариантов и предложений? Я думал это можно сделать как то через acl или как последний вариант, бан по IP. Есть еще варианты?
- Нужно закрыть интернет сайты оплаты различных услуг, gg, 13:57 , 30-Май-13 (3)
> Всё, больше никаких вариантов и предложений? > Я думал это можно сделать как то через acl или как последний > вариант, бан по IP. > Есть еще варианты?Если достаточно по ип, то пример можете легко найти и в поставляемом конфиге сквида, и в документации, и в гугле. Если по урл или содержимому в случае хттпс, то последние версии сквида, как писали здесь на форуме, умеют подменять сертификат. Если политика защиты личных данных в вашей компании это позволяет, поищите в этом разделе форума. - Нужно закрыть интернет сайты оплаты различных услуг, SHRDLU, 09:35 , 31-Май-13 (4)
> Всё, больше никаких вариантов и предложений? > Я думал это можно сделать как то через acl или как последний > вариант, бан по IP. > Есть еще варианты?А чем не устраивают # acl aclname dstdomain .foo.com ... # # Destination server from URL [fast] # acl aclname dstdom_regex [-i] \.foo\.com ... # # regex matching server [fast] Составляйте списки, и комбинируйте... всё достаточно просто. Но лучше воспользоваться уже данным советом про squidGuard
- Нужно закрыть интернет сайты оплаты различных услуг, gg, 11:15 , 31-Май-13 (5)
>[оверквотинг удален] > # acl aclname dstdomain > .foo.com ... > # # Destination server > from URL [fast] > # acl aclname dstdom_regex [-i] \.foo\.com > ... > # # regex matching > server [fast] > Составляйте списки, и комбинируйте... всё достаточно просто. Но лучше воспользоваться > уже данным советом про squidGuard В постановке вопроса фигурировал https. Насколько я понимаю, из зашифрованного трафика выудить dstdomaun без подмены сертификата нереально. Или я что-то пропустил?
- Нужно закрыть интернет сайты оплаты различных услуг, gg, 11:35 , 31-Май-13 (6)
>[оверквотинг удален] >> from URL [fast] >> # acl aclname dstdom_regex [-i] \.foo\.com >> ... >> # # regex matching >> server [fast] >> Составляйте списки, и комбинируйте... всё достаточно просто. Но лучше воспользоваться >> уже данным советом про squidGuard > В постановке вопроса фигурировал https. > Насколько я понимаю, из зашифрованного трафика выудить dstdomaun без подмены сертификата > нереально. Или я что-то пропустил?Вдогонку. Посмотрел документацию сквида http://wiki.squid-cache.org/Features/HTTPS#CONNECT_tunnel_th... Имена доменов при методе коннект сквид отлавливает, так что совет выше с dstdomain вполне годится. Ограничения в урл: - many common parts of the request URL do not exist in a CONNECT request: - the URL scheme or protocol (e.g., http://, https://, ftp://, voip://, itunes://, or -telnet://), - the URL path (e.g., /index.html or /secure/images/), - and query string (e.g. ?a=b&c=d)
- Нужно закрыть интернет сайты оплаты различных услуг, SHRDLU, 13:34 , 31-Май-13 (9)
> Имена доменов при методе коннект сквид отлавливает, так что совет выше с > dstdomain вполне годится. > Ограничения в урл: Как правило, достаточно зарезать домены/ip. Ситуацию, когда понадобится прибить https доступ к определенному разделу некого сайта, сохранив доступ к остальному его пространству (или наоборот, открыть только один раздел, зарезав всё остальное) представить себе, в принципе, можно. Но сложно.
- Нужно закрыть интернет сайты оплаты различных услуг, Aquarius, 05:49 , 02-Июн-13 (13)
>[оверквотинг удален] > http://wiki.squid-cache.org/Features/HTTPS#CONNECT_tunnel_th... > Имена доменов при методе коннект сквид отлавливает, так что совет выше с > dstdomain вполне годится. > Ограничения в урл: > - many common parts of the request URL do not exist in > a CONNECT request: > - the URL scheme or protocol (e.g., http://, https://, ftp://, voip://, itunes://, > or -telnet://), > - the URL path (e.g., /index.html or /secure/images/), > - and query string (e.g. ?a=b&c=d) переведу: - многие привычные части запросов URL отсутствуют в запросах CONNECT: - бла-бла-бла - бла-бла-бла - бла-бла-бла резюмирую: у сквида нет привычных критериев для блокирования а вот разжевывать не буду
- Нужно закрыть интернет сайты оплаты различных услуг, SHRDLU, 11:45 , 02-Июн-13 (14)
>> Ограничения в урл: >> - many common parts of the request URL do not exist in >> a CONNECT request: > переведу: > - многие привычные части запросов URL отсутствуют в запросах CONNECT: И? Многие, но не все. Домен в запросах connect по-прежнему присутствует, этого достаточно. > резюмирую: > у сквида нет привычных критериев для блокирования С какого перепугу?
- Нужно закрыть интернет сайты оплаты различных услуг, VolnovValeryPavlovich, 11:47 , 31-Май-13 (7)
> В постановке вопроса фигурировал https. > Насколько я понимаю, из зашифрованного трафика выудить dstdomaun без подмены сертификата > нереально. Или я что-то пропустил?вот заковыка и есть в зашифрованном трафике. пока что юзеры не знают что такое https://vk.com, боюсь представить что будет когда узнают..
- Нужно закрыть интернет сайты оплаты различных услуг, gg, 11:48 , 31-Май-13 (8)
> вот заковыка и есть в зашифрованном трафике. > пока что юзеры не знают что такое https://vk.com, боюсь представить что будет > когда узнают..У вас случаем сквид работает не в прозрачном режиме?.
- Нужно закрыть интернет сайты оплаты различных услуг, VolnovValery, 07:03 , 01-Июн-13 (10)
>> вот заковыка и есть в зашифрованном трафике. >> пока что юзеры не знают что такое https://vk.com, боюсь представить что будет >> когда узнают.. > У вас случаем сквид работает не в прозрачном режиме?.по сути в прозрачном, ip раздает сам, но не угодные ip никуды не могут залезть ибо blacklist
- Нужно закрыть интернет сайты оплаты различных услуг, VolnovValery, 08:39 , 01-Июн-13 (11)
Вообщем попробовал через acl regex, пускает все равно, black list url - тоже пускает, хотя у меня итак blacklist только ip компьютеров клиентов;) Если редактировать на локальных компьютерах /etc/hosts и дописать туда имя сайта то он его блочит полностью, для некоторых сайтов вполне приемлимо. Но опять же бегать по всем компьютерам не вариант. Если у кого то есть рабочая часть кода, напишите:)
|