- Нужно закрыть интернет сайты оплаты различных услуг,
 Александр, 17:26 , 29-Май-13 (1)>[оверквотинг удален]
> черные - ходят туда куда разрешило руководство, белые - админы и
> руководство, ходит там где нам нужно.
> Теперь вот нужно заблокировать некоторые сайты в числе которых https странички оплаты
> различных услуг, ну и под закуску https://vk.com :)
> Белые-черные списки сделаны через acl, были как то задумки по блокировки неугодных
> через ip адрес сайта, но чего-то отвлекся и все вдохновение прошло,
> мысль вместе с вдохновением улетучилась.
> Если у кого есть идеи как при помощи Squid или сторонних программ
> заблокировать неугодные сайты/отдельные страницы https, прошу!
> Система развернута на Ubuntu server 10.04 i386, Squid 2.7, dnsmasq.squidGuard поможет.
- Нужно закрыть интернет сайты оплаты различных услуг, VolnovValeryPavlovich, 10:57 , 30-Май-13 (2)
Всё, больше никаких вариантов и предложений?
Я думал это можно сделать как то через acl или как последний вариант, бан по IP.
Есть еще варианты?
- Нужно закрыть интернет сайты оплаты различных услуг, gg, 13:57 , 30-Май-13 (3)
> Всё, больше никаких вариантов и предложений?
> Я думал это можно сделать как то через acl или как последний
> вариант, бан по IP.
> Есть еще варианты?Если достаточно по ип, то пример можете легко найти и в поставляемом конфиге сквида, и в документации, и в гугле.
Если по урл или содержимому в случае хттпс, то последние версии сквида, как писали здесь на форуме, умеют подменять сертификат. Если политика защиты личных данных в вашей компании это позволяет, поищите в этом разделе форума. - Нужно закрыть интернет сайты оплаты различных услуг, SHRDLU, 09:35 , 31-Май-13 (4)
> Всё, больше никаких вариантов и предложений?
> Я думал это можно сделать как то через acl или как последний
> вариант, бан по IP.
> Есть еще варианты?А чем не устраивают # acl aclname dstdomain .foo.com ...
# # Destination server from URL [fast] # acl aclname dstdom_regex [-i] \.foo\.com ...
# # regex matching server [fast] Составляйте списки, и комбинируйте... всё достаточно просто. Но лучше воспользоваться уже данным советом про squidGuard
- Нужно закрыть интернет сайты оплаты различных услуг, gg, 11:15 , 31-Май-13 (5)
>[оверквотинг удален]
> # acl aclname dstdomain
> .foo.com ...
> # # Destination server
> from URL [fast]
> # acl aclname dstdom_regex [-i] \.foo\.com
> ...
> # # regex matching
> server [fast]
> Составляйте списки, и комбинируйте... всё достаточно просто. Но лучше воспользоваться
> уже данным советом про squidGuard В постановке вопроса фигурировал https.
Насколько я понимаю, из зашифрованного трафика выудить dstdomaun без подмены сертификата нереально. Или я что-то пропустил?
- Нужно закрыть интернет сайты оплаты различных услуг, gg, 11:35 , 31-Май-13 (6)
>[оверквотинг удален]
>> from URL [fast]
>> # acl aclname dstdom_regex [-i] \.foo\.com
>> ...
>> # # regex matching
>> server [fast]
>> Составляйте списки, и комбинируйте... всё достаточно просто. Но лучше воспользоваться
>> уже данным советом про squidGuard
> В постановке вопроса фигурировал https.
> Насколько я понимаю, из зашифрованного трафика выудить dstdomaun без подмены сертификата
> нереально. Или я что-то пропустил?Вдогонку.
Посмотрел документацию сквида
http://wiki.squid-cache.org/Features/HTTPS#CONNECT_tunnel_th...
Имена доменов при методе коннект сквид отлавливает, так что совет выше с dstdomain вполне годится.
Ограничения в урл:
- many common parts of the request URL do not exist in a CONNECT request: - the URL scheme or protocol (e.g., http://, https://, ftp://, voip://, itunes://, or -telnet://),
- the URL path (e.g., /index.html or /secure/images/),
- and query string (e.g. ?a=b&c=d)
- Нужно закрыть интернет сайты оплаты различных услуг, SHRDLU, 13:34 , 31-Май-13 (9)
> Имена доменов при методе коннект сквид отлавливает, так что совет выше с
> dstdomain вполне годится.
> Ограничения в урл: Как правило, достаточно зарезать домены/ip.
Ситуацию, когда понадобится прибить https доступ к определенному разделу некого сайта, сохранив доступ к остальному его пространству (или наоборот, открыть только один раздел, зарезав всё остальное) представить себе, в принципе, можно. Но сложно.
- Нужно закрыть интернет сайты оплаты различных услуг, Aquarius, 05:49 , 02-Июн-13 (13)
>[оверквотинг удален]
> http://wiki.squid-cache.org/Features/HTTPS#CONNECT_tunnel_th...
> Имена доменов при методе коннект сквид отлавливает, так что совет выше с
> dstdomain вполне годится.
> Ограничения в урл:
> - many common parts of the request URL do not exist in
> a CONNECT request:
> - the URL scheme or protocol (e.g., http://, https://, ftp://, voip://, itunes://,
> or -telnet://),
> - the URL path (e.g., /index.html or /secure/images/),
> - and query string (e.g. ?a=b&c=d) переведу:
- многие привычные части запросов URL отсутствуют в запросах CONNECT: - бла-бла-бла
- бла-бла-бла
- бла-бла-бла резюмирую:
у сквида нет привычных критериев для блокирования а вот разжевывать не буду
- Нужно закрыть интернет сайты оплаты различных услуг, SHRDLU, 11:45 , 02-Июн-13 (14)
>> Ограничения в урл:
>> - many common parts of the request URL do not exist in
>> a CONNECT request:
> переведу:
> - многие привычные части запросов URL отсутствуют в запросах CONNECT: И? Многие, но не все. Домен в запросах connect по-прежнему присутствует, этого достаточно. > резюмирую:
> у сквида нет привычных критериев для блокирования С какого перепугу?
- Нужно закрыть интернет сайты оплаты различных услуг, VolnovValeryPavlovich, 11:47 , 31-Май-13 (7)
> В постановке вопроса фигурировал https.
> Насколько я понимаю, из зашифрованного трафика выудить dstdomaun без подмены сертификата
> нереально. Или я что-то пропустил?вот заковыка и есть в зашифрованном трафике.
пока что юзеры не знают что такое https://vk.com, боюсь представить что будет когда узнают..
- Нужно закрыть интернет сайты оплаты различных услуг, gg, 11:48 , 31-Май-13 (8)
> вот заковыка и есть в зашифрованном трафике.
> пока что юзеры не знают что такое https://vk.com, боюсь представить что будет
> когда узнают..У вас случаем сквид работает не в прозрачном режиме?.
- Нужно закрыть интернет сайты оплаты различных услуг, VolnovValery, 07:03 , 01-Июн-13 (10)
>> вот заковыка и есть в зашифрованном трафике.
>> пока что юзеры не знают что такое https://vk.com, боюсь представить что будет
>> когда узнают..
> У вас случаем сквид работает не в прозрачном режиме?.по сути в прозрачном, ip раздает сам, но не угодные ip никуды не могут залезть ибо blacklist
- Нужно закрыть интернет сайты оплаты различных услуг, VolnovValery, 08:39 , 01-Июн-13 (11)
Вообщем попробовал через acl regex, пускает все равно, black list url - тоже пускает, хотя у меня итак blacklist только ip компьютеров клиентов;)
Если редактировать на локальных компьютерах /etc/hosts и дописать туда имя сайта то он его блочит полностью, для некоторых сайтов вполне приемлимо.
Но опять же бегать по всем компьютерам не вариант.
Если у кого то есть рабочая часть кода, напишите:)
|
Версия для распечатки
Нужно закрыть интернет сайты оплаты различных услуг, 
