The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Нужно закрыть интернет сайты оплаты различных услуг"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Настройка Squid и других прокси серверов (Squid)
Изначальное сообщение [ Отслеживать ]

"Нужно закрыть интернет сайты оплаты различных услуг"  +/
Сообщение от VolnovValeryPavlovich (ok) on 29-Май-13, 15:00 
Доброго времени суток, гуру:)
В организации несколько десятков компьютеров, работаем по белым и черным спискам IP, черные - ходят туда куда разрешило руководство, белые - админы и руководство, ходит там где нам нужно.
Теперь вот нужно заблокировать некоторые сайты в числе которых https странички оплаты различных услуг, ну и под закуску https://vk.com :)
Белые-черные списки сделаны через acl, были как то задумки по блокировки неугодных через ip адрес сайта, но чего-то отвлекся и все вдохновение прошло, мысль вместе с вдохновением улетучилась.
Если у кого есть идеи как при помощи Squid или сторонних программ заблокировать неугодные сайты/отдельные страницы https, прошу!

Система развернута на Ubuntu server 10.04 i386, Squid 2.7, dnsmasq.

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Нужно закрыть интернет сайты оплаты различных услуг"  +/
Сообщение от Александр (??) on 29-Май-13, 17:26 
>[оверквотинг удален]
> черные - ходят туда куда разрешило руководство, белые - админы и
> руководство, ходит там где нам нужно.
> Теперь вот нужно заблокировать некоторые сайты в числе которых https странички оплаты
> различных услуг, ну и под закуску https://vk.com :)
> Белые-черные списки сделаны через acl, были как то задумки по блокировки неугодных
> через ip адрес сайта, но чего-то отвлекся и все вдохновение прошло,
> мысль вместе с вдохновением улетучилась.
> Если у кого есть идеи как при помощи Squid или сторонних программ
> заблокировать неугодные сайты/отдельные страницы https, прошу!
> Система развернута на Ubuntu server 10.04 i386, Squid 2.7, dnsmasq.

squidGuard поможет.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Нужно закрыть интернет сайты оплаты различных услуг"  +/
Сообщение от VolnovValeryPavlovich (ok) on 30-Май-13, 10:57 
Всё, больше никаких вариантов и предложений?
Я думал это можно сделать как то через acl или как последний вариант, бан по IP.
Есть еще варианты?
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Нужно закрыть интернет сайты оплаты различных услуг"  +/
Сообщение от gg (??) on 30-Май-13, 13:57 
> Всё, больше никаких вариантов и предложений?
> Я думал это можно сделать как то через acl или как последний
> вариант, бан по IP.
> Есть еще варианты?

Если достаточно по ип, то пример можете легко найти и в поставляемом конфиге сквида, и в документации, и в гугле.
Если по урл или содержимому в случае хттпс, то последние версии сквида, как писали здесь на форуме, умеют подменять сертификат. Если политика защиты личных данных в вашей компании это позволяет, поищите в этом разделе форума.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Нужно закрыть интернет сайты оплаты различных услуг"  +/
Сообщение от SHRDLU (ok) on 31-Май-13, 09:35 
> Всё, больше никаких вариантов и предложений?
> Я думал это можно сделать как то через acl или как последний
> вариант, бан по IP.
> Есть еще варианты?

А чем не устраивают

#       acl aclname dstdomain   .foo.com ...
#         # Destination server from URL [fast]

#       acl aclname dstdom_regex [-i] \.foo\.com ...
#         # regex matching server [fast]

Составляйте списки, и комбинируйте... всё достаточно просто. Но лучше воспользоваться уже данным советом про squidGuard

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "Нужно закрыть интернет сайты оплаты различных услуг"  +/
Сообщение от gg (??) on 31-Май-13, 11:15 
>[оверквотинг удален]
> #       acl aclname dstdomain  
> .foo.com ...
> #         # Destination server
> from URL [fast]
> #       acl aclname dstdom_regex [-i] \.foo\.com
> ...
> #         # regex matching
> server [fast]
> Составляйте списки, и комбинируйте... всё достаточно просто. Но лучше воспользоваться
> уже данным советом про squidGuard

В постановке вопроса фигурировал https.
Насколько я понимаю, из зашифрованного трафика выудить dstdomaun без подмены сертификата нереально. Или я что-то пропустил?

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Нужно закрыть интернет сайты оплаты различных услуг"  +/
Сообщение от gg (??) on 31-Май-13, 11:35 
>[оверквотинг удален]
>> from URL [fast]
>> #       acl aclname dstdom_regex [-i] \.foo\.com
>> ...
>> #         # regex matching
>> server [fast]
>> Составляйте списки, и комбинируйте... всё достаточно просто. Но лучше воспользоваться
>> уже данным советом про squidGuard
> В постановке вопроса фигурировал https.
> Насколько я понимаю, из зашифрованного трафика выудить dstdomaun без подмены сертификата
> нереально. Или я что-то пропустил?

Вдогонку.
Посмотрел документацию сквида
http://wiki.squid-cache.org/Features/HTTPS#CONNECT_tunnel_th...
Имена доменов при методе коннект сквид отлавливает, так что совет выше с dstdomain вполне годится.
Ограничения в урл:
- many common parts of the request URL do not exist in a CONNECT request:

- the URL scheme or protocol (e.g., http://, https://, ftp://, voip://, itunes://, or -telnet://),
- the URL path (e.g., /index.html or /secure/images/),
- and query string (e.g. ?a=b&c=d)

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

9. "Нужно закрыть интернет сайты оплаты различных услуг"  +/
Сообщение от SHRDLU (ok) on 31-Май-13, 13:34 
> Имена доменов при методе коннект сквид отлавливает, так что совет выше с
> dstdomain вполне годится.
> Ограничения в урл:

Как правило, достаточно зарезать домены/ip.
Ситуацию, когда понадобится прибить https доступ к определенному разделу некого сайта, сохранив доступ к остальному его пространству (или наоборот, открыть только один раздел, зарезав всё остальное) представить себе, в принципе, можно. Но сложно.


Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

13. "Нужно закрыть интернет сайты оплаты различных услуг"  +/
Сообщение от Aquarius (ok) on 02-Июн-13, 05:49 
>[оверквотинг удален]
> http://wiki.squid-cache.org/Features/HTTPS#CONNECT_tunnel_th...
> Имена доменов при методе коннект сквид отлавливает, так что совет выше с
> dstdomain вполне годится.
> Ограничения в урл:
> - many common parts of the request URL do not exist in
> a CONNECT request:
> - the URL scheme or protocol (e.g., http://, https://, ftp://, voip://, itunes://,
> or -telnet://),
> - the URL path (e.g., /index.html or /secure/images/),
> - and query string (e.g. ?a=b&c=d)

переведу:
- многие привычные части запросов URL отсутствуют в запросах CONNECT:

- бла-бла-бла
- бла-бла-бла
- бла-бла-бла

резюмирую:
у сквида нет привычных критериев для блокирования

а вот разжевывать не буду

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

14. "Нужно закрыть интернет сайты оплаты различных услуг"  +/
Сообщение от SHRDLU (ok) on 02-Июн-13, 11:45 
>> Ограничения в урл:
>> - many common parts of the request URL do not exist in
>> a CONNECT request:
> переведу:
> - многие привычные части запросов URL отсутствуют в запросах CONNECT:

И? Многие, но не все. Домен в запросах connect по-прежнему присутствует, этого достаточно.

> резюмирую:
> у сквида нет привычных критериев для блокирования

С какого перепугу?


Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

7. "Нужно закрыть интернет сайты оплаты различных услуг"  +/
Сообщение от VolnovValeryPavlovich (ok) on 31-Май-13, 11:47 
> В постановке вопроса фигурировал https.
> Насколько я понимаю, из зашифрованного трафика выудить dstdomaun без подмены сертификата
> нереально. Или я что-то пропустил?

вот заковыка и есть в зашифрованном трафике.
пока что юзеры не знают что такое https://vk.com, боюсь представить что будет когда узнают..

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

8. "Нужно закрыть интернет сайты оплаты различных услуг"  +/
Сообщение от gg (??) on 31-Май-13, 11:48 
> вот заковыка и есть в зашифрованном трафике.
> пока что юзеры не знают что такое https://vk.com, боюсь представить что будет
> когда узнают..

У вас случаем сквид работает не в прозрачном режиме?.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

10. "Нужно закрыть интернет сайты оплаты различных услуг"  +/
Сообщение от VolnovValery email on 01-Июн-13, 07:03 
>> вот заковыка и есть в зашифрованном трафике.
>> пока что юзеры не знают что такое https://vk.com, боюсь представить что будет
>> когда узнают..
> У вас случаем сквид работает не в прозрачном режиме?.

по сути в прозрачном, ip раздает сам, но не угодные ip никуды не могут залезть ибо blacklist

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

11. "Нужно закрыть интернет сайты оплаты различных услуг"  +/
Сообщение от VolnovValery email on 01-Июн-13, 08:39 
Вообщем попробовал через acl regex, пускает все равно, black list url - тоже пускает, хотя у меня итак blacklist только ip компьютеров клиентов;)
Если редактировать на локальных компьютерах /etc/hosts и дописать туда имя сайта то он его блочит полностью, для некоторых сайтов вполне приемлимо.
Но опять же бегать по всем компьютерам не вариант.
Если у кого то есть рабочая часть кода, напишите:)

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "Нужно закрыть интернет сайты оплаты различных услуг"  +/
Сообщение от SHRDLU (ok) on 01-Июн-13, 13:54 
> Если у кого то есть рабочая часть кода, напишите:)

Лень-матушка... Всё ж уже написано: http://wiki.squid-cache.org/SquidFaq/SquidAcl#How_can_I_allo...

acl special_client src 10.1.2.3
acl special_url url_regex ^http://www.squid-cache.org/Doc/FAQ/$
http_access allow special_client special_url
http_access deny special_url

В вашем случае нужно вместо url_regexp использовать dstdomain. Ну и список special_client у вас будет состоять из нескольких адресов. Остальные пойдут лесом мимо вконтактов.


Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру