Помогите закрыть https ssl в сети co сквидом

[vet_fbi]

Доброго времени суток, друзья!

Задача: закрыть https ssl. Чтобы юзвери подключаясь к сети по дхцп, не могли открыть даже гугл.
Чем и как это можно проще организовать?

С помощью iptables закрывает https ssl сквиду напрочь.

Я новичок. Прошу не судить строго.
_________________________________________________________________
UbuntuServer14.04. На нем NAT+DHCP+BIND+не прозрачный SQUID3.
Собирал по этим статьям:

https://interface31.ru/tech_it/2014/02/ubuntu-server-nastraivaem-router-nat-dhcp-squid3.html
https://interface31.ru/tech_it/2010/12/ubuntu-server-nastraivaem-avtorizaciyu-cherez-squid.html
http://faqpc.ru/nastrojka-dns-servera-ubuntu/
http://faqpc.ru/ustanovka-i-nastrojka-dhcp-servera/

[fisher74]

выхлоп sudo iptables-save в студию

[vet_fbi]

Вот, пожалуйста

ip_forward отключать нельзя, т.к. нужен форвардинг портов и впн

Читал про ssl_bump и впихивание сертификатов https в браузеры. Жутко не удобно. Читал еще, что новые сквиды умеют закрывать 443 ssl, но с ними какие-то проблемы сегодня.

[fisher74]

А при чём здесь кальмар, если Вы клиентов напрямую в интернет пускаете?
Кроме http, конечно, который загибаете на прокси.

P.S.  И предоставляйте текстовую информацию в текстовом виде, а то я тоже начну скриншотами с текстового редактора помогать.

PPS что-то у меня появились сомнения, что я правильно понял Вашу задачу. Озвучьте её понятным языком, пожалуйста. Обычным языком. без приплетания терминов, смысл которых слабо понимаете.

[Sergiy17]

Ну так закрыть все подключения к порту 443 (или какой там) на шлюзе вот и все.

[fisher74]

Я не даром попросил ТС озвучить задачу попонятней. А то с одной стороны ставится задача зарубить все ssl, но тут же говорит, что курил подмену сертификатов... Не срастается что-то цель и направление

[vet_fbi]

Sergiy17, Закрывал 443 порт на шлюзе по iptables. В итоге ч-з сквид тоже блочит 443, а нужно чтобы пускал. А если загибаю его порсто через нат, то гугль все равно работает.

fisher74, Вы правы. Скорей всего кальмар не причем. Мне нужно на шлюзе также запретить 443 ч-з нат, как я делаю с 80м. Я так делал, но как я ответил товарищу выше: "гугль все равно работает". Читал, что гугль работает ч-з 443 ssl, вот и давай копать по ssl.

У меня на одном офисе стоит роутер циско, а в подсети сквид с днсом на одной машине. И стоят они с 2009 г.. Каким то образом 443 загибается ч-з прокси (если это так) и гугль там не работает без настроек прокси в браузере и аутентификации. Хотел сделать нечто подобное. Были мысли про циску, что она все это проворачивает.

Доступа к циске и серверу с проксей на офисе нет.

[fisher74]

Просил-же - понятным языком. А то я в Ваших показаниях вообще запутался.
Перестаньте утверждать, что что-то кого-то блочит, учитывая, что Вы несёте бред.
Объясните:Вам нужен гугл или не не нужен?

[vet_fbi]

fisher74,

1. Гугл не нужен без сквида
2. Нужен ч-з сквид

[fisher74]

Вот так и говорите, хочу весь траффик клиентов контролировать кальмаром, и чтобы они об этом не знали.

Тогда убирайте разрешение разрешение новых соединений из локальной сети в глобальную (а лучше примените запрещающую политику), весь траффик наружу отдавайте редиректом на кальмара, а чтобы он работал в https в прозрачном режиме курите подмену сертификата.

[vet_fbi]

При всем этом кальмар должен работать только в прозрачном режиме?

[fisher74]

этот вопрос я Вам должен задавать, а не Вы нам

[vet_fbi]

Сквид, должен работать в непрозрачном режиме.
Ваши настройки применимы к нему?
Для непрозрачного режима тоже нужна подмена сертификатов?

[fisher74]

Если нужен непрозрачный режим, то подмена сертификатов не нужна, как и редирект пакетов от клиентов.

[vet_fbi]

Подкорректируйте правила пожалуйста:

#Запрещаем доступ из внутренней сети наружу
iptables -A FORWARD -i eth1 -o eth0 -j REJECT

#Отдаю траффик наружу на кальмара
iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p tcp -m multiport --dport 80,8080,443 -j REDIRECT --to-port 3128