Форум русскоязычного сообщества Ubuntu


Увидели сообщение с непонятной ссылкой, спам, непристойность или оскорбление?
Воспользуйтесь ссылкой «Сообщить модератору» рядом с сообщением!

Автор Тема: Фильтрация https  (Прочитано 1991 раз)

0 Пользователей и 1 Гость просматривают эту тему.

RBV

  • Автор темы
  • Гость
Фильтрация https
« : 27 Августа 2015, 22:06:58 »
Доброго времени суток!

Ситуация такая: Поднял прозрачный прокси, с запретами на посещение некоторых ресурсов обошёлся средствами squid(ACL) и squidguard, а вот c https 50/50 :-\

Блокирую через iptables так:
Цитировать
iptables -I FORWARD -s 10.0.0.0/24 -p tcp -m string --algo bm --string ".youtube.com" -j DROP
iptables -I FORWARD -s 10.0.0.0/24 -p tcp -m string --algo bm --string ".facebook.com" -j DROP
iptables -I FORWARD -s 10.0.0.0/24 -p tcp -m string --algo bm --string ".vk.com" -j DROP

youtube и facebook не пропускает а вот vk.com mail.ru и одноглазников пропускает.


пробовал так:
Цитировать
iptables -A FORWARD -m string --string "vk.com" --algo kmp --to 65535 -j DROP

не помогает.

Подскажите как можно реализовать запрет?
Я понимаю что "социальные проблемы техническими средствами не решаются." но здесь уже личный интерес :knuppel2:

Заранее благодарен!

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28466
    • Просмотр профиля
Re: Фильтрация https
« Ответ #1 : 28 Августа 2015, 00:12:26 »
Никак. Прежде чем что-то фильтровать, надо сначала узнать, что вообще вы фильтруете.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн WebRockefeller

  • Новичок
  • *
  • Сообщений: 2
    • Просмотр профиля
Re: Фильтрация https
« Ответ #2 : 28 Августа 2015, 16:11:22 »
Обрати внимание на фильтрацию:
iptables -I FORWARD -s 10.0.0.0/24 -p tcp -m string --algo bm --string ".youtube.com" -j DROP
Youtube пренаправляет по умолчанию на домен третьего уровня. https://www.youtube.com/
iptables -I FORWARD -s 10.0.0.0/24 -p tcp -m string --algo bm --string ".vk.com" -j DROP
А Vk.com делает наоборот оставляет на домене второго уровня.
По этому тебе надо просто убрать точку перед доменом и он будет заблокирован.
Вообще не должна, но может быть проблема (надо будет проверить): будет ли блокировать все домены которые кончаются на "*****vk.com".

И на будущее с регулярными выражениями будь повнимательнее.

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28466
    • Просмотр профиля
Re: Фильтрация https
« Ответ #3 : 28 Августа 2015, 19:33:49 »
WebRockefeller, как ваш ответ относится к заданному вопросу?…
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

RBV

  • Автор темы
  • Гость
Re: Фильтрация https
« Ответ #4 : 01 Сентября 2015, 14:57:40 »
Обрати внимание на фильтрацию:
iptables -I FORWARD -s 10.0.0.0/24 -p tcp -m string --algo bm --string ".youtube.com" -j DROP
Youtube пренаправляет по умолчанию на домен третьего уровня. https://www.youtube.com/
iptables -I FORWARD -s 10.0.0.0/24 -p tcp -m string --algo bm --string ".vk.com" -j DROP
А Vk.com делает наоборот оставляет на домене второго уровня.
По этому тебе надо просто убрать точку перед доменом и он будет заблокирован.
Вообще не должна, но может быть проблема (надо будет проверить): будет ли блокировать все домены которые кончаются на "*****vk.com".

И на будущее с регулярными выражениями будь повнимательнее.

Убрал точки заработало! Благодарю!

С iptables только начал разбираться, раньше админил на microsoft по этому переход на Linux тяжеловат!

Пользователь решил продолжить мысль 01 Сентября 2015, 17:14:39:
Может кому понадобится.
Всё дропает :)
(Нажмите, чтобы показать/скрыть)

« Последнее редактирование: 01 Сентября 2015, 17:14:39 от RBV »

Оффлайн WebRockefeller

  • Новичок
  • *
  • Сообщений: 2
    • Просмотр профиля
Re: Фильтрация https
« Ответ #5 : 11 Сентября 2015, 14:40:43 »
WebRockefeller, как ваш ответ относится к заданному вопросу?…
Для начала читайте внимательно сообщения и не занимайтесь флудом. Человек задал вопрос я ему помог. Результат на лицо. Даже не знаю что ответить на столь глупый вопрос.

Оффлайн z-user

  • Активист
  • *
  • Сообщений: 605
  • Ubuntu User
    • Просмотр профиля
Re: Фильтрация https
« Ответ #6 : 12 Сентября 2015, 13:59:49 »
А odnoklassniki.ru не пустит, а ok.ru пустит?

Пользователь решил продолжить мысль 12 Сентября 2015, 14:01:13:

 

Страница сгенерирована за 0.063 секунд. Запросов: 25.