Форум русскоязычного сообщества Ubuntu


Получить помощь и пообщаться с другими пользователями Ubuntu можно
на irc канале #ubuntu-ru в сети Freenode
и в Jabber конференции ubuntu@conference.jabber.ru

Автор Тема: Помогите закрыть https ssl в сети co сквидом  (Прочитано 1078 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн vet_fbi

  • Автор темы
  • Любитель
  • *
  • Сообщений: 53
    • Просмотр профиля
Доброго времени суток, друзья!

Задача: закрыть https ssl. Чтобы юзвери подключаясь к сети по дхцп, не могли открыть даже гугл.
Чем и как это можно проще организовать?

С помощью iptables закрывает https ssl сквиду напрочь.

Я новичок. Прошу не судить строго.
_________________________________________________________________
UbuntuServer14.04. На нем NAT+DHCP+BIND+не прозрачный SQUID3.
Собирал по этим статьям:

https://interface31.ru/tech_it/2014/02/ubuntu-server-nastraivaem-router-nat-dhcp-squid3.html
https://interface31.ru/tech_it/2010/12/ubuntu-server-nastraivaem-avtorizaciyu-cherez-squid.html
http://faqpc.ru/nastrojka-dns-servera-ubuntu/
http://faqpc.ru/ustanovka-i-nastrojka-dhcp-servera/


Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13751
    • Просмотр профиля
Re: Помогите закрыть https ssl в сети co сквидом
« Ответ #1 : 14 Сентябрь 2016, 11:49:10 »
выхлоп sudo iptables-save в студию
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн vet_fbi

  • Автор темы
  • Любитель
  • *
  • Сообщений: 53
    • Просмотр профиля
Re: Помогите закрыть https ssl в сети co сквидом
« Ответ #2 : 15 Сентябрь 2016, 10:49:35 »
Вот, пожалуйста

ip_forward отключать нельзя, т.к. нужен форвардинг портов и впн

Читал про ssl_bump и впихивание сертификатов https в браузеры. Жутко не удобно. Читал еще, что новые сквиды умеют закрывать 443 ssl, но с ними какие-то проблемы сегодня.
« Последнее редактирование: 15 Сентябрь 2016, 10:56:20 от vet_fbi »

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13751
    • Просмотр профиля
Re: Помогите закрыть https ssl в сети co сквидом
« Ответ #3 : 15 Сентябрь 2016, 11:25:38 »
А при чём здесь кальмар, если Вы клиентов напрямую в интернет пускаете?
Кроме http, конечно, который загибаете на прокси.

P.S.  И предоставляйте текстовую информацию в текстовом виде, а то я тоже начну скриншотами с текстового редактора помогать.

PPS что-то у меня появились сомнения, что я правильно понял Вашу задачу. Озвучьте её понятным языком, пожалуйста. Обычным языком. без приплетания терминов, смысл которых слабо понимаете.
« Последнее редактирование: 15 Сентябрь 2016, 11:29:25 от fisher74 »
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн Sergiy17

  • Любитель
  • *
  • Сообщений: 88
    • Просмотр профиля
Re: Помогите закрыть https ssl в сети co сквидом
« Ответ #4 : 15 Сентябрь 2016, 21:47:21 »
Ну так закрыть все подключения к порту 443 (или какой там) на шлюзе вот и все.
Лучший способ в чём-то разобраться до конца — это попробовать научить этому компьютер." (с) Дональд Кнут

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13751
    • Просмотр профиля
Re: Помогите закрыть https ssl в сети co сквидом
« Ответ #5 : 15 Сентябрь 2016, 22:18:04 »
Я не даром попросил ТС озвучить задачу попонятней. А то с одной стороны ставится задача зарубить все ssl, но тут же говорит, что курил подмену сертификатов... Не срастается что-то цель и направление
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн vet_fbi

  • Автор темы
  • Любитель
  • *
  • Сообщений: 53
    • Просмотр профиля
Re: Помогите закрыть https ssl в сети co сквидом
« Ответ #6 : 16 Сентябрь 2016, 08:45:43 »
Sergiy17, Закрывал 443 порт на шлюзе по iptables. В итоге ч-з сквид тоже блочит 443, а нужно чтобы пускал. А если загибаю его порсто через нат, то гугль все равно работает.

fisher74, Вы правы. Скорей всего кальмар не причем. Мне нужно на шлюзе также запретить 443 ч-з нат, как я делаю с 80м. Я так делал, но как я ответил товарищу выше: "гугль все равно работает". Читал, что гугль работает ч-з 443 ssl, вот и давай копать по ssl.

У меня на одном офисе стоит роутер циско, а в подсети сквид с днсом на одной машине. И стоят они с 2009 г.. Каким то образом 443 загибается ч-з прокси (если это так) и гугль там не работает без настроек прокси в браузере и аутентификации. Хотел сделать нечто подобное. Были мысли про циску, что она все это проворачивает.

Доступа к циске и серверу с проксей на офисе нет.
« Последнее редактирование: 16 Сентябрь 2016, 08:51:38 от vet_fbi »

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13751
    • Просмотр профиля
Re: Помогите закрыть https ssl в сети co сквидом
« Ответ #7 : 16 Сентябрь 2016, 08:54:23 »
Просил-же - понятным языком. А то я в Ваших показаниях вообще запутался.
Перестаньте утверждать, что что-то кого-то блочит, учитывая, что Вы несёте бред.
Объясните:Вам нужен гугл или не не нужен?
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн vet_fbi

  • Автор темы
  • Любитель
  • *
  • Сообщений: 53
    • Просмотр профиля
Re: Помогите закрыть https ssl в сети co сквидом
« Ответ #8 : 16 Сентябрь 2016, 09:06:51 »
fisher74,

1. Гугл не нужен без сквида
2. Нужен ч-з сквид

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13751
    • Просмотр профиля
Re: Помогите закрыть https ssl в сети co сквидом
« Ответ #9 : 16 Сентябрь 2016, 09:31:04 »
Вот так и говорите, хочу весь траффик клиентов контролировать кальмаром, и чтобы они об этом не знали.

Тогда убирайте разрешение разрешение новых соединений из локальной сети в глобальную (а лучше примените запрещающую политику), весь траффик наружу отдавайте редиректом на кальмара, а чтобы он работал в https в прозрачном режиме курите подмену сертификата.
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн vet_fbi

  • Автор темы
  • Любитель
  • *
  • Сообщений: 53
    • Просмотр профиля
Re: Помогите закрыть https ssl в сети co сквидом
« Ответ #10 : 16 Сентябрь 2016, 10:28:13 »
При всем этом кальмар должен работать только в прозрачном режиме?


Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13751
    • Просмотр профиля
Re: Помогите закрыть https ssl в сети co сквидом
« Ответ #11 : 16 Сентябрь 2016, 10:42:55 »
этот вопрос я Вам должен задавать, а не Вы нам
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн vet_fbi

  • Автор темы
  • Любитель
  • *
  • Сообщений: 53
    • Просмотр профиля
Re: Помогите закрыть https ssl в сети co сквидом
« Ответ #12 : 16 Сентябрь 2016, 10:55:42 »
Сквид, должен работать в непрозрачном режиме.
Ваши настройки применимы к нему?
Для непрозрачного режима тоже нужна подмена сертификатов?
« Последнее редактирование: 16 Сентябрь 2016, 11:08:10 от vet_fbi »

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13751
    • Просмотр профиля
Re: Помогите закрыть https ssl в сети co сквидом
« Ответ #13 : 16 Сентябрь 2016, 11:21:44 »
Если нужен непрозрачный режим, то подмена сертификатов не нужна, как и редирект пакетов от клиентов.
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн vet_fbi

  • Автор темы
  • Любитель
  • *
  • Сообщений: 53
    • Просмотр профиля
Re: Помогите закрыть https ssl в сети co сквидом
« Ответ #14 : 19 Сентябрь 2016, 09:50:50 »
Подкорректируйте правила пожалуйста:

#Запрещаем доступ из внутренней сети наружу
iptables -A FORWARD -i eth1 -o eth0 -j REJECT

#Отдаю траффик наружу на кальмара
iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p tcp -m multiport --dport 80,8080,443 -j REDIRECT --to-port 3128

 

Страница сгенерирована за 0.055 секунд. Запросов: 24.