Re: Интернет шлюз. Закрыть доступ к сайту

Эл Noname darkprogrammer на mail.ru
Пн Окт 14 12:43:41 UTC 2013


"А man-in-the-middle для http - чепуха, абсолютно ни каких угроз, т.к. все
шифруется."

Не в том дело. Насколько я понимаю принцип работы прозрачного прокси -
берется пакет, и в нем подменяется адрес, что бы тот пересылался через
прокси, на котором опять же адрес подменяется на внешний (скорее всего
где-то ошибся в описании алгоритма, но вроде общий смысл примерно такой).
Вот тут-то и проблема. Нельзя подменить таким образом адрес в https пакете.

И да, через прокси https работает, но не через прозрачный. А вопрос как раз
был в том, что бы использовать одновременно прозрачный прокси и https без
каких-либо дополнительных настроек на клиентских компах.


14 октября 2013 г., 14:23 пользователь Vladimir Skubriev <
vladimir на skubriev.ru> написал:

> On 10/14/2013 02:12 PM, Эл Noname wrote:
>
>> Насчет не могут/не получится контролировать - спорить не буду, у меня
>> большие пробелы в этих знаниях. Но помнится, когда делал это в последний
>> раз - в режиме прозрачного проксирования https просто не работал, возможно
>> делал что-то не так. Но почитав форумы, нашел объяснение что это нормально,
>> ибо если бы в режиме прокси работал https - то это уже "men in middle".
>>
>> А насчет iptables - да, спасибо за подсказку. А что делать, если хочется
>> еще и статистику, управление шириной канала для пользователей и тд и тп что
>> дает прокси сервер?
>>
> я на сквиде ни когда не настраивал pools, т.е. управление шириной канала
> для пользователей
> только статистику делал - с этим проблем нет, прикрутить lightsquid - не
> сложно
>
> а вот ширина канала на уровне "не прокси" - занятие не для новичков.
>
> по крайней мере я уже 5 лет о ней мечтаю, но пока вот все попытки
> увенчивались тем, что или не получалось или получалось но совсем не то, что
> хотелось бы )
>
> вообще я был не прав на счет не могут контроллировать. я почему то собрал
> все в кучу а хотел сказать, что https нельзя контроллировать, ну только на
> уровне CONNECT'ов наверное.
>
> Работать https через прокси будет, вот прозрачный - ? Да поидее и так ни
> чего не будет мешать.
>
> А man-in-the-middle для http - чепуха, абсолютно ни каких угроз, т.к. все
> шифруется. Хотя идеально HTTPS настроить не так уж и просто. Имеется в
> виду, что там много своих внутренних ньюансов - которыми можно максимально
> все защитить.
>
>
> --
> С Уважением,
> специалист по техническому и программному обеспечению,
> системный администратор
>
> Скубриев Владимир
> ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~**~~~~~~~~~~~~~~~~~
> Россия, Ростовская область, г. Таганрог
>
> тел. моб: +7 (918) 504 38 20
> skype: v.skubriev
> icq: 214-800-502
> www: skubriev.ru
>
>
> --
> ubuntu-ru mailing list
> ubuntu-ru на lists.ubuntu.com
> https://lists.ubuntu.com/**mailman/listinfo/ubuntu-ru<https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru>
>



-- 
С уважением, Эл.
----------- следущая часть -----------
Вложение в формате HTML было извлечено…
URL: <https://lists.ubuntu.com/archives/ubuntu-ru/attachments/20131014/199f4e09/attachment.html>


More information about the ubuntu-ru mailing list