Re: Интернет шлюз. Закрыть доступ к сайту

Пн Окт 14 12:55:55 UTC 2013

Могу ошибаться, но https можно пускать через прозрачный прокси, если
подменять сертификат.

Best Regards,
Alexey

14 октября 2013 г., 16:43 пользователь Эл Noname
<darkprogrammer на mail.ru>написал:

> "А man-in-the-middle для http - чепуха, абсолютно ни каких угроз, т.к. все
> шифруется."
>
> Не в том дело. Насколько я понимаю принцип работы прозрачного прокси -
> берется пакет, и в нем подменяется адрес, что бы тот пересылался через
> прокси, на котором опять же адрес подменяется на внешний (скорее всего
> где-то ошибся в описании алгоритма, но вроде общий смысл примерно такой).
> Вот тут-то и проблема. Нельзя подменить таким образом адрес в https пакете.
>
> И да, через прокси https работает, но не через прозрачный. А вопрос как
> раз был в том, что бы использовать одновременно прозрачный прокси и https
> без каких-либо дополнительных настроек на клиентских компах.
>
>
> 14 октября 2013 г., 14:23 пользователь Vladimir Skubriev <
> vladimir на skubriev.ru> написал:
>
> On 10/14/2013 02:12 PM, Эл Noname wrote:
>>
>>> Насчет не могут/не получится контролировать - спорить не буду, у меня
>>> большие пробелы в этих знаниях. Но помнится, когда делал это в последний
>>> раз - в режиме прозрачного проксирования https просто не работал, возможно
>>> делал что-то не так. Но почитав форумы, нашел объяснение что это нормально,
>>> ибо если бы в режиме прокси работал https - то это уже "men in middle".
>>>
>>> А насчет iptables - да, спасибо за подсказку. А что делать, если хочется
>>> еще и статистику, управление шириной канала для пользователей и тд и тп что
>>> дает прокси сервер?
>>>
>> я на сквиде ни когда не настраивал pools, т.е. управление шириной канала
>> для пользователей
>> только статистику делал - с этим проблем нет, прикрутить lightsquid - не
>> сложно
>>
>> а вот ширина канала на уровне "не прокси" - занятие не для новичков.
>>
>> по крайней мере я уже 5 лет о ней мечтаю, но пока вот все попытки
>> увенчивались тем, что или не получалось или получалось но совсем не то, что
>> хотелось бы )
>>
>> вообще я был не прав на счет не могут контроллировать. я почему то собрал
>> все в кучу а хотел сказать, что https нельзя контроллировать, ну только на
>> уровне CONNECT'ов наверное.
>>
>> Работать https через прокси будет, вот прозрачный - ? Да поидее и так ни
>> чего не будет мешать.
>>
>> А man-in-the-middle для http - чепуха, абсолютно ни каких угроз, т.к. все
>> шифруется. Хотя идеально HTTPS настроить не так уж и просто. Имеется в
>> виду, что там много своих внутренних ньюансов - которыми можно максимально
>> все защитить.
>>
>>
>> --
>> С Уважением,
>> специалист по техническому и программному обеспечению,
>> системный администратор
>>
>> Скубриев Владимир
>> ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~**~~~~~~~~~~~~~~~~~
>> Россия, Ростовская область, г. Таганрог
>>
>> тел. моб: +7 (918) 504 38 20
>> skype: v.skubriev
>> icq: 214-800-502
>> www: skubriev.ru
>>
>>
>> --
>> ubuntu-ru mailing list
>> ubuntu-ru на lists.ubuntu.com
>> https://lists.ubuntu.com/**mailman/listinfo/ubuntu-ru<https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru>
>>
>
>
>
> --
> С уважением, Эл.
>
> --
> ubuntu-ru mailing list
> ubuntu-ru на lists.ubuntu.com
> https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
>
>
----------- следущая часть -----------
Вложение в формате HTML было извлечено…
URL: <https://lists.ubuntu.com/archives/ubuntu-ru/attachments/20131014/92152d11/attachment-0001.html>