Интернет шлюз. Закрыть доступ к сайту

Павловский Роман Олегович roman.pavlovsky на gmail.com
Пн Окт 14 19:01:49 UTC 2013 

У меня на сервере установлен Squid + DansGuardian, в котором можно 
настраивать доступ к нужным сайтам или блокировать их + ограничение по 
локальным адресам можно делать Все делается через веб интерфейс.
За https вообще это отдельная тема. Я просто прописываю в DNS запреты на 
https сайты. Так как фильтровать https практически не возможно, да и не 
имеет особого мысла ввиду того, что он зашифрован. Для фильтрации такого 
трафика сервер будет тратить вычислительные ресурсы на расшифровку 
трафика, анализ и снова зашифровку.
Так же есть небольшая программка, с помощью которой можно настроить для 
каждого ПК конкретную скорость. Возможно Вы встречали в сети HTB.

14.10.2013 15:55, Alexey Alyoshin пишет:
> Могу ошибаться, но https можно пускать через прозрачный прокси, если 
> подменять сертификат.
>
> Best Regards,
> Alexey
>
>
> 14 октября 2013 г., 16:43 пользователь Эл Noname 
> <darkprogrammer на mail.ru <mailto:darkprogrammer на mail.ru>> написал:
>
>     "А man-in-the-middle для http - чепуха, абсолютно ни каких угроз,
>     т.к. все шифруется."
>
>     Не в том дело. Насколько я понимаю принцип работы прозрачного
>     прокси - берется пакет, и в нем подменяется адрес, что бы тот
>     пересылался через прокси, на котором опять же адрес подменяется на
>     внешний (скорее всего где-то ошибся в описании алгоритма, но вроде
>     общий смысл примерно такой). Вот тут-то и проблема. Нельзя
>     подменить таким образом адрес в https пакете.
>
>     И да, через прокси https работает, но не через прозрачный. А
>     вопрос как раз был в том, что бы использовать одновременно
>     прозрачный прокси и https без каких-либо дополнительных настроек
>     на клиентских компах.
>
>
>     14 октября 2013 г., 14:23 пользователь Vladimir Skubriev
>     <vladimir на skubriev.ru <mailto:vladimir на skubriev.ru>> написал:
>
>         On 10/14/2013 02:12 PM, Эл Noname wrote:
>
>             Насчет не могут/не получится контролировать - спорить не
>             буду, у меня большие пробелы в этих знаниях. Но помнится,
>             когда делал это в последний раз - в режиме прозрачного
>             проксирования https просто не работал, возможно делал
>             что-то не так. Но почитав форумы, нашел объяснение что это
>             нормально, ибо если бы в режиме прокси работал https - то
>             это уже "men in middle".
>
>             А насчет iptables - да, спасибо за подсказку. А что
>             делать, если хочется еще и статистику, управление шириной
>             канала для пользователей и тд и тп что дает прокси сервер?
>
>         я на сквиде ни когда не настраивал pools, т.е. управление
>         шириной канала для пользователей
>         только статистику делал - с этим проблем нет, прикрутить
>         lightsquid - не сложно
>
>         а вот ширина канала на уровне "не прокси" - занятие не для
>         новичков.
>
>         по крайней мере я уже 5 лет о ней мечтаю, но пока вот все
>         попытки увенчивались тем, что или не получалось или получалось
>         но совсем не то, что хотелось бы )
>
>         вообще я был не прав на счет не могут контроллировать. я
>         почему то собрал все в кучу а хотел сказать, что https нельзя
>         контроллировать, ну только на уровне CONNECT'ов наверное.
>
>         Работать https через прокси будет, вот прозрачный - ? Да
>         поидее и так ни чего не будет мешать.
>
>         А man-in-the-middle для http - чепуха, абсолютно ни каких
>         угроз, т.к. все шифруется. Хотя идеально HTTPS настроить не
>         так уж и просто. Имеется в виду, что там много своих
>         внутренних ньюансов - которыми можно максимально все защитить.
>
>
>         -- 
>         С Уважением,
>         специалист по техническому и программному обеспечению,
>         системный администратор
>
>         Скубриев Владимир
>         ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
>         Россия, Ростовская область, г. Таганрог
>
>         тел. моб: +7 (918) 504 38 20
>         <tel:%2B7%20%28918%29%20504%2038%2020>
>         skype: v.skubriev
>         icq: 214-800-502
>         www: skubriev.ru <http://skubriev.ru>
>
>
>         -- 
>         ubuntu-ru mailing list
>         ubuntu-ru на lists.ubuntu.com <mailto:ubuntu-ru на lists.ubuntu.com>
>         https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
>
>
>
>
>     -- 
>     С уважением, Эл.
>
>     --
>     ubuntu-ru mailing list
>     ubuntu-ru на lists.ubuntu.com <mailto:ubuntu-ru на lists.ubuntu.com>
>     https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
>
>
>
>

----------- следущая часть -----------
Вложение в формате HTML было извлечено…
URL: <https://lists.ubuntu.com/archives/ubuntu-ru/attachments/20131014/449b1846/attachment.html>

More information about the ubuntu-ru mailing list