subject:"Интернет шлюз. Закрыть доступ к сайту"

Re: Интернет шлюз. Закрыть доступ к сайту

2013-10-17 Нитка Munko O. Bazarzhapov

Однажды мучался с вопросом прозрачного прокси squid для https трафика (это
было где то около 7 лет назад)
В конечном итоге через dhcp раздал настройки прокси для пользователей
используя PAC (или WPAD)
Например тут: http://www.freeproxy.ru/ru/free_proxy/faq/pac.htm
http://ru.wikipedia.org/wiki/Web_Proxy_Autodiscovery_Protocol
Для передачи настроек прокси клиентам в DHCP используется option 252
у клиентов все что от Windows использовало данную настройку без проблем, а
вот в других браузерах приходилось переключать галочку на автоматическое
определение настроек прокси сервера (без вбивания и диктования IP адресов и
портов для http, https, ftp и т.д.)
На тот момент для меня это было универсальным решением что бы не бегать
каждый раз по парку машин и этажам здания
squid же у меня был как блокировщик некоторых сайтов и управлением шириной
каналов для пользователей

На тот момент хватало за глаза, сейчас уже там не работаю, а вот для
домашних целей купил железку Mikrotik RB751G-2HnD
Вполне хватает что бы двух соседей зацепить, поднять pppoe сервер, и еще
много чего что мне особо и не требовалось
А вот с необходимыми в прошлом задачами думаю эта железка бы справилась на
ура


LLC Master-Byte
Munko O. Bazarzhapov
JabberID: v...@aginskoe.ru
ICQ:169245258
mail: vec...@gmail.com


17 октября 2013 г., 22:28 пользователь Эл Noname
написал:

> Ясно, большое спасибо)
>
>
> 17 октября 2013 г., 16:08 пользователь Vladimir Skubriev <
> vladi...@skubriev.ru> написал:
>
>  On 10/17/2013 03:23 PM, Эл Noname wrote:
>>
>> "Вообщем не бойтесь настраивать на машинах прокси. Тем более это можно
>> делать автоматически.
>>
>> Не стоит делать прозрачный прокси.
>>
>> Как мне кажется это было нормально много лет назад. По тому, что Интернет
>> не был таким сложным как сейчас."
>>
>>  Я вообще всегда думал наоборот. Как-то странно настраивать прокси на
>> всех клиентских машинах, это страшно неудобно при большом их кол-ве. Тем
>> более не все программы берут системные настройки прокси, у большинства из
>> них настройки свои.
>>
>>  Насчет авто настройки - слышу честно говоря в первый раз. Подскажете
>> что-то?
>>
>>
>>
>> 17 октября 2013 г., 11:58 пользователь Vladimir Skubriev <
>> vladi...@skubriev.ru> написал:
>>
>>>   On 10/17/2013 11:42 AM, Эл Noname wrote:
>>>
>>> "squid может работать как https прокси, просто он будет выступать в роли
>>> tunnel proxy для https"
>>>
>>>  Речь о не прозрачном прокси?
>>>
>>>  Прочитал тему по ссылке, но честно говоря мало понял что хочет автор,
>>> прозрачный или нет)
>>>
>>>
>>> 16 октября 2013 г., 14:06 пользователь Vladimir Skubriev <
>>> vladi...@skubriev.ru> написал:
>>>
  On 10/14/2013 12:59 PM, Эл Noname wrote:

 Добрый всем день. Прошу прояснить непонятный для меня момент:
 Требуется поднять на ubuntu интернет шлюз, и закрыть с его помощью
 доступ к некоторым сайтам. В связи с чем вопрос. Если использовать сквид, и
 прозрачное проксирование, то пользователи не смогут работать с https. С
 другой стороны использовать не прозрачное проксирование - очень неудобно.
 Так какие существуют технологии/софт для нормальной работы https через
 прокси сервер с отсутствием геморроя с настройкой прокси адресов во всех
 нужных программах пользователей?

  Спасибо!

  --
 С уважением, Эл.



  http://www.w3.org/Protocols/rfc2616/rfc2616.txt



 9.9 CONNECT

This specification reserves the method name CONNECT for use with a
proxy that can dynamically switch to being a tunnel (e.g. SSL
tunneling [44]).



 --
 С Уважением,
 специалист по техническому и программному обеспечению,
 системный администратор

 Скубриев Владимир
 ~~~
 Россия, Ростовская область, г. Таганрог

 тел. моб: +7 (918) 504 38 20
 skype: v.skubriev
 icq: 214-800-502
 www: skubriev.ru


 --
 ubuntu-ru mailing list
 ubuntu-ru@lists.ubuntu.com
 https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru


>>>
>>>
>>>  --
>>> С уважением, Эл.
>>>
>>>
>>>   Да. Точно речь о не прозрачном прокси.
>>>
>>> Не советую даже замораичваться на прозрачный + хттпс. мне подсказывает
>>> сисадминская интуиция )))
>>>
>>> И вообще на прозрачный. У вас есть iptables все остальное делать должен
>>> он.
>>>
>>> Вообщем не бойтесь настраивать на машинах прокси. Тем более это можно
>>> делать автоматически.
>>>
>>> Не стоит делать прозрачный прокси.
>>>
>>> Как мне кажется это было нормально много лет назад. По тому, что
>>> Интернет не был таким сложным как сейчас.
>>>
>>> А сейчас прозрачное проксирование я бы не стал лепить. Один раз я делал
>>> это, но потом решил от него избавиться и переделал все на 3128 )
>>>
>>>
>>> --
>>> С Уважением,
>>> специалист по техническому и программному обеспечению,
>>> системный администратор
>>>
>>> Скубриев Владимир
>>> ~~~
>>> Р

Re: Интернет шлюз. Закрыть доступ к сайту

2013-10-17 Нитка Эл Noname

Ясно, большое спасибо)


17 октября 2013 г., 16:08 пользователь Vladimir Skubriev <
vladi...@skubriev.ru> написал:

>  On 10/17/2013 03:23 PM, Эл Noname wrote:
>
> "Вообщем не бойтесь настраивать на машинах прокси. Тем более это можно
> делать автоматически.
>
> Не стоит делать прозрачный прокси.
>
> Как мне кажется это было нормально много лет назад. По тому, что Интернет
> не был таким сложным как сейчас."
>
>  Я вообще всегда думал наоборот. Как-то странно настраивать прокси на
> всех клиентских машинах, это страшно неудобно при большом их кол-ве. Тем
> более не все программы берут системные настройки прокси, у большинства из
> них настройки свои.
>
>  Насчет авто настройки - слышу честно говоря в первый раз. Подскажете
> что-то?
>
>
>
> 17 октября 2013 г., 11:58 пользователь Vladimir Skubriev <
> vladi...@skubriev.ru> написал:
>
>>   On 10/17/2013 11:42 AM, Эл Noname wrote:
>>
>> "squid может работать как https прокси, просто он будет выступать в роли
>> tunnel proxy для https"
>>
>>  Речь о не прозрачном прокси?
>>
>>  Прочитал тему по ссылке, но честно говоря мало понял что хочет автор,
>> прозрачный или нет)
>>
>>
>> 16 октября 2013 г., 14:06 пользователь Vladimir Skubriev <
>> vladi...@skubriev.ru> написал:
>>
>>>  On 10/14/2013 12:59 PM, Эл Noname wrote:
>>>
>>> Добрый всем день. Прошу прояснить непонятный для меня момент:
>>> Требуется поднять на ubuntu интернет шлюз, и закрыть с его помощью
>>> доступ к некоторым сайтам. В связи с чем вопрос. Если использовать сквид, и
>>> прозрачное проксирование, то пользователи не смогут работать с https. С
>>> другой стороны использовать не прозрачное проксирование - очень неудобно.
>>> Так какие существуют технологии/софт для нормальной работы https через
>>> прокси сервер с отсутствием геморроя с настройкой прокси адресов во всех
>>> нужных программах пользователей?
>>>
>>>  Спасибо!
>>>
>>>  --
>>> С уважением, Эл.
>>>
>>>
>>>
>>>  http://www.w3.org/Protocols/rfc2616/rfc2616.txt
>>>
>>>
>>> 9.9 CONNECT
>>>
>>>This specification reserves the method name CONNECT for use with a
>>>proxy that can dynamically switch to being a tunnel (e.g. SSL
>>>tunneling [44]).
>>>
>>>
>>>
>>> --
>>> С Уважением,
>>> специалист по техническому и программному обеспечению,
>>> системный администратор
>>>
>>> Скубриев Владимир
>>> ~~~
>>> Россия, Ростовская область, г. Таганрог
>>>
>>> тел. моб: +7 (918) 504 38 20
>>> skype: v.skubriev
>>> icq: 214-800-502
>>> www: skubriev.ru
>>>
>>>
>>> --
>>> ubuntu-ru mailing list
>>> ubuntu-ru@lists.ubuntu.com
>>> https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
>>>
>>>
>>
>>
>>  --
>> С уважением, Эл.
>>
>>
>>   Да. Точно речь о не прозрачном прокси.
>>
>> Не советую даже замораичваться на прозрачный + хттпс. мне подсказывает
>> сисадминская интуиция )))
>>
>> И вообще на прозрачный. У вас есть iptables все остальное делать должен
>> он.
>>
>> Вообщем не бойтесь настраивать на машинах прокси. Тем более это можно
>> делать автоматически.
>>
>> Не стоит делать прозрачный прокси.
>>
>> Как мне кажется это было нормально много лет назад. По тому, что Интернет
>> не был таким сложным как сейчас.
>>
>> А сейчас прозрачное проксирование я бы не стал лепить. Один раз я делал
>> это, но потом решил от него избавиться и переделал все на 3128 )
>>
>>
>> --
>> С Уважением,
>> специалист по техническому и программному обеспечению,
>> системный администратор
>>
>> Скубриев Владимир
>> ~~~
>> Россия, Ростовская область, г. Таганрог
>>
>> тел. моб: +7 (918) 504 38 20
>> skype: v.skubriev
>> icq: 214-800-502
>> www: skubriev.ru
>>
>>
>> --
>> ubuntu-ru mailing list
>> ubuntu-ru@lists.ubuntu.com
>> https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
>>
>>
>
>
>  --
> С уважением, Эл.
>
>
>  На мой взгляд это не удобно. Что тут подсказать. Я делал это года 4 назад
> и сталкивался с разными неприятностями. В том числе с невозможностью
> прозрачной аутентицикации, неработой некоторых программа и т.д.
>
> Вообщем я не советую.
>
> А так ни кто не мешает вам это сделать.
>
> Авось все нужные программы будут работать без проблем и вас вообще все
> устроит.
>
>
> --
> С Уважением,
> специалист по техническому и программному обеспечению,
> системный администратор
>
> Скубриев Владимир
> ~~~
> Россия, Ростовская область, г. Таганрог
>
> тел. моб: +7 (918) 504 38 20
> skype: v.skubriev
> icq: 214-800-502
> www: skubriev.ru
>
>
> --
> ubuntu-ru mailing list
> ubuntu-ru@lists.ubuntu.com
> https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
>
>


-- 
С уважением, Эл.
-- 
ubuntu-ru mailing list
ubuntu-ru@lists.ubuntu.com
https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru

Re: Интернет шлюз. Закрыть доступ к сайту

2013-10-17 Нитка Vladimir Skubriev

On 10/17/2013 03:23 PM, Эл Noname wrote:
"Вообщем не бойтесь настраивать на машинах прокси. Тем более это можно
делать автоматически.

Не стоит делать прозрачный прокси.

Как мне кажется это было нормально много лет назад. По тому, что
Интернет не был таким сложным как сейчас."

Я вообще всегда думал наоборот. Как-то странно настраивать прокси на
всех клиентских машинах, это страшно неудобно при большом их кол-ве.
Тем более не все программы берут системные настройки прокси, у
большинства из них настройки свои.

Насчет авто настройки - слышу честно говоря в первый раз. Подскажете
что-то?

17 октября 2013 г., 11:58 пользователь Vladimir Skubriev
mailto:vladi...@skubriev.ru>> написал:

On 10/17/2013 11:42 AM, Эл Noname wrote:

"squid может работать как https прокси, просто он будет выступать
в роли tunnel proxy для https"

Речь о не прозрачном прокси?

Прочитал тему по ссылке, но честно говоря мало понял что хочет
автор, прозрачный или нет)

16 октября 2013 г., 14:06 пользователь Vladimir Skubriev
mailto:vladi...@skubriev.ru>> написал:

On 10/14/2013 12:59 PM, Эл Noname wrote:

Добрый всем день. Прошу прояснить непонятный для меня момент:
Требуется поднять на ubuntu интернет шлюз, и закрыть с его
помощью доступ к некоторым сайтам. В связи с чем вопрос.
Если использовать сквид, и прозрачное проксирование, то
пользователи не смогут работать с https. С другой стороны
использовать не прозрачное проксирование - очень неудобно.
Так какие существуют технологии/софт для нормальной работы
https через прокси сервер с отсутствием геморроя с
настройкой прокси адресов во всех нужных программах
пользователей?

Спасибо!

--
С уважением, Эл.

http://www.w3.org/Protocols/rfc2616/rfc2616.txt

9.9 CONNECT

This specification reserves the method name CONNECT for use with a
proxy that can dynamically switch to being a tunnel (e.g. SSL
tunneling [44]).

--
С Уважением,

специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www:skubriev.ru

--
ubuntu-ru mailing list
ubuntu-ru@lists.ubuntu.com
https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru

--
С уважением, Эл.

Да. Точно речь о не прозрачном прокси.

Не советую даже замораичваться на прозрачный + хттпс. мне
подсказывает сисадминская интуиция )))

И вообще на прозрачный. У вас есть iptables все остальное делать
должен он.

Вообщем не бойтесь настраивать на машинах прокси. Тем более это
можно делать автоматически.

Не стоит делать прозрачный прокси.

Как мне кажется это было нормально много лет назад. По тому, что
Интернет не был таким сложным как сейчас.

А сейчас прозрачное проксирование я бы не стал лепить. Один раз я
делал это, но потом решил от него избавиться и переделал все на
3128 )

--
С Уважением,

специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www:skubriev.ru

--
ubuntu-ru mailing list
ubuntu-ru@lists.ubuntu.com
https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru

--
С уважением, Эл.

На мой взгляд это не удобно. Что тут подсказать. Я делал это года 4
назад и сталкивался с разными неприятностями. В том числе с
невозможностью прозрачной аутентицикации, неработой некоторых программа
и т.д.

Вообщем я не советую.

А так ни кто не мешает вам это сделать.

Авось все нужные программы будут работать без проблем и вас вообще все
устроит.

--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru

--
ubuntu-ru mailing list
ubuntu-ru@lists.ubuntu.com
https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru

Re: Интернет шлюз. Закрыть доступ к сайту

2013-10-17 Нитка Эл Noname

"Вообщем не бойтесь настраивать на машинах прокси. Тем более это можно
делать автоматически.

Не стоит делать прозрачный прокси.

Как мне кажется это было нормально много лет назад. По тому, что Интернет
не был таким сложным как сейчас."

Я вообще всегда думал наоборот. Как-то странно настраивать прокси на всех
клиентских машинах, это страшно неудобно при большом их кол-ве. Тем более
не все программы берут системные настройки прокси, у большинства из них
настройки свои.

Насчет авто настройки - слышу честно говоря в первый раз. Подскажете что-то?



17 октября 2013 г., 11:58 пользователь Vladimir Skubriev <
vladi...@skubriev.ru> написал:

>  On 10/17/2013 11:42 AM, Эл Noname wrote:
>
> "squid может работать как https прокси, просто он будет выступать в роли
> tunnel proxy для https"
>
>  Речь о не прозрачном прокси?
>
>  Прочитал тему по ссылке, но честно говоря мало понял что хочет автор,
> прозрачный или нет)
>
>
> 16 октября 2013 г., 14:06 пользователь Vladimir Skubriev <
> vladi...@skubriev.ru> написал:
>
>>  On 10/14/2013 12:59 PM, Эл Noname wrote:
>>
>> Добрый всем день. Прошу прояснить непонятный для меня момент:
>> Требуется поднять на ubuntu интернет шлюз, и закрыть с его помощью доступ
>> к некоторым сайтам. В связи с чем вопрос. Если использовать сквид, и
>> прозрачное проксирование, то пользователи не смогут работать с https. С
>> другой стороны использовать не прозрачное проксирование - очень неудобно.
>> Так какие существуют технологии/софт для нормальной работы https через
>> прокси сервер с отсутствием геморроя с настройкой прокси адресов во всех
>> нужных программах пользователей?
>>
>>  Спасибо!
>>
>>  --
>> С уважением, Эл.
>>
>>
>>
>>  http://www.w3.org/Protocols/rfc2616/rfc2616.txt
>>
>>
>> 9.9 CONNECT
>>
>>This specification reserves the method name CONNECT for use with a
>>proxy that can dynamically switch to being a tunnel (e.g. SSL
>>tunneling [44]).
>>
>>
>>
>> --
>> С Уважением,
>> специалист по техническому и программному обеспечению,
>> системный администратор
>>
>> Скубриев Владимир
>> ~~~
>> Россия, Ростовская область, г. Таганрог
>>
>> тел. моб: +7 (918) 504 38 20
>> skype: v.skubriev
>> icq: 214-800-502
>> www: skubriev.ru
>>
>>
>> --
>> ubuntu-ru mailing list
>> ubuntu-ru@lists.ubuntu.com
>> https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
>>
>>
>
>
>  --
> С уважением, Эл.
>
>
>  Да. Точно речь о не прозрачном прокси.
>
> Не советую даже замораичваться на прозрачный + хттпс. мне подсказывает
> сисадминская интуиция )))
>
> И вообще на прозрачный. У вас есть iptables все остальное делать должен он.
>
> Вообщем не бойтесь настраивать на машинах прокси. Тем более это можно
> делать автоматически.
>
> Не стоит делать прозрачный прокси.
>
> Как мне кажется это было нормально много лет назад. По тому, что Интернет
> не был таким сложным как сейчас.
>
> А сейчас прозрачное проксирование я бы не стал лепить. Один раз я делал
> это, но потом решил от него избавиться и переделал все на 3128 )
>
>
> --
> С Уважением,
> специалист по техническому и программному обеспечению,
> системный администратор
>
> Скубриев Владимир
> ~~~
> Россия, Ростовская область, г. Таганрог
>
> тел. моб: +7 (918) 504 38 20
> skype: v.skubriev
> icq: 214-800-502
> www: skubriev.ru
>
>
> --
> ubuntu-ru mailing list
> ubuntu-ru@lists.ubuntu.com
> https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
>
>


-- 
С уважением, Эл.
-- 
ubuntu-ru mailing list
ubuntu-ru@lists.ubuntu.com
https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru

Re: Интернет шлюз. Закрыть доступ к сайту

2013-10-17 Нитка Vladimir Skubriev

On 10/17/2013 11:42 AM, Эл Noname wrote:
"squid может работать как https прокси, просто он будет выступать в
роли tunnel proxy для https"

Речь о не прозрачном прокси?

Прочитал тему по ссылке, но честно говоря мало понял что хочет автор,
прозрачный или нет)

16 октября 2013 г., 14:06 пользователь Vladimir Skubriev
mailto:vladi...@skubriev.ru>> написал:

On 10/14/2013 12:59 PM, Эл Noname wrote:

Добрый всем день. Прошу прояснить непонятный для меня момент:
Требуется поднять на ubuntu интернет шлюз, и закрыть с его
помощью доступ к некоторым сайтам. В связи с чем вопрос. Если
использовать сквид, и прозрачное проксирование, то пользователи
не смогут работать с https. С другой стороны использовать не
прозрачное проксирование - очень неудобно. Так какие существуют
технологии/софт для нормальной работы https через прокси сервер с
отсутствием геморроя с настройкой прокси адресов во всех нужных
программах пользователей?

Спасибо!

--
С уважением, Эл.

http://www.w3.org/Protocols/rfc2616/rfc2616.txt

9.9 CONNECT

This specification reserves the method name CONNECT for use with a
proxy that can dynamically switch to being a tunnel (e.g. SSL
tunneling [44]).

--
С Уважением,

специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www:skubriev.ru

--
ubuntu-ru mailing list
ubuntu-ru@lists.ubuntu.com
https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru

--
С уважением, Эл.

Да. Точно речь о не прозрачном прокси.

Не советую даже замораичваться на прозрачный + хттпс. мне подсказывает
сисадминская интуиция )))

И вообще на прозрачный. У вас есть iptables все остальное делать должен он.

Вообщем не бойтесь настраивать на машинах прокси. Тем более это можно
делать автоматически.

Не стоит делать прозрачный прокси.

Как мне кажется это было нормально много лет назад. По тому, что
Интернет не был таким сложным как сейчас.

А сейчас прозрачное проксирование я бы не стал лепить. Один раз я делал
это, но потом решил от него избавиться и переделал все на 3128 )

--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru

--
ubuntu-ru mailing list
ubuntu-ru@lists.ubuntu.com
https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru

Re: Интернет шлюз. Закрыть доступ к сайту

2013-10-17 Нитка Эл Noname

"squid может работать как https прокси, просто он будет выступать в роли
tunnel proxy для https"

Речь о не прозрачном прокси?

Прочитал тему по ссылке, но честно говоря мало понял что хочет автор,
прозрачный или нет)


16 октября 2013 г., 14:06 пользователь Vladimir Skubriev <
vladi...@skubriev.ru> написал:

>  On 10/14/2013 12:59 PM, Эл Noname wrote:
>
> Добрый всем день. Прошу прояснить непонятный для меня момент:
> Требуется поднять на ubuntu интернет шлюз, и закрыть с его помощью доступ
> к некоторым сайтам. В связи с чем вопрос. Если использовать сквид, и
> прозрачное проксирование, то пользователи не смогут работать с https. С
> другой стороны использовать не прозрачное проксирование - очень неудобно.
> Так какие существуют технологии/софт для нормальной работы https через
> прокси сервер с отсутствием геморроя с настройкой прокси адресов во всех
> нужных программах пользователей?
>
>  Спасибо!
>
>  --
> С уважением, Эл.
>
>
>
> http://www.w3.org/Protocols/rfc2616/rfc2616.txt
>
>
> 9.9 CONNECT
>
>This specification reserves the method name CONNECT for use with a
>proxy that can dynamically switch to being a tunnel (e.g. SSL
>tunneling [44]).
>
>
>
> --
> С Уважением,
> специалист по техническому и программному обеспечению,
> системный администратор
>
> Скубриев Владимир
> ~~~
> Россия, Ростовская область, г. Таганрог
>
> тел. моб: +7 (918) 504 38 20
> skype: v.skubriev
> icq: 214-800-502
> www: skubriev.ru
>
>
> --
> ubuntu-ru mailing list
> ubuntu-ru@lists.ubuntu.com
> https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
>
>


-- 
С уважением, Эл.
-- 
ubuntu-ru mailing list
ubuntu-ru@lists.ubuntu.com
https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru

Re: Интернет шлюз. Закрыть доступ к сайту

2013-10-16 Нитка Vladimir Skubriev

On 10/14/2013 12:59 PM, Эл Noname wrote:

Добрый всем день. Прошу прояснить непонятный для меня момент:
Требуется поднять на ubuntu интернет шлюз, и закрыть с его помощью
доступ к некоторым сайтам. В связи с чем вопрос. Если использовать
сквид, и прозрачное проксирование, то пользователи не смогут работать
с https. С другой стороны использовать не прозрачное проксирование -
очень неудобно. Так какие существуют технологии/софт для нормальной
работы https через прокси сервер с отсутствием геморроя с настройкой
прокси адресов во всех нужных программах пользователей?

Спасибо!

--
С уважением, Эл.

http://www.w3.org/Protocols/rfc2616/rfc2616.txt

9.9 CONNECT

This specification reserves the method name CONNECT for use with a
proxy that can dynamically switch to being a tunnel (e.g. SSL
tunneling [44]).

--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru

--
ubuntu-ru mailing list
ubuntu-ru@lists.ubuntu.com
https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru

Re: Интернет шлюз. Закрыть доступ к сайту

2013-10-16 Нитка Vladimir Skubriev


On 10/14/2013 12:59 PM, Эл Noname wrote:

Добрый всем день. Прошу прояснить непонятный для меня момент:
Требуется поднять на ubuntu интернет шлюз, и закрыть с его помощью 
доступ к некоторым сайтам. В связи с чем вопрос. Если использовать 
сквид, и прозрачное проксирование, то пользователи не смогут работать 
с https. С другой стороны использовать не прозрачное проксирование - 
очень неудобно. Так какие существуют технологии/софт для нормальной 
работы https через прокси сервер с отсутствием геморроя с настройкой 
прокси адресов во всех нужных программах пользователей?


Спасибо!

--
С уважением, Эл.



http://www.opennet.ru/openforum/vsluhforumID12/6943.html

squid может работать как https прокси, просто он будет выступать в роли 
tunnel proxy для https


и соответсвенно можно спокойно блокировать какие угодно сайты )

обратите внимание на

http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports


--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru

-- 
ubuntu-ru mailing list
ubuntu-ru@lists.ubuntu.com
https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru

Re: Интернет шлюз. Закрыть доступ к сайту

2013-10-14 Нитка Сергей Бессонов

14.10.2013 23:01, Павловский Роман Олегович пишет:
> Для фильтрации такого трафика сервер будет тратить вычислительные
> ресурсы на расшифровку трафика, анализ и снова зашифровку.

О_О

А по DNS-ам фильтровать не пробовали?

-- 
С уважением, Бессонов Сергей.


-- 
ubuntu-ru mailing list
ubuntu-ru@lists.ubuntu.com
https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru

Re: Интернет шлюз. Закрыть доступ к сайту

2013-10-14 Нитка Pivushkov Alexandr


On 14.10.2013 23:01, Павловский Роман Олегович wrote:

У меня на сервере установлен Squid + DansGuardian, в котором можно
настраивать доступ к нужным сайтам или блокировать их + ограничение по
локальным адресам можно делать Все делается через веб интерфейс.
За https вообще это отдельная тема. Я просто прописываю в DNS запреты на
https сайты. Так как фильтровать https практически не возможно, да и не
имеет особого мысла ввиду того, что он зашифрован. Для фильтрации такого
трафика сервер будет тратить вычислительные ресурсы на расшифровку
трафика, анализ и снова зашифровку.

чего чего 0_0 ?
вот тут я уже, наверное, поерничаю. :)
хотя, мож действительно теперь так можно делать? :)

--
- Пивушков Александр.
  Институт проблем химической физики. Черноголовка.
  Тел.: +7(49652)2-12-31
--
ubuntu-ru mailing list
ubuntu-ru@lists.ubuntu.com
https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru

Re: Интернет шлюз. Закрыть доступ к сайту

2013-10-14 Нитка Павловский Роман Олегович

У меня на сервере установлен Squid + DansGuardian, в котором можно
настраивать доступ к нужным сайтам или блокировать их + ограничение по
локальным адресам можно делать Все делается через веб интерфейс.
За https вообще это отдельная тема. Я просто прописываю в DNS запреты на
https сайты. Так как фильтровать https практически не возможно, да и не
имеет особого мысла ввиду того, что он зашифрован. Для фильтрации такого
трафика сервер будет тратить вычислительные ресурсы на расшифровку
трафика, анализ и снова зашифровку.
Так же есть небольшая программка, с помощью которой можно настроить для
каждого ПК конкретную скорость. Возможно Вы встречали в сети HTB.

14.10.2013 15:55, Alexey Alyoshin пишет:
Могу ошибаться, но https можно пускать через прозрачный прокси, если
подменять сертификат.

Best Regards,
Alexey

14 октября 2013 г., 16:43 пользователь Эл Noname
mailto:darkprogram...@mail.ru>> написал:

"А man-in-the-middle для http - чепуха, абсолютно ни каких угроз,
т.к. все шифруется."

Не в том дело. Насколько я понимаю принцип работы прозрачного
прокси - берется пакет, и в нем подменяется адрес, что бы тот
пересылался через прокси, на котором опять же адрес подменяется на
внешний (скорее всего где-то ошибся в описании алгоритма, но вроде
общий смысл примерно такой). Вот тут-то и проблема. Нельзя
подменить таким образом адрес в https пакете.

И да, через прокси https работает, но не через прозрачный. А
вопрос как раз был в том, что бы использовать одновременно
прозрачный прокси и https без каких-либо дополнительных настроек
на клиентских компах.

14 октября 2013 г., 14:23 пользователь Vladimir Skubriev
mailto:vladi...@skubriev.ru>> написал:

On 10/14/2013 02:12 PM, Эл Noname wrote:

Насчет не могут/не получится контролировать - спорить не
буду, у меня большие пробелы в этих знаниях. Но помнится,
когда делал это в последний раз - в режиме прозрачного
проксирования https просто не работал, возможно делал
что-то не так. Но почитав форумы, нашел объяснение что это
нормально, ибо если бы в режиме прокси работал https - то
это уже "men in middle".

А насчет iptables - да, спасибо за подсказку. А что
делать, если хочется еще и статистику, управление шириной
канала для пользователей и тд и тп что дает прокси сервер?

я на сквиде ни когда не настраивал pools, т.е. управление
шириной канала для пользователей
только статистику делал - с этим проблем нет, прикрутить
lightsquid - не сложно

а вот ширина канала на уровне "не прокси" - занятие не для
новичков.

по крайней мере я уже 5 лет о ней мечтаю, но пока вот все
попытки увенчивались тем, что или не получалось или получалось
но совсем не то, что хотелось бы )

вообще я был не прав на счет не могут контроллировать. я
почему то собрал все в кучу а хотел сказать, что https нельзя
контроллировать, ну только на уровне CONNECT'ов наверное.

Работать https через прокси будет, вот прозрачный - ? Да
поидее и так ни чего не будет мешать.

А man-in-the-middle для http - чепуха, абсолютно ни каких
угроз, т.к. все шифруется. Хотя идеально HTTPS настроить не
так уж и просто. Имеется в виду, что там много своих
внутренних ньюансов - которыми можно максимально все защитить.

--
С Уважением,

специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20

skype: v.skubriev
icq: 214-800-502
www: skubriev.ru

--
ubuntu-ru mailing list

ubuntu-ru@lists.ubuntu.com
https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru

--
С уважением, Эл.

--
ubuntu-ru mailing list
ubuntu-ru@lists.ubuntu.com
https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru

Re: Интернет шлюз. Закрыть доступ к сайту

2013-10-14 Нитка Alexey Alyoshin

Могу ошибаться, но https можно пускать через прозрачный прокси, если
подменять сертификат.

Best Regards,
Alexey


14 октября 2013 г., 16:43 пользователь Эл Noname
написал:

> "А man-in-the-middle для http - чепуха, абсолютно ни каких угроз, т.к. все
> шифруется."
>
> Не в том дело. Насколько я понимаю принцип работы прозрачного прокси -
> берется пакет, и в нем подменяется адрес, что бы тот пересылался через
> прокси, на котором опять же адрес подменяется на внешний (скорее всего
> где-то ошибся в описании алгоритма, но вроде общий смысл примерно такой).
> Вот тут-то и проблема. Нельзя подменить таким образом адрес в https пакете.
>
> И да, через прокси https работает, но не через прозрачный. А вопрос как
> раз был в том, что бы использовать одновременно прозрачный прокси и https
> без каких-либо дополнительных настроек на клиентских компах.
>
>
> 14 октября 2013 г., 14:23 пользователь Vladimir Skubriev <
> vladi...@skubriev.ru> написал:
>
> On 10/14/2013 02:12 PM, Эл Noname wrote:
>>
>>> Насчет не могут/не получится контролировать - спорить не буду, у меня
>>> большие пробелы в этих знаниях. Но помнится, когда делал это в последний
>>> раз - в режиме прозрачного проксирования https просто не работал, возможно
>>> делал что-то не так. Но почитав форумы, нашел объяснение что это нормально,
>>> ибо если бы в режиме прокси работал https - то это уже "men in middle".
>>>
>>> А насчет iptables - да, спасибо за подсказку. А что делать, если хочется
>>> еще и статистику, управление шириной канала для пользователей и тд и тп что
>>> дает прокси сервер?
>>>
>> я на сквиде ни когда не настраивал pools, т.е. управление шириной канала
>> для пользователей
>> только статистику делал - с этим проблем нет, прикрутить lightsquid - не
>> сложно
>>
>> а вот ширина канала на уровне "не прокси" - занятие не для новичков.
>>
>> по крайней мере я уже 5 лет о ней мечтаю, но пока вот все попытки
>> увенчивались тем, что или не получалось или получалось но совсем не то, что
>> хотелось бы )
>>
>> вообще я был не прав на счет не могут контроллировать. я почему то собрал
>> все в кучу а хотел сказать, что https нельзя контроллировать, ну только на
>> уровне CONNECT'ов наверное.
>>
>> Работать https через прокси будет, вот прозрачный - ? Да поидее и так ни
>> чего не будет мешать.
>>
>> А man-in-the-middle для http - чепуха, абсолютно ни каких угроз, т.к. все
>> шифруется. Хотя идеально HTTPS настроить не так уж и просто. Имеется в
>> виду, что там много своих внутренних ньюансов - которыми можно максимально
>> все защитить.
>>
>>
>> --
>> С Уважением,
>> специалист по техническому и программному обеспечению,
>> системный администратор
>>
>> Скубриев Владимир
>> ~~**~
>> Россия, Ростовская область, г. Таганрог
>>
>> тел. моб: +7 (918) 504 38 20
>> skype: v.skubriev
>> icq: 214-800-502
>> www: skubriev.ru
>>
>>
>> --
>> ubuntu-ru mailing list
>> ubuntu-ru@lists.ubuntu.com
>> https://lists.ubuntu.com/**mailman/listinfo/ubuntu-ru
>>
>
>
>
> --
> С уважением, Эл.
>
> --
> ubuntu-ru mailing list
> ubuntu-ru@lists.ubuntu.com
> https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
>
>
-- 
ubuntu-ru mailing list
ubuntu-ru@lists.ubuntu.com
https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru

Re: Интернет шлюз. Закрыть доступ к сайту

2013-10-14 Нитка Эл Noname

"А man-in-the-middle для http - чепуха, абсолютно ни каких угроз, т.к. все
шифруется."

Не в том дело. Насколько я понимаю принцип работы прозрачного прокси -
берется пакет, и в нем подменяется адрес, что бы тот пересылался через
прокси, на котором опять же адрес подменяется на внешний (скорее всего
где-то ошибся в описании алгоритма, но вроде общий смысл примерно такой).
Вот тут-то и проблема. Нельзя подменить таким образом адрес в https пакете.

И да, через прокси https работает, но не через прозрачный. А вопрос как раз
был в том, что бы использовать одновременно прозрачный прокси и https без
каких-либо дополнительных настроек на клиентских компах.


14 октября 2013 г., 14:23 пользователь Vladimir Skubriev <
vladi...@skubriev.ru> написал:

> On 10/14/2013 02:12 PM, Эл Noname wrote:
>
>> Насчет не могут/не получится контролировать - спорить не буду, у меня
>> большие пробелы в этих знаниях. Но помнится, когда делал это в последний
>> раз - в режиме прозрачного проксирования https просто не работал, возможно
>> делал что-то не так. Но почитав форумы, нашел объяснение что это нормально,
>> ибо если бы в режиме прокси работал https - то это уже "men in middle".
>>
>> А насчет iptables - да, спасибо за подсказку. А что делать, если хочется
>> еще и статистику, управление шириной канала для пользователей и тд и тп что
>> дает прокси сервер?
>>
> я на сквиде ни когда не настраивал pools, т.е. управление шириной канала
> для пользователей
> только статистику делал - с этим проблем нет, прикрутить lightsquid - не
> сложно
>
> а вот ширина канала на уровне "не прокси" - занятие не для новичков.
>
> по крайней мере я уже 5 лет о ней мечтаю, но пока вот все попытки
> увенчивались тем, что или не получалось или получалось но совсем не то, что
> хотелось бы )
>
> вообще я был не прав на счет не могут контроллировать. я почему то собрал
> все в кучу а хотел сказать, что https нельзя контроллировать, ну только на
> уровне CONNECT'ов наверное.
>
> Работать https через прокси будет, вот прозрачный - ? Да поидее и так ни
> чего не будет мешать.
>
> А man-in-the-middle для http - чепуха, абсолютно ни каких угроз, т.к. все
> шифруется. Хотя идеально HTTPS настроить не так уж и просто. Имеется в
> виду, что там много своих внутренних ньюансов - которыми можно максимально
> все защитить.
>
>
> --
> С Уважением,
> специалист по техническому и программному обеспечению,
> системный администратор
>
> Скубриев Владимир
> ~~**~
> Россия, Ростовская область, г. Таганрог
>
> тел. моб: +7 (918) 504 38 20
> skype: v.skubriev
> icq: 214-800-502
> www: skubriev.ru
>
>
> --
> ubuntu-ru mailing list
> ubuntu-ru@lists.ubuntu.com
> https://lists.ubuntu.com/**mailman/listinfo/ubuntu-ru
>



-- 
С уважением, Эл.
-- 
ubuntu-ru mailing list
ubuntu-ru@lists.ubuntu.com
https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru

Re: Интернет шлюз. Закрыть доступ к сайту

2013-10-14 Нитка LimpTeaM

Можно попробовать просто правилос iptables запретить айпишник для
определнных source и всё.

14.10.2013 14:23, Vladimir Skubriev пишет:

On 10/14/2013 02:12 PM, Эл Noname wrote:

Насчет не могут/не получится контролировать - спорить не буду, у меня
большие пробелы в этих знаниях. Но помнится, когда делал это в
последний раз - в режиме прозрачного проксирования https просто не
работал, возможно делал что-то не так. Но почитав форумы, нашел
объяснение что это нормально, ибо если бы в режиме прокси работал
https - то это уже "men in middle".

А насчет iptables - да, спасибо за подсказку. А что делать, если
хочется еще и статистику, управление шириной канала для пользователей
и тд и тп что дает прокси сервер?

я на сквиде ни когда не настраивал pools, т.е. управление шириной канала
для пользователей
только статистику делал - с этим проблем нет, прикрутить lightsquid - не
сложно

а вот ширина канала на уровне "не прокси" - занятие не для новичков.

по крайней мере я уже 5 лет о ней мечтаю, но пока вот все попытки
увенчивались тем, что или не получалось или получалось но совсем не то,
что хотелось бы )

вообще я был не прав на счет не могут контроллировать. я почему то
собрал все в кучу а хотел сказать, что https нельзя контроллировать, ну
только на уровне CONNECT'ов наверное.

Работать https через прокси будет, вот прозрачный - ? Да поидее и так ни
чего не будет мешать.

А man-in-the-middle для http - чепуха, абсолютно ни каких угроз, т.к.
все шифруется. Хотя идеально HTTPS настроить не так уж и просто. Имеется
в виду, что там много своих внутренних ньюансов - которыми можно
максимально все защитить.

--
ubuntu-ru mailing list
ubuntu-ru@lists.ubuntu.com
https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru

Re: Интернет шлюз. Закрыть доступ к сайту

2013-10-14 Нитка Vladimir Skubriev

On 10/14/2013 02:12 PM, Эл Noname wrote:
Насчет не могут/не получится контролировать - спорить не буду, у меня
большие пробелы в этих знаниях. Но помнится, когда делал это в
последний раз - в режиме прозрачного проксирования https просто не
работал, возможно делал что-то не так. Но почитав форумы, нашел
объяснение что это нормально, ибо если бы в режиме прокси работал
https - то это уже "men in middle".

А насчет iptables - да, спасибо за подсказку. А что делать, если
хочется еще и статистику, управление шириной канала для пользователей
и тд и тп что дает прокси сервер?
я на сквиде ни когда не настраивал pools, т.е. управление шириной канала
для пользователей
только статистику делал - с этим проблем нет, прикрутить lightsquid - не
сложно