прозрачные мифы о прокси SSL и факты
Если Вы хотите отфильтровать на доменных именах, у Вас есть два возможных пути: Вы могли взять имя из метода ПОДКЛЮЧЕНИЯ, выпущенного клиентом, если это знает, что должно использовать прокси для соединений HTTPS и фильтра на тот одном (Поддержки сквидов это BTW). Или, если бы действительно действительно необходимо сделать это прозрачно, необходимо было бы изучить (зашифрованные) заголовки запроса.
Если Вы хотите видеть зашифрованные заголовки запроса, у Вас должен быть ключ. Если Вы хотите иметь ключ, Вам нужен сертификат, которому a) доверяет клиент, чтобы быть "корректным" сертификатом и b) сертифицирует каждый возможный хост (подстановочный знак - все).
Таким образом, то, что необходимо было бы сделать,
- настройте сертификат для своего прокси. Это зависит от Вашего программного обеспечения, как сделать это - Вы могли бы использовать stunnel для завершения соединения SSL в стороне прокси, иметь некоторого Прокси HTTP фильтрации позади него и восстановить SSL для всего исходящего трафика с помощью iptables DNAT цели и stunnel снова. Могли бы быть "упакованные" решения для MitM SSL, проксирующего также.
- установите вышеупомянутый сертификат на всех Ваших клиентах, которые идут, используют прокси
Главным образом при необходимости в прозрачном проксировании, это - потому что Вы не хотите или не можете реконфигурировать клиенты для использования прокси. Если это верно, с Вашим запросом также, у Вас, вероятно, не было бы опции установить сертификаты на клиентах и отметить их, как "доверяется". Таким образом даже при том, что существует технический путь к прозрачному проксированию SSL, я подозреваю не, много будет выиграно для Вас.
Делегат может работать Man-In-The-Middle прокси для HTTPS.
Для прозрачного режима система Inline IPS (Suricata, Snort) может помочь вам заблокировать сайты ssl.
Правила блокировки сайтов SSL для конкретного пользователя:
drop ip any 443 -> 192.168.3.x any (content:".facebook.com"; msg:"Simplewall block facebook.com ";sid:7;rev:1;)
drop ip any 443 -> 192.168.3.204 any (content:".youtube"; msg:"Simplewall block youtube.com" ;sid:4;rev:1;)
Правила блокировки загрузки файлов на основе расширений:
drop ip any any -> 192.168.3.63 any (msg:"File exe block"; fileext:"exe"; filestore ;sid:1;rev:1;)
drop ip any ssl -> 192.168.3.63 any (msg:"File mp3 block"; fileext:"mp3"; filestore ;sid:11;rev:1;)
drop ip any ssl -> 192.168.3.63 any (msg:"File pdf block"; fileext:"pdf"; filestore ;sid:21;rev:1;)
Попробуйте это с SimpleWall
Очень просто добавить правило блокировки с веб-интерфейсом Simplewall.
Вы также можете добавить правила в разделе Simplewall => Фильтр содержимого использовать те же правила для IPS вместе с фильтром содержимого http.
Я знаю, что это старый вопрос, но если OP хочет только внести в черный / белый список определенные доменные имена, им вообще не нужно использовать прокси, они могут просто использовать DNS на основе черного списка.
- настройте свои локальные DNS-серверы для возврата 127.0.0.1 для любого домена, который вы хотите внести в черный список
- на своем интернет-шлюзе, заблокируйте все IP-адреса, кроме ваших DNS-серверов, от доступа к портам TCP / UDP 53, поэтому только ваши DNS-серверы может делать запросы DNS с серверов в Интернете.
Любой другой домен будет разрешен. Весь веб-трафик SSL или иным образом будет проходить через шлюз без изменений.
Изменить: Поскольку OP готов заставить пользователей пройти через свои списки, он может заблокировать другие методы доступа к DNS. Таким образом, если пользователь попытается использовать один из этих заблокированных методов DNS, веб-сайты просто не будут работать. aka «Мой путь или шоссе»
Для DNS-over-HTTPS, упомянутого @wheeler, вы можете просто заблокировать регулярные поисковые запросы DNS на такие сайты, как https://dns.google.com и https://cloudflare-dns.com/dns-query и https://doh.cleanbrowsing.org/doh/family-filter/ . Хотя это быстро станет неприемлемым по мере того, как все больше и больше служб будут подключены к сети.
Вам также может потребоваться способ блокировки типов MIME, таких как application / dns-udpwireformat, для других разрабатываемых методов DNS.