1

Добрый день.
Прошу помощи в решении следующей проблемы.

Операционная система UBUNTU 12.04.4, для фильтрации интернета установлен DANSGUARDIAN.
Фильтруем по белому листу, т.е. пускаем только куда можно.
Всё отлично!
Но есть одно но если в поисковик вбить что-то то СКФ пропускает и позволяет поисковику отразить найденное, в т.ч. и запрещенное. Долго голову ломал.. Оказалось что поисковик гугл сейчас работает по https..

Вопрос как закрыть HTTPS???
Он же порт 443, он же SSL..

Вот так я ставил СКФ:

+ открыть спойлер

Установка

Откройте терминал и выполните:

user@system:~$ sudo apt-get install iptables dansguardian squid

Конфигурация:

1. Squid

Откройте конфигурационный файл:

user@system:~$ sudo gedit /etc/squid/squid.conf

И измените строку :

http_port 3128

на

http_port 3128 transparent

Сохраните файл, и перезапустите squid:

user@system:~$ sudo /etc/init.d/squid restart

2. Dansguardian

Отредактируйте конфигурационный файл dansguardian:

user@system:~$ sudo gedit /etc/dansguardian/dansguardian.conf

Замените строку

UNCONFIGURED

на

#UNCONFIGURED

Сохраните файл и запустите dansguardian

user@system:~$ sudo /etc/init.d/dansguardian start

3. Настройка iptables

iptables это фаерволл Ubuntu. Если вы используете другой фаерволл, такой как shorewall, или другой, вы должны адаптировать приведенную концепцию к конфигурационному файлу вашего фаерволла. По умолчанию на Ubuntu сработает так как написано ниже.

Выполните следующую команду:

user@system:~$ sudo iptables -t nat -A OUTPUT -p tcp -m owner ! --uid-owner proxy --dport 80 -j REDIRECT --to-port 8080

Это заставит фаерволл все исходящие запросы к вэбсерверам переадресовывать к прокси серверу.

Откройте Firefox:

Перейдите на известный «плохой» сайт.

Сайт будет заблокирован. Значит фаерволл настроен корректно для работы прозрачного прокси.

Теперь сделаем эти настройки постоянными:

В терминале введите команду:

user@system:~$ sudo gedit /etc/init.d/tproxy

И добавьте строку

iptables -t nat -A OUTPUT -p tcp -m owner ! --uid-owner proxy --dport 80 -j REDIRECT --to-port 8080

Сохраните и закройте файл

Сделайте его исполняемым:

user@system:~$ sudo chmod a+x /etc/init.d/tproxy

и добавьте его в автозагрузку:

user@system:~$ sudo update-rc.d tproxy start 70 2 3 4 5 . stop 20 0 1 6 .

4. Настройка по «белому» списку

Открываем конфигурационный файл bannedsitelite командой

user@system:~$ sudo gedit /etc/dansguardian/lists/bannedsitelist

находим 47 строку и удаляем символ # сохраняем и закрываем файл.
Присланный по почте файл белого списка exceptionsitelist сохраняем в домашнюю
папку. Открываем MC командой

user@system:~$ sudo mc

В левом окне переходим в папку /etc/dansguardian/lists/ а в правом окне в домашнюю
папку.
Отметив файл exceptionsitelist нажимаем на F5 для копирования файла.

2 (27.01.2015 13:24:27 отредактировано kostik87)

atamaza пишет:

Вопрос как закрыть HTTPS???

squid в прозрачном режиме не умеет проксировать ss и как следствие фильтровать что-либо по ssl тоже не получита. Так что можете взять ваш белый список и создать соответствующие правила в iptables. Либо переведите squid не в прозрачный режим, и указываете его в настройках браузера. Для того, что бы в ручную не прописывать прокси в браузере настраивайте автоматическую раздачу параметров прокси сервера.

Ну и естественно отключите NAT на сервере.

3

kostik87 пишет:
atamaza пишет:

Вопрос как закрыть HTTPS???

squid в прозрачном режиме не умеет проксировать ss и как следствие фильтровать что-либо по ssl тоже не получита. Так что можете взять ваш белый список и создать соответствующие правила в iptables. Либо переведите squid не в прозрачный режим, и указываете его в настройках браузера. Для того, что бы в ручную не прописывать прокси в браузере настраивайте автоматическую раздачу параметров прокси сервера.

Ну и естественно отключите NAT на сервере.

т.е. убрать tranparent  в конфиге?

4 (27.01.2015 13:42:31 отредактировано kostik87)

atamaza пишет:

т.е. убрать tranparent  в конфиге?

Вы остальное моё сообщение прочитали? Я вам привёл два варианта:
- настроить непрозрачный прокси, но в этом случае либо в ручную прописывать IP адрес и порт прокси сервера в настройках браузера или настроить раздачу параметров автоматически, но в Windows это поддерживает только IE, возможно ошибаюсь, и убрать NAT;
- создать соответствующие правила IPTABLES, если нужно разрешать относительно ограниченный список доменных имён (IP адресов);

Если уберёте transparent, то правило iptables по перенаправлению на порт 8080 работать конечно будет, но прокси сервер отвечать на такие запросы не будет, поэтому, как я уже написал выше вам придётся вручную  указывать адрес и порт прокси сервера в настройках браузера, либо разобраться с автонастройкой этих параметров в браузере и естественно отключить NAT на сервере.