Transparent Squid + HTTPS korlátozás

 ( pista_ | 2017. június 6., kedd - 12:11 )

Hi!

Elértünk oda, hogy a FB korlátozás mellé most már mindenféle HTTPS oldalakat is korlátozni kellene. Eddig volt egy DNS, ami más címet adott vissza FB-re és kész. Viszont mostantól a szokásos felállást kellene megoldani: minden tiltott, kivéve amit - és akinek - szabad.

Van debianon egy transparent Squid, ezen gondoltam átengedni a 443-as forgalmat. Viszont azt mindenképp szeretném elkerülni, hogy a klienseknek tanusitványt keljen telepíteni + panaszkodjon, hogy "valaki közbeékelődött".

Megoldható ez? Mely kulcsszavakra keressek?

Előre is köszönöm!

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

A Debian csomagban a Squid licenc problémák miatt Openssl nélkül van fordítva, szóval SSL támogatás nincs benne...

Egyébként ha már van megfelelő Squid-ed akkor SNI mező alapján tudsz transzparensen szűrni.

http://wiki.squid-cache.org/Features/SslPeekAndSplice

Hogy mennyire lesz kijátszható az jó kérdés:

https://hal.inria.fr/hal-01202712/document

De szerencsére ez sem leküzdhetetlen. Ehhez a repóból a forrását letöltve (apt-get source squid3) a debian/rules fájlba beleírod a

--enable-ssl \
--with-open-ssl="/etc/ssl/openssl.cnf" \

fordítási opciókat és lefordítod (debuild -us -uc), akkor van.

Ez így van. Mondjuk a 8-as Debianban lévő 3.4-es squid-ben nem működik/nincs az SNI. 3.5+ kell neki ....
A 9-es Debian-ban már az van...

Én is utólag forgattam bele, de a következő update/upgrade után felülírta a "hivatalos" ssl nélküli változattal.
Ezt hogyan lehet kivédeni?

----
Gyűjteménybe keresek feleslegessé vált, kidobásra váró, ingyen elvihető c128, c128d, amiga600 gépeket és c+4-hez billentyűzetet.

echo "squid3 hold" | dpkg --set-selections
vagy
apt-mark hold squid3