Hi!
Elértünk oda, hogy a FB korlátozás mellé most már mindenféle HTTPS oldalakat is korlátozni kellene. Eddig volt egy DNS, ami más címet adott vissza FB-re és kész. Viszont mostantól a szokásos felállást kellene megoldani: minden tiltott, kivéve amit - és akinek - szabad.
Van debianon egy transparent Squid, ezen gondoltam átengedni a 443-as forgalmat. Viszont azt mindenképp szeretném elkerülni, hogy a klienseknek tanusitványt keljen telepíteni + panaszkodjon, hogy "valaki közbeékelődött".
Megoldható ez? Mely kulcsszavakra keressek?
Előre is köszönöm!
- 886 megtekintés
Hozzászólások
A Debian csomagban a Squid licenc problémák miatt Openssl nélkül van fordítva, szóval SSL támogatás nincs benne...
Egyébként ha már van megfelelő Squid-ed akkor SNI mező alapján tudsz transzparensen szűrni.
http://wiki.squid-cache.org/Features/SslPeekAndSplice
Hogy mennyire lesz kijátszható az jó kérdés:
- A hozzászóláshoz be kell jelentkezni
De szerencsére ez sem leküzdhetetlen. Ehhez a repóból a forrását letöltve (apt-get source squid3) a debian/rules fájlba beleírod a
--enable-ssl \
--with-open-ssl="/etc/ssl/openssl.cnf" \
fordítási opciókat és lefordítod (debuild -us -uc), akkor van.
- A hozzászóláshoz be kell jelentkezni
Ez így van. Mondjuk a 8-as Debianban lévő 3.4-es squid-ben nem működik/nincs az SNI. 3.5+ kell neki ....
A 9-es Debian-ban már az van...
- A hozzászóláshoz be kell jelentkezni
Én is utólag forgattam bele, de a következő update/upgrade után felülírta a "hivatalos" ssl nélküli változattal.
Ezt hogyan lehet kivédeni?
----
Gyűjteménybe keresek feleslegessé vált, kidobásra váró, ingyen elvihető c128, c128d, amiga600 gépeket és c+4-hez billentyűzetet.
- A hozzászóláshoz be kell jelentkezni
echo "squid3 hold" | dpkg --set-selections
vagy
apt-mark hold squid3
- A hozzászóláshoz be kell jelentkezni