Saya telah mencari selama berjam-jam sekarang tentang cara mengatur proxy transparan untuk SSL (bukan Squid). Jawaban umumnya adalah saya tidak bisa, tetapi saya tahu ada beberapa cara . Tujuan saya hanya sebagai berikut:
- Nama domain daftar hitam / daftar putih (bukan nomor IP). Konten tidak akan difilter atau dimodifikasi sama sekali.
- Paksa pengguna melalui daftar ini. Jika saya mengubah pengaturan seperti itu di browser web, mereka bisa membatalkannya.
Halaman berikut memberi tahu bahwa saya dapat melewati traffic yang tidak dimodifikasi, tetapi tidak mengatakan bagaimana: iptables https proxy transparan dengan privoxy?
Halaman berikut menunjukkan aturan iptables untuk 443 yang saya sendiri tidak dapat mulai bekerja: http://alien.slackbook.org/dokuwiki/doku.php?id=slackware:proxy
Halaman berikut memberi tahu cara menjalankan ini hanya dengan Squid: http://www.rahulpahade.com/content/squid-transparent-proxy-over-ssl-https
EDIT: Satu orang mengatakan di sini: Bagaimana cara saya menggunakan IPTABLES untuk membuat HTTPS (443) passthrough sekitar Squid? "Hal terbaik yang harus Anda lakukan adalah memblokir akses langsung ke port 443 dan memberi tahu pengguna Anda bahwa jika mereka ingin menggunakan HTTPS, mereka harus mengonfigurasi browser mereka untuk menggunakan proxy." Tapi saya hanya tahu cara memblokir 443 sepenuhnya, bukan untuk membuatnya bekerja di bawah proxy itu.
sumber
Saya tahu ini adalah pertanyaan lama, tetapi jika OP hanya ingin blacklist / daftar putih nama domain tertentu, mereka tidak harus menggunakan proxy sama sekali, mereka hanya bisa menggunakan daftar hitam berbasis DNS.
Domain lain apa pun akan diizinkan. Semua lalu lintas web SSL atau sebaliknya akan melewati gateway tidak berubah.
Sunting: Melihat OP siap untuk memaksa pengguna melalui daftarnya, ia dapat memblokir metode lain untuk mengakses DNS. Dengan cara ini, jika pengguna mencoba menggunakan salah satu dari metode DNS lain yang diblokir, situs web tidak akan berfungsi. alias 'Jalan saya atau jalan raya'
Untuk DNS-over-HTTPS yang @wheeler sebutkan, Anda bisa memblokir DNS lookup biasa ke situs-situs seperti https://dns.google.com dan https://cloudflare-dns.com/dns-query dan https: // doh.cleanbrowsing.org/doh/family-filter/ . Meskipun ini akan dengan cepat menjadi tidak dapat dipertahankan karena semakin banyak layanan yang online.
Anda mungkin juga perlu cara memblokir tipe MIME seperti application / dns-udpwireformat untuk metode DNS lain yang sedang dikembangkan.
sumber
Delegasi dapat berfungsi sebagai proksi Man-In-The-Middle untuk HTTPS.
sumber
Untuk mode transparan, sistem Inline IPS (Suricata, Snort) dapat membantu Anda memblokir situs ssl.
https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Setting_up_IPSinline_for_Linux
Blokir Aturan Situs SSL untuk Pengguna Tertentu:
Blokir Aturan Unduhan File Berdasarkan Ekstensi:
Coba ini dengan SimpleWall
Sangat sangat sederhana untuk menambahkan aturan blok dengan antarmuka web Simplewall.
Anda juga dapat menambahkan aturan yang
Simplewall => Content Filter
menggunakan aturan yang sama untuk IPS bersama dengan filter konten http.sumber