Здравствуйте! Начальство захотело блокировать соц сети на части компьютеров локальной сети (компьютеры с пары vlan'ов). Сейчас на шлюзе с Debian настроен прозрачный squid, который кэширует (практически ничего не блокируя) только http-запросы. А нужно получается проксировать и https, насколько я понимаю прозрачно проксировать https-трафик не получится (без танцев с бубном).
Попробовал использовать WPAD:
- установил apache, создал виртуальный хост wpad.localdomain,
- положил туда доступный по http wpad.dat,
- в bind дописал алиас wpad.localdomain (в браузере открывается, файл wpad.dat скачать можно),
- в isc-dhcp-server также указал выдачу клиенту в качестве опции 252 адреса wpad.dat-файла ( option wpad "http://wpad.localdomain/wpad.dat"; ),
- перевел squid на непрозрачный режим для работы с клиентскими запросами на 80,443 порты.
Однако, ничего автоматически не вышло. Если в том же firefox явно указать адрес прокси-сервера - все отлично, если указать путь к конфиг. файлу wpad.dat (http://wpad.localdomain/wpad.dat) - все отлично, но если выбрать «Автоматически определять настройки прокси» - идет паразит мимо прокси (порты 80 и 443 в FORWARD от клиентов пока открыты), не определяет ничего автоматически.
Насколько я понял разные ОС и разные браузеры «поддерживают» WPAD кто во что горазд (к тому же домена то у меня нет). И придется мне все таки руками вписывать на каждом ПК либо адрес прокси, либо http-адрес до конфиг-файла wpad.dat.
Все бы ничего, не сахарный, могу пройтись, но у нас есть беспарольная WI-FI сеть, пользователи которой точно не догадаются вписывать какие-то настройки прокси. Получается какая-то полумера. К тому-же браузеры на смартфонах тоже могут не поддерживать WPAD. Как же быть, как блокировать неугодные сайты, неужто только по IP-адресам?
