SQUID и блокировка https

0

1

Поставили задачу заблокировать доступ к gmail из корпоративной сети, который, как известно, работает по https.
Задание acl типа dstdomain, url_regex или urlpath_regex не работают, ибо https ходит по CONNECT.
Есть ли какие-либо способы иные блокировки SQUID-ом? Может по ip? Да, google при этом должен продолжать работать.
Да, squid 2

Ссылка

←	помогите донастроить pptpd ubuntu

два DHCP сервера в одной сети на разных ОС

→

собственно, тупой метод:

dig A gmail.com @ns1.google.com | grep -E "IN[[:blank:]]A"
;gmail.com.                     IN      A
gmail.com.              300     IN      A       209.85.149.83
gmail.com.              300     IN      A       209.85.149.17
gmail.com.              300     IN      A       209.85.149.19
gmail.com.              300     IN      A       209.85.149.18

1) банишь все эти ip 2) PROFIT!

Pinkbyte ★★★★★
(31.08.11 10:18:25 MSK)

что-то вроде http_access deny CONNECT <your_acl>

najar ★
(31.08.11 10:19:11 MSK)

Сделайте прозрачный squid - и все. https «автоматом» не будет работать.

А вообще, я бы за одно место повесил урода, отдающего приказы блокировать gmail.

~~Eddy_Em~~ ☆☆☆☆☆
(31.08.11 10:20:41 MSK)

Ответ на: комментарий от Pinkbyte 31.08.11 10:18:25 MSK

Этот метод я рассматривал в последнюю очередь. Спасибо.

gserg ★★
(31.08.11 10:23:00 MSK) автор топика

Ссылка

Ответ на: комментарий от najar 31.08.11 10:19:11 MSK

Хм, а в acl предлагаешь прописать конкретный url? Попробую.

gserg ★★
(31.08.11 10:23:33 MSK) автор топика

Ответ на: комментарий от Pinkbyte 31.08.11 10:18:25 MSK

лол, сделай ещё раз, ничего не поменялось? :)

~~adriano32~~ ★★★
(31.08.11 10:23:51 MSK)

Ответ на: комментарий от Eddy_Em 31.08.11 10:20:41 MSK

А вообще, я бы за одно место повесил урода, отдающего приказы блокировать gmail.

На это есть причины, поэтому я не спорю.

gserg ★★
(31.08.11 10:24:11 MSK) автор топика

Ответ на: комментарий от gserg 31.08.11 10:24:11 MSK

Т.е. gmail можно блокировать, а другие почтовики - нет?

~~Eddy_Em~~ ☆☆☆☆☆
(31.08.11 10:25:27 MSK)

Ответ на: комментарий от adriano32 31.08.11 10:23:51 MSK

они меняются местами только. Вопрос в том, что будет через неделю/месяц/год. Но в любом случае, это крайний метод.

gserg ★★
(31.08.11 10:25:50 MSK) автор топика

Ответ на: комментарий от Eddy_Em 31.08.11 10:25:27 MSK

с другими проще - они по http. Другие тоже блокировать.

gserg ★★
(31.08.11 10:26:09 MSK) автор топика

Ссылка

Ответ на: комментарий от gserg 31.08.11 10:25:50 MSK

они меняются местами только.

А у меня другие адреса выдаются по запросу :)

http://bgp.he.net/search?search[search]=Google&commit=Search

Вот по вот этим адресам запретить CONNECT более разумно IMO

~~adriano32~~ ★★★
(31.08.11 10:28:09 MSK)

заблокируй им интернет вообще - будь мужиком

anonymous
(31.08.11 10:29:40 MSK)

Ссылка

Ответ на: комментарий от gserg 31.08.11 10:23:33 MSK

вроде этого: acl <your_acl> dstdomain «/etc/squid/gmail_stop.acl»

najar ★
(31.08.11 10:29:47 MSK)

Ответ на: комментарий от najar 31.08.11 10:29:47 MSK

да, я понял. Уже пробую :)

gserg ★★
(31.08.11 10:31:55 MSK) автор топика

Ответ на: комментарий от gserg 31.08.11 10:31:55 MSK

И с dstdomain ничего не помешает зайти на gmail по любому IP из диапазона Google.

~~adriano32~~ ★★★
(31.08.11 10:33:12 MSK)

Ответ на: комментарий от najar 31.08.11 10:29:47 MSK

не, так не работает. Придется по ip. Надо думать, что для CONNECT браузер резолвит ip локально.

Всем спасибо.

gserg ★★
(31.08.11 10:35:09 MSK) автор топика

Ответ на: комментарий от adriano32 31.08.11 10:23:51 MSK

ключевое слово dig - он выбирает ВСЕ записи A. Они менятся будут только местами ;-). Хотя есть ушлые патченные DNS-сервера, но я сомневаюсь что гугл этим пользуется... А вот nslookup-ом проверять, да... Это трололо :-D

Pinkbyte ★★★★★
(31.08.11 10:43:11 MSK)

Ответ на: комментарий от adriano32 31.08.11 10:23:51 MSK

pinkbyte@oas1 ~ $ dig A gmail.com @ns1.google.com | grep -E "IN[[:blank:]]A"
;gmail.com.                     IN      A
gmail.com.              300     IN      A       209.85.149.83
gmail.com.              300     IN      A       209.85.149.17
gmail.com.              300     IN      A       209.85.149.18
gmail.com.              300     IN      A       209.85.149.19
pinkbyte@oas1 ~ $ dig A gmail.com @ns2.google.com | grep -E "IN[[:blank:]]A"
;gmail.com.                     IN      A
gmail.com.              300     IN      A       209.85.149.83
gmail.com.              300     IN      A       209.85.149.19
gmail.com.              300     IN      A       209.85.149.18
gmail.com.              300     IN      A       209.85.149.17
pinkbyte@oas1 ~ $ dig A gmail.com @ns3.google.com | grep -E "IN[[:blank:]]A"
;gmail.com.                     IN      A
gmail.com.              300     IN      A       209.85.149.17
gmail.com.              300     IN      A       209.85.149.19
gmail.com.              300     IN      A       209.85.149.83
gmail.com.              300     IN      A       209.85.149.18

Ну ты понел, да? :D

Pinkbyte ★★★★★
(31.08.11 10:43:50 MSK)

Ответ на: комментарий от gserg 31.08.11 10:35:09 MSK

внешние прокси и впн никто не отменял.

MikeDM ★★★★★
(31.08.11 10:44:29 MSK)

Ссылка

Ответ на: комментарий от adriano32 31.08.11 10:28:09 MSK

так можно весь гугл забанить, а нужно только gmail. В любом другом случае я был бы тоже ЗА идею бана по ip, привязанным к AS, но не в данном случае

Pinkbyte ★★★★★
(31.08.11 10:44:56 MSK)

Ответ на: комментарий от adriano32 31.08.11 10:33:12 MSK

эмммм, да, тут согласен. Возможно придется банить и google.com, а это уже попахивает крайностью...

Pinkbyte ★★★★★
(31.08.11 10:46:39 MSK)

Ответ на: комментарий от Pinkbyte 31.08.11 10:43:11 MSK

Они менятся будут только местами

Проверено, Google запускает веб-интерфейс почты на любом своём адресе. Так что dig-неdig пофиг

~~adriano32~~ ★★★
(31.08.11 10:49:21 MSK)

Ссылка

Ответ на: комментарий от Pinkbyte 31.08.11 10:43:50 MSK

Да понял-понял. Но у меня с двух разных хостов в разных местах разный возврат этой команды.

~~adriano32~~ ★★★
(31.08.11 10:50:27 MSK)

Ссылка

Ответ на: комментарий от Pinkbyte 31.08.11 10:44:56 MSK

Забанить не GET/POST etc., a CONNECT по этим адресам.

~~adriano32~~ ★★★
(31.08.11 10:51:07 MSK)

Ответ на: комментарий от Pinkbyte 31.08.11 10:46:39 MSK

Возможно придется банить и google.com

ЛОЛ, ты мне напоминаешь меня же, когда я факбук на прокси в универе добавлял

«Блин, а чё адреса меняются?... Блин, а чё m.facebook.com тоже пускает?... Блин, да сколько у них CNAME'ов?... Блин, да сколько они могут меняться?... О, список всех подсетей факбука!!! О, а их не очень много... О, не пускает, ну и ладушки :)»

~~adriano32~~ ★★★
(31.08.11 10:53:22 MSK)