স্বচ্ছ এসএসএল প্রক্সি মিথ ও ঘটনা

এসএসএল (স্কুইড নয়) এর জন্য স্বচ্ছ প্রক্সি সেটআপ করার উপায় সম্পর্কে আমি এখন অনেক ঘন্টা অনুসন্ধান করছি। সাধারণ উত্তরটি হ'ল আমি পারছি না, তবে আমি জানি কিছু উপায় আছে তবে। আমার উদ্দেশ্য কেবল নিম্নলিখিত:

1. ব্ল্যাকলিস্ট / হোয়াইটলিস্ট ডোমেনের নাম (আইপি নম্বর নয়)। সামগ্রী মোটেও ফিল্টার বা সংশোধন করা হবে না।
2. এই তালিকাগুলির মাধ্যমে ব্যবহারকারীদের বাধ্য করুন। আমি যদি ওয়েব ব্রাউজারগুলিতে এই জাতীয় সেটিংস পরিবর্তন করি তবে তারা কেবল এটিকে পূর্বাবস্থায় ফিরিয়ে আনতে পারে।

নীচের পৃষ্ঠাটি বলে যে আমি ট্র্যাফিকটি অশোধিত পাস করতে পারি, তবে এটি কীভাবে তা বলে না: iptables https স্বতন্ত্রতা সহ স্বচ্ছ প্রক্সি?

নিম্নলিখিত পৃষ্ঠায় ৪৪৩ এর জন্য একটি আইপটেবলের নিয়ম দেখানো হয়েছে যা আমি নিজে কাজ করতে পারিনি: http://alien.slackbook.org/dokuwiki/doku.php?id=slackware:proxy

নীচের পৃষ্ঠাটি কীভাবে এটি কেবল স্কুইডের সাথে কাজ করতে যায় তা জানায়: http://www.rahulpahade.com/content/squid-transparent-proxy-over-ssl-https

সম্পাদনা: একজন ব্যক্তি এখানে বলেছেন: স্কুইডের চারপাশে এইচটিটিপিএস (443) পাসথ্রু তৈরি করতে আমি আইপিটিবেলগুলি কীভাবে ব্যবহার করব? "আপনার পক্ষে সর্বোত্তম কাজ হ'ল 443 পোর্টের সরাসরি অ্যাক্সেস ব্লক করা এবং আপনার ব্যবহারকারীদের বলুন যে তারা যদি এইচটিটিপিএস ব্যবহার করতে চান তবে তাদের প্রক্সি ব্যবহার করার জন্য তাদের ব্রাউজারটি কনফিগার করতে হবে।" তবে আমি ঠিক জানি কিভাবে 443 সম্পূর্ণরূপে ব্লক করতে হয়, এটি তখন কোনও প্রক্সি এর অধীনে কাজ না করে।

আপনি যদি ডোমেনের নামগুলিতে ফিল্টার করতে চান তবে আপনার দুটি সম্ভাব্য উপায় রয়েছে: আপনি যদি ক্লায়েন্টের দ্বারা জারি করা সংযোগ পদ্ধতি থেকে নামটি নিতে পারেন তবে যদি এটি জানে যে এটিতে এইচটিটিপিএস কনভেনশনগুলির জন্য একটি প্রক্সি ব্যবহার করতে হবে এবং সেটিতে একটি ফিল্টার করুন (স্কুইডস সমর্থন করে যে সমর্থন করে) BTW)। অথবা, যদি আপনি সত্যিই সত্যিই এটা স্বচ্ছভাবে করতে হবে, আপনি (এনক্রিপ্ট হওয়া) অনুরোধ হেডার দেখব করার প্রয়োজন হবে।

আপনি যদি এনক্রিপ্ট হওয়া অনুরোধ শিরোনাম দেখতে চান তবে আপনার একটি কী থাকা দরকার। যদি আপনি কোনও চাবি পেতে চান তবে আপনার একটি শংসাপত্রের দরকার যা ক) ক্লায়েন্টের দ্বারা "সঠিক" শংসাপত্র হওয়ার জন্য বিশ্বস্ত এবং খ) প্রতিটি সম্ভাব্য হোস্টকে (ওয়াইল্ডকার্ড-সবকিছু) শংসাপত্র দেয়।

সুতরাং আপনার যা করা দরকার তা হ'ল

1. আপনার প্রক্সি জন্য একটি শংসাপত্র সেট আপ। এটি কীভাবে করবেন তা আপনার সফ্টওয়্যারটির উপর নির্ভর করে - আপনি প্রক্সিটির পাশে এসএসএল সংযোগটি শেষ করতে স্টানেল ব্যবহার করতে পারেন , এর পিছনে কিছু ফিল্টারিং এইচটিটিপি প্রক্সি থাকতে পারে এবং iptables DNAT টার্গেট ব্যবহার করে এবং বহির্গামী ট্র্যাফিকের জন্য এসএসএলকে পুনরায় প্রতিষ্ঠিত করতে পারেন again এমটিএম এসএসএল প্রক্সিংয়ের জন্য "বাক্সযুক্ত" সমাধানও থাকতে পারে।
2. প্রক্সি ব্যবহার করতে যাওয়া আপনার সমস্ত ক্লায়েন্টের উপর পূর্বোক্ত শংসাপত্রটি ইনস্টল করুন

বেশিরভাগ ক্ষেত্রে, আপনার যদি স্বচ্ছ প্রক্সিংয়ের প্রয়োজন হয় তবে এটি হ'ল কারণ আপনি প্রক্সিটি ব্যবহার করতে ক্লায়েন্টদের পুনরায় কনফিগার করতে চান না cannot আপনার অনুরোধের ক্ষেত্রেও যদি এটি হয় তবে আপনার কাছে সম্ভবত ক্লায়েন্টগুলিতে শংসাপত্র ইনস্টল করার এবং তাদের "বিশ্বস্ত" হিসাবে চিহ্নিত করার বিকল্প নেই। সুতরাং স্বচ্ছ এসএসএল প্রক্সিংয়ের জন্য প্রযুক্তিগত উপায় থাকা সত্ত্বেও, আমি সন্দেহ করি যে আপনার পক্ষে খুব বেশি জয়লাভ হবে না।

আমি জানি এটি একটি পুরানো প্রশ্ন, তবে ওপি যদি নির্দিষ্ট ডোমেনের নামগুলি কালো তালিকাভুক্ত / শ্বেত তালিকাতে চায় তবে তাদের কোনও প্রক্সি ব্যবহার করতে হবে না, তারা কেবল ডিএনএস ভিত্তিক ব্ল্যাকলিস্ট ব্যবহার করতে পারে।

• আপনি যে কোনও ডোমেইন কালো তালিকাভুক্ত করতে চান তার জন্য 127.0.0.1 ফেরত দিতে আপনার অনসাইট ডিএনএস সার্ভার সেটআপ করুন
• আপনার ইন্টারনেট গেটওয়েতে আপনার ডিএনএস সার্ভার ব্যতীত সমস্ত আইপি টিসিপি / ইউডিপি পোর্টগুলি অ্যাক্সেস করা থেকে বিরত রাখুন, সুতরাং কেবলমাত্র আপনার ডিএনএস সার্ভারই ​​ইন্টারনেট ভিত্তিক সার্ভার থেকে ডিএনএস অনুরোধ করতে পারে requests

অন্য যে কোনও ডোমেইনের অনুমতি দেওয়া হবে। সমস্ত ওয়েব ট্র্যাফিক এসএসএল বা অন্যথায় গেটওয়েটি অপরিবর্তিত অবস্থায় চলে যাবে।

সম্পাদনা করুন: ওপিতে তার তালিকাগুলির মাধ্যমে ব্যবহারকারীদের জোর করে প্রস্তুত করার জন্য দেখে তিনি ডিএনএস অ্যাক্সেসের অন্যান্য পদ্ধতি অবরুদ্ধ করতে পারেন। এইভাবে, ব্যবহারকারী যদি অবরুদ্ধ অন্যান্য ডিএনএস পদ্ধতিগুলির মধ্যে একটি ব্যবহার করার চেষ্টা করে তবে ওয়েবসাইটগুলি কেবল কাজ করবে না। ওরফে 'আমার পথ বা মহাসড়ক'

@ ভিলারের উল্লিখিত ডিএনএস-ওভার-এইচটিটিপিএসের জন্য, আপনি কেবল https://dns.google.com এবং https://cloudflare-dns.com/dns-query এবং https: // র মতো সাইটগুলিতে নিয়মিত ডিএনএস চেহারা অবরুদ্ধ করতে পারেন // doh.cleanbrowsing.org/doh/family-filter/ । যদিও আরও এবং আরও পরিষেবা অনলাইনে আসার কারণে এটি দ্রুত অচল হয়ে পড়বে।

আপনার ডিএমএসের অন্যান্য পদ্ধতির বিকাশের জন্য অ্যাপ্লিকেশন / ডিএনএস-ইউডিপায়ার ফর্ম্যাট এর মতো MIME ধরণের ব্লক করার একটি উপায়ও প্রয়োজন হতে পারে।

ডেলিগেট এইচটিটিপিএসের জন্য ম্যান-ইন-দ্য মিডল প্রক্সি হিসাবে কাজ করতে পারে ।

স্বচ্ছ মোডের জন্য, ইনলাইন আইপিএস (সুরিকাটা, স্নোর্ট) সিস্টেম আপনাকে এসএসএল সাইটগুলি ব্লক করতে সহায়তা করতে পারে।

https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Setting_up_IPSinline_for_Linux

নির্দিষ্ট ব্যবহারকারীর জন্য এসএসএল সাইট বিধিগুলি অবরুদ্ধ করুন:

drop ip any 443 -> 192.168.3.x any (content:".facebook.com"; msg:"Simplewall block facebook.com  ";sid:7;rev:1;)

drop ip any 443 -> 192.168.3.204 any (content:".youtube"; msg:"Simplewall block youtube.com" ;sid:4;rev:1;)

এক্সটেনশনের ভিত্তিতে ফাইল ডাউনলোডের নিয়মগুলি ব্লক করুন:

drop ip any any -> 192.168.3.63 any (msg:"File exe block"; fileext:"exe"; filestore ;sid:1;rev:1;)

drop ip any ssl -> 192.168.3.63 any (msg:"File mp3 block"; fileext:"mp3"; filestore ;sid:11;rev:1;)

drop ip any ssl -> 192.168.3.63 any (msg:"File pdf block"; fileext:"pdf"; filestore ;sid:21;rev:1;)

সিম্পিওয়াল দিয়ে এটি ব্যবহার করে দেখুন

সিম্পিওয়াল ওয়েব ইন্টারফেসের সাথে ব্লক রুল যুক্ত করা এটি খুব খুব সহজ।

আপনি Simplewall => Content Filterআইপিএস-এর জন্য কন্টেন্ট ফিল্টার সহ আইপিএস-এর জন্য একই বিধি ব্যবহারের অধীনেও বিধি যুক্ত করতে পারেন ।