transparentne proxy

Sekcia: Konfigurácia 21.10.2009 | 14:35
Avatar nipo Ubuntu 9.04  Používateľ
je mozne pouzi htts (443) pri transparentnom proxy ? klasicka 80 port mi ide, ale 443 konci s chybou :-(
Mate dakto inu skusenot ?
    • Re: transparentne proxy 21.10.2009 | 16:49
      Avatar Lukáš Staňa Arch, CentOS, Debian  Používateľ
      SSL transparentné proxy nemôžeš urobiť, lebo tým v podstate robíš man in the middle útok.

      http://www.faqs.org/docs/Linux-mini/TransparentProxy.html#ss2.3
      • Re: transparentne proxy 21.10.2009 | 17:50
        Avatar nipo Ubuntu 9.04  Používateľ
        a ako sa to potom riesi ?

        ja to mam teraz posielane mimo proxy, napriamo .. ale unika mi logovanie a hlavne blokovanie ;-)

        daky napad ?
        • Re: transparentne proxy 21.10.2009 | 18:16
          Avatar Samuel BWPOW Kupka Almalinux, OpenWRT  Používateľ
          Je mozne to riesit dvoma sposobmi:
          1) Asi najbeznejsi, je vyuzitie nie proxy, ale len pasivneho daemona, ktory kontroluje otvarane spojenia a protokol na kazdom porte, pricom po rozoznani protokolu to zaloguje a pripadne zrusi spojenie. Do samotnych prenasanych dat ale uz nezasahuje.
          2) Vyuzit proxy prave v ulohe Man-in-the-middle. Vo firmach sa to riesi tak, ze sa proste vytvori komunikacia proxy-ciel a user-proxy, pricom proxy zaroven overi certifikat ciela, ale spojenie user-proxy uz zasifruje nanovo a "podhodi" novy certifikat podpisany certifikacnou autoritou, ktorej vsetky pocitace v spolocnosti veria.
          Strach dát najevo své pocity a zjednat si u druhých respekt je jedním z problémů civilizovaného člověka, který se naučil zpochybňovat svou vlastní pravdu pro zdání objektivity
          • Re: transparentne proxy 21.10.2009 | 20:52
            Avatar Lukáš Staňa Arch, CentOS, Debian  Používateľ
            Fíha, to znie celkom zaujímavo. Už si to niekedy riešil na squide?
          • Re: transparentne proxy 21.10.2009 | 23:56
            Nipo   Návštevník
            Normalne ti "nerozumiem" ;-) nieco som uz o tom cital, ale len v teoretickej rovine.. skusal to niekto ?