Squid https перенаправление на локальный сайт?

Question

[d8m8n]

Настроил squid c поддержкой ssl по статье на хабре.
И не могу понять, возможно ли перенаправить пользователя на сайт-заглушку, если он обращается к заблокированному сайту?

Answer 1

[Ульрих]

По HTTPS на данный момент никак

Comments

[d8m8n]

правильно я понимаю, что ВООБЩЕ никакими методами нельзя?
или может чего не знаю?)

Пробовал iptables, но браузеры жалуются на самоподписанный сертификат. Вот думаю как-нибудь придумать купить сертификат, но как быть, если сайт не публичный, а локальный....

[Ульрих]

d8m8n: я занимался этим вопросом, правда месяца два назад. Тогда редирект был возможен только по HTTP, мне это подтвердили разработчики в списке рассылки.

[15432]

d8m8n: сертификат нужен на тот сайт, к которому производится подключение. А раз вы не владелец, такой сертификат нигде не купите. Сделано было специально, чтобы мошенники не подменяли сайт и не смотрели что передается по сети

Answer 2

[CityCat4]

Перенаправление на сайт-заглушку делается не сквидом. Обычно оно делается DNS-ом. Нужно иметь список заблокированных ресурсов и уметь потрошить DNS-запросы. Разумеется, все должны ходить только через конторский DNS без шифрования. Увидев запрос к заблокированному ресурсу, нужно подменять IP в ответе на 127.0.0.1 (ну или там где лежит заглушка).

Так делают провайдеры.

Comments

[d8m8n]

Спасибо за подсказку!
Раньше не имел дело с этим. В конторе все через собственный DNS bind9 ходят.
Можете немного помочь. Не могу понять что искать. Подскажете ключевые слова?

[CityCat4]

Допустим вконтактик заблокирован.

Юзер Вася набирает vk.com в браузере. Браузер отправляет DNS-запрос к серверу "Скажи мне IP сервера vk.com". DNS в этот момент должен свериться со списком блокировок и вместо IP vk.com отдать IP сервера с заглушкой.

Как реализовать не знаю, пока не разбирался.

[Ульрих]

CityCat4: да, кстати, хороший способ. Просто те, кто возится со сквидом давно (как я), привыкли, что он и делал перенаправление на страницу-заглушку.

Answer 3

[Никита Парфенович]

Если Вы делали по моей статье, то никак. Squid только может разорвать соединение, но перенаправлять HTTPS на сайт-заглушку не умеет.

Comments

[Ульрих]

Да тут все делают по твоей статье :)

[Никита Парфенович]

Ульрих: прошло уже так много времени... не думал, что оно еще актуально)

[Ульрих]

Никита Парфенович: я, к сожалению, уволился из той конторы, где внедрял squid по твоей статье. Компилировал каждую новую версию, но этого функционала (перенаправление на заглушку HTTPS) так и не дождался.

[Ульрих]

Никита Парфенович: оно будет еще долго актуально, потому что для небольших контор squid - это лучшее решение

[Никита Парфенович]

Ульрих: а мои юзеры привыкли. Правда это чревато. Теперь в любых случаях, когда страница просто не открывается, пишут \ звонят, чтобы я разблокировал ресурс :)

[Ульрих]

Никита Парфенович: раз уж тут заговорили... Ты всё еще юзаешь какую-то старую версию? Я собирал каждую новую (в надежде на какой-то новый функционал) и у меня не было никаких глюков.

[Никита Парфенович]

Ульрих: 3.5.8 до сих пор) у меня не было толком возможности тестировать, сплошной продакшн

[Ульрих]

Никита Парфенович: я так и тестировал, в продакшене xD

[Никита Парфенович]

Ульрих: моё начальство начнет класть кирпичи)

[d8m8n]

спасибо за разъяснения!
Буду думать как реализовать задачу другими средствами)