Как сделать редирект с помощью Squid для https?

Question

[biglebowski0573]

Продолжаю тему по редиректу для https. Возможно кому-то тоже интересно.
--------------------------------
Собрал прозрачный Squid с поддержкой SSL. Всё работает отлично. Получается выборочно, какие хочу, блокировать http и https-сайты. Как теперь через Squid перенаправлять на другой сайт? Какие строчки нужно добавить в конфиг или может что-то еще сделать? Для примера с google.com на bing.com.

Answer 1

[Drno]

У тебя DNS локальный? Можно просто подменить в своем DNS.
но вообще это делается на шлюзе по идее... маркируется траффик на опр сайт, далее делается редирект на нужный.

Comments

[biglebowski0573]

Drno , да, локальный. Я поднял на ubuntu dnsmasq, там подменил google.com на ip бинга, но браузер ошибку выдает на счет сертификата. Если я тебя правильно понял..

[Drno]

biglebowski0573, правильно. Точно. сертификат)) тогда шлюзом надо заворачивать
ну вот по сквиду, первая же ссылка https://bozza.ru/art-187.html
Сам себя поправлю, похоже это только для http. Так что я бы предлагал перенаправлять шлюзом. с маркировкой траффика

[biglebowski0573]

Drno, да, это только для http работает. На счет шлюза можно немного подробнее? Можно пару строк для примера что прописать?

Answer 2

[CityCat4]

Блин, да был уже похожий вопрос. Без бампинга и выдачи своих сертификатов (причем прокси должен выдавать сертификат бингу, а не гуглу) - не получится. Сертификаты были придуманы в том числе и для того, чтобы исключать вот такую вот подмену.

Comments

[Александр]

Это к слову "бампинг" - что это такое и с чем его едят - https://wiki.squid-cache.org/Features/SslBump

[CityCat4]

biglebowski0573, Почитайте уже как начинается https-сессия. Что там ничего никуда нельзя внедрить - потому что писалось это специально, чтобы нельзя было подменить сайт. Раньше https использовали редко где - в основном на сайтах банков, платежных систем. Нужна была гарантия, что юзер зашел на сайт банка, а не на сайт Васи Писькина, притворяющийся банком.
Только MitM (бампинг - это MitM чистейшей воды). Потому что там до https дело даже не доходит - все решается на более нижних уровнях. И даже реализовав MitM, Вам думать, как при запросе гугла выпускать сертификат бингу. Вы вообще говоря сейчас пытаетесь одолеть задачу, над которой бьются роскомнадзоры всех стран :) - как подменить сайт в https-сессии да так, чтобы юзер ничего не заподозрил :)

[Александр]

biglebowski0573,
я могу только "сказки" рассказать потому, что squid пользовался больше 10 лет назад. Пользовался стандартным ACL приблизительно как тут
Перенаправлял порно на disney.com - 50% удачно, а потом пришло время выделенки и проблемы загруженности ушли на другой план.
injection не пользовался.

А так не уверен что будет работать:
acl google srcdomain .google.com
http_access deny google
deny_info bing.com google

[CityCat4]

biglebowski0573, Если у друга стоит агент модуля удаленного управления - то почему нет?

Answer 3

[rionnagel]

Без mitm сертификатов никак.