Как все таки блокировать google, youtube etc?

При получении URL https://youtube.com/* произошла следующая ошибка

    Доступ запрещён.

Система контроля доступа не позволяет выполнить ваш запрос сейчас. Обратитесь к вашему администратору.

А правила я уже приводил. Поскольку у меня прокси с подменой сертификатов - я блокирую их стандартными http_access

Как все таки блокировать google, youtube etc?

Денис Сечин, Я их не блокирую. На трубе есть ролики, которые нужны производству. После некоторой беседы с CEO производства я убрал блокировку трубы - и именно поэтому мне нужен бампинг - чтобы по урлу с трубы посмотреть ролик - что там такое - обучающий материал по программированию для ЧПУ или же киношка. А гугл мне нет смысла блокировать. Но я сейчас попробую добавить на том прокси, где тестирование идет - просто из интереса. Циски нет.

Почему не происходит квитирование https при заходе на google.com или youtube.com?

athacker, не хак, а стандартный метод контроля, куда ходят сотрудники в рабочее время. Конечно, не единственный, но довольно удобный.

Как все таки блокировать google, youtube etc?

Денис Сечин, да. Мне нужен урл, чтобы его "посчитать" статистикой. Заблокировать гугл, трубу, facebook или еще что я могу и без бампа вообще - я собственно так и делаю сейчас на прокси, что в продакшн, но там статистики нет.
Ну и кроме того, хотелось немного сократить обьем секций с правилами блокировки - у меня разные люди имеют разный доступ - у кого-то и вконтактик работает, причем законно.

Как все таки блокировать google, youtube etc?

Денис Сечин, легко и непринужденно блокирую :).
Сертификат СА, выдавшего сертифкат subCA для прокси - прописан у клиента политиками. То есть структура PKI примерно такая - есть root CA, его сертификат прописан в доверенные политиками. Он выпускает сертификат subCA, который я ставлю в squid - он указывается в http_access. Он же выпускает сертификат клиента, который указывается в директивах squid, начинающихся на sslproxy - то есть squid нуждается в двух сертификатах (так же как sendmail).

Как все таки блокировать google, youtube etc?

Денис Сечин,

Starting Squid Cache version 3.5.26 for x86_64-redhat-linux-gnu...

Зачем нужны платные CA SSL?

dableproger: От пользователя зависит. Статистики у меня нет, каким СА больше доверяют, но лично для меня сертификат в общеизвестном СА - это некий показатель того, что контора выше чем "три стола два стула".

Почему ресет стал выключать системник?

Антон Уланов: Завтра слажу еще раз. Да еще у меня сомнение возникло, что я не защелкнул один из модулей памяти.

Почему ресет стал выключать системник?

Сергей: не выдергивал. За паспортом, где распиновка было лезть неохота.

Как все таки блокировать google, youtube etc?

Денис Сечин: Легко и непринужденно :)

http_port 10.87.1.39:8080 ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/etc/pki/tls/certs/logsrv_subca_sha256.crt key=/etc/pki/tls/private/logsrv_subca_sha256.key cafile=/etc/
pki/tls/certs/squid-cafile.pem capath=/etc/ssl/certs cipher=kEECDH+AES:kEDH+AES:kRSA+AES:!aNULL:!DSS:!SSLv2 options=NO_SSLv2,NO_SSLv3,SINGLE_DH_USE,SINGLE_ECDH_USE dhparams=/etc/pki/tls/private/dhparams.pem tls-dh=prime256v1:/etc/pki/tls/private/dhparams.pem

Как все таки блокировать google, youtube etc?

Денис Сечин: У меня несколько другая конфигурация по портам - один http_port с intercept и бампингом - и все работает. В продакшн еще не пошло, правда но только потому что я в отпуске

Как установить ssl сертификаты на freebsd?

Vincent1: Не читайте :) на тостере к сожалению нет черного списка - приходится в голове его вести :)

Как установить ssl сертификаты на freebsd?

Vincent1: Ну да, на тостере с хабром только и дают, что пошаговые инструкции. Ответ на простой вопрос тут можно получить. На средней сложности - бывает на нужную мысль натолкнут. На сложный вопрос - ни разу еще не отвечали.

Почему не работает ssl на сайте??

А он действительно устарел? Если просмотреть сертификат - что показывает?

У кого есть руководство по настройке let's encrpyt на nic.ru для чайников?

angelzzz: Ну, я не настолько хорошо знаю LE, чтобы сказать чему там можно помешать

Какой выбрать дистрибутив linux для веб разработки?

Дмитрий Добрышин: Ну есть wine-etersoft, который да, точится под конкретные русскоязычные проги. Правда, под 1С уже делать не имеет смысла, разве только для семерки - в восьмерке полная нативная поддержка линуха.

Как все таки блокировать google, youtube etc?

Денис Сечин: Нет. http_access управляет доступом. Неважно по какому протоколу - после бампинга https для squid равен http. И собственно именно ради этого он мне и нужен - статистику считать.

Направление для развития в DevOps администрировании?

NesbI4: АПВС? ВА?

Как все таки блокировать google, youtube etc?

Денис Сечин: На самом деле блокировать https можно и без бампинга
http_access deny noporno_acl CONNECT porno
В рамках вышеприведенного конфига. Потому что мне кажется, что тут дело у Вас вовсе не в бампинге. Бампинг нужен не для блокировки, а для статистики, чтобы видеть кто куда ходил на незаблокированных ресурсах

Как все таки блокировать google, youtube etc?

Денис Сечин: Хм. gmail открывается без проблем. Браузер какой? Может как-то вообще в обход прокси умудряется?
nobump я предназначал исключительно для клиент-банков и прочего, где потенциально может быть заложена дополнительная проверка сертификата.