Почему не происходит квитирование https при заходе на google.com или youtube.com?

athacker, Нет, у меня не подменяется сертификат, просто squid парсит поле server_name в пакетах квитирование handshake, это не подмена)

Почему не происходит квитирование https при заходе на google.com или youtube.com?

athacker, У меня сейчас работает прозрачное проксирование по https в данный момент, вы по ssl bump читали?

Почему не происходит квитирование https при заходе на google.com или youtube.com?

athacker, понял, чем-то можете помочь с прозрачным squid https?

Почему не происходит квитирование https при заходе на google.com или youtube.com?

athacker Спасибо, а почему тот-же фейсбук не может себе этого позволить?

Как все таки блокировать google, youtube etc?

CityCat4, Да и какой версии squid у вас? у меня 3.5.26, версия 3.5.12 глючная

Как все таки блокировать google, youtube etc?

CityCat4: Это совсем не такая конфига как у меня, и в хотите сказать что вы http_access блокируете HTTPs сайты? А прокат прописан у клиентов? И сертификат у них добавлен?

Как все таки блокировать google, youtube etc?

CityCat4: HTTP port с бампингом? Это как?

Как все таки блокировать google, youtube etc?

CityCat4:
При таком конфиге нифига не работает через http_acces, да через ssl blocked тоже, подозреваю,что проблема в несоответствии доменного имени блокируемого сайта и hostname_server в SNI проверено wireshark-ом

acl localnet src 10.49.1.0/24
acl CONNECT method CONNECT

dns_nameservers 8.8.8.8
http_access deny !Safe_ports

http_access deny CONNECT !SSL_ports

http_access allow localhost manager
http_access deny manager

acl test dstdomain -i "/etc/squid/blocked_http.txt"
http_access deny localnet test

http_access allow localnet
http_access allow localhost
http_access deny all
http_port 10.49.1.254:3128 intercept options=NO_SSLv3:NO_SSLv2
http_port 10.49.1.254:3130 options=NO_SSLv3:NO_SSLv2
https_port 10.49.1.254:3129 intercept ssl-bump options=ALL:NO_SSLv3:NO_SSLv2 connection-auth=off cert=/etc/squid/squidCA.pem

always_direct allow all
sslproxy_cert_error allow all
sslproxy_flags DONT_VERIFY_PEER

acl blocked ssl::server_name "/etc/squid/blocked_https.txt"
acl step1 at_step SslBump1
ssl_bump peek step1

ssl_bump terminate blocked
ssl_bump splice all

sslcrtd_program /usr/lib/squid/ssl_crtd -s /var/lib/ssl_db -M 4MB

Как все таки блокировать google, youtube etc?

CityCat4: httP_acces относится к HTTP же? а в чем прикол с фейсбуком у гмеилом тогда?

Как все таки блокировать google, youtube etc?

CityCat4: Ок, а почему тогда facebook блокируется? браузер хром, да если бы в обход, то открывался бы..наверно, nat же в iptables 443 есть. Не понял, для банков только? а как тогда другие https блокировать? ну вот тостер к google к примеру?

Как все таки блокировать google, youtube etc?

CityCat4: ваши, я добавлял неоткрывающиеся сайты в nobump после этого они открываются, но очень медленно и по урлам не ходит, т.е. Открываются только главные странички, сейчас не работает gmail facebook и еще некоторые сайты, и в логах об этом ничего нет

Как все таки блокировать google, youtube etc?

CityCat4: Нет, сейчас не открываются facebook и gmail.com, я добавил dns-nameserver и вроде но не помогло, но вопрос про блок google и youtube открыт, они не блокируются в:

acl blocked ssl::server_name "/etc/squid/blocked_https.txt"

Смотря в логи я даже не вижу как пользователь конектится к google или к youtube, я так понял это связанно с особым видом ssl tls у этих гигантов? и вообще вы можете мне объяснить принцип работы ssl bump? толком нигде не расписано, очень благодарен! И почему не работают facebook,gmail?

Как все таки блокировать google, youtube etc?

CityCat4: Есть траблы, не открываются некоторые сайты по https: вот логи
1503991528.151 232 10.10.1.5 TAG_NONE/200 0 CONNECT 104.19.195.102:443 - ORIGINAL_DST/104.19.195.102 -
1503991528.154 277 10.10.1.5 TAG_NONE/200 0 CONNECT 178.248.237.68:443 - ORIGINAL_DST/178.248.237.68 -
1503991553.106 112 10.10.1.5 TAG_NONE/200 0 CONNECT 35.186.213.138:443 - ORIGINAL_DST/35.186.213.138 -
1503991554.003 202 10.10.1.5 TAG_NONE/200 0 CONNECT 194.107.17.160:443 - ORIGINAL_DST/194.107.17.160 -
1503991583.421 74 10.10.1.5 TAG_NONE/200 0 CONNECT 35.186.213.138:443 - ORIGINAL_DST/35.186.213.138 -
1503991584.944 201 10.10.1.5 TAG_NONE/200 0 CONNECT 194.107.17.160:443 - ORIGINAL_DST/194.107.17.160 -
1503991613.461 74 10.10.1.5 TAG_NONE/200 0 CONNECT 35.186.213.138:443 - ORIGINAL_DST/35.186.213.138 -
кстати http резолвит, а https нет, даже если добавить сайты в nobump все равно не открываются

Почему на загружается на Windows 10 не загружается Cortana?

ChrisMenschenin: Обратитесь в саппорт microsoft

Почему и зачем создались папки из буквы и цифр? Вирус?

tr1ck1: Прогоните др. Вебом, но как по мне это архивные файлы какого-то процесса

Почему на загружается на Windows 10 не загружается Cortana?

ChrisMenschenin: windows лицуха есть?

Почему не стартует dropbox в ubuntu 16.04?

dableproger: Ну dist-upgrade это интеллектуальное устранение неисправных зависимостей, что-то поломал. Попробуйте сделать:

dpkg -l | grep dropbox
apt install --reinstall dropbox*

Unifi controller cannot load ubnt_webrtc_jni?

Максим: Да в итоге то работает, но конечно не так как должен

Unifi controller cannot load ubnt_webrtc_jni?

Максим: Да, не совсем, я пытаюсь ломиться по 8080 он перекидывает на 8443))

Unifi controller cannot load ubnt_webrtc_jni?

Максим: Я, если бы контроллер хоть как-то бы поднялся тоже бы им в чатик написал:))