Можно ли использовать прозрачный прокси-сервер для фильтрации некоторых доменов без подхода «человек посередине»? Я хотел бы гарантировать проверку сертификата и конфиденциальность пользователя, с другой стороны, я хочу запретить подключение к какому-либо домену.
Возможно ли использование прозрачного прокси? Возможно ли это с squid3?
Как сказал Эван Андерсон в своем ответе, если вы вручную установите прокси в браузерах, тогда они заставят HTTP-запросы проходить через прокси (используя запросы CONNECT), и поскольку имя хоста в этих запросах отправляется в незашифрованном виде, вы сможете применять ACL к Это.
Однако в настоящее время нет ничего, что заставляло бы клиентов использовать ваш прокси-сервер, поэтому, хотя вы не можете сделать его прозрачным, вы можете полностью заблокировать все прямые HTTP / HTTPS-соединения и сообщить своим пользователям, что они должны использовать прокси, если они хотят просматривать веб-страницы. .
Мы реализовали фильтрацию HTTPS с кешем Squid с использованием SNI. Хорошо работает в прозрачном режиме SSL. Также реализованы ACL. Мы интегрировали модуль squid с Cisco ASA в качестве сервера WCCP и его производства.
Прозрачный прокси по определению находится посередине. Клиент не знает, что прокси существует, и отправляет свои запросы на SSL-сайты в виде TCP SYN на порт назначения 443.
Если вы укажете прокси явно, клиент будет использовать CONNECT глагол (поскольку он знает, что используется прокси), на который могут действовать списки управления доступом (ACL) Squid.
Никакой прозрачный прокси-сервер не может надежно применять контроль доступа без посредничества. Лучшее, на что вы можете надеяться, - это действовать на IP-адрес назначения, что, честно говоря, доставит вам головную боль, потому что вам нужно будет постоянно поддерживать список IP-адресов.