Ведущий сисадмин, тыжпогромист
0,0
рейтинг
nagibat0r
+1
Расскажу парочку своих историй. Пару лет назад нашел вакансию на программиста (удаленно) в компании Smart-Soft (те самые, которые Traffic Inspector разрабатывают). Сразу же дали тестовое задание. Если верно помню, нужно было написать монитор для просмотра загрузки прокси-сервера на определенном порту. Написал на Delphi, как и просили. Задание выполнил примерно часов за 9. Отправил. В ответ тишина по сей день. Писал даже с разных почт, с других имен.
Один раз хотел пойти в компанию-разработчика веб-сайтов. Тестовое задание, якобы оплачиваемое — написать сайт. Написал, в итоге — кинули.
Для себя сделал вывод, что нужно просто делать хорошее портфолио, и присылать не код, а видео-демонстрацию
nagibat0r
0
вот это может поможет?)
nagibat0r
0
спасибо! срок голосования кончился, плюсанул бы
nagibat0r
0
да дело не в этом… многие ssl дают тоже прочерк. Ну это в моем случае. И не только у меня. И это именно с 3.5.8.
nagibat0r
0
А ничего, что у Вас в логах будет куча пробелов вместо доменных имен? Проверено на версии 3.5.8 еще в то время, когда статья про прозрачное проксирование не была выложена мной на Хабр
nagibat0r
0
Черт возьми, я забыл про тот комментарий. Надо будет попробовать, я так думаю, крахи Кальмара исчезли именно из-за наложения патчей?
nagibat0r
0
Обновил статью! Теперь можно получать более корректную статистику за счет получения информации о сертификате https хоста
nagibat0r
0
проверил на примере MyDLP. Как и все другие системы, оно требует, чтобы оно было шлюзом для клиентов, и использует MITM для контроля HTTPS сайтов, что не тру. Так что, данные системы — слишком жирно для того, чтобы отслеживать и блокировать HTTPS ресурсы. К тому же, цель — прозрачное проксирование без установки всяких агентов и т.п. И вообще, данная статья не про Squid, а про парсинг его логов
nagibat0r
0
как организована Ваша локальная сеть? дело в том, что в Кальмаре нужно в начале настроек указывать обслуживаемые подсети. Укажите отдельно ту, которую нужно пускать без ограничений, и ограничьте применение правил прокси только на ту подсеть, к которой ограничения применять НУЖНО
nagibat0r
0
А в чем проблема добавить всю Вашу подсеть в «белый список» и не применять ограничения? Для чего нужно то, о чем Вы написали?
nagibat0r
0
ясно, нам так не подходит… КОгда требуется множество отчетов в СБ сдавать, причем готовых…
nagibat0r
0
Что Вы имеете в виду? Вы хотите, чтобы браузер и софтины ходили минуя прокси, который настроен на работу в прозрачном режиме?
nagibat0r
0
я бы тоже хотел получать более точную информацию, ведь Кальмар ее «выковыривает» (SNI server_name). Проблема в том, что он их не логирует, а при включении соответствующей опции в логформате, логирует не все, а только то, что блокирует. Остальное (splice) он не логирует в виде нормальных имен сервера, а оставляет прочерки. Это исправлено в более новых версиях… Но не могу, к сожалению, добавить изменения в исходники версии 3.5.8. А как у вас организовано «тянем (по запросу) сертификат и смотрим его CN и Altnames»?
nagibat0r
0
LightSquid не такой удобный, как Screen Squid. Сарг лично мне не нравится по многим причинам. По поводу Вашего способа блокировки. ДНС неплохо, но я для себя выбрал Squid = )
Плюс ко всему, у меня несколько контор завязаны между собой, и Кальмар здесь мне удобнее. У каждого свои предпочтения.
Но за коммент спасибо, как-нибудь попробую Ваш способ
nagibat0r
0
Основная цель — узнать, кто куда ходил, и предотвратить дальнейшее посещение этих ресурсов. Поскольку, Squid настроен на прозрачное проксирование HTTPS, пользователи не могут влиять на мои наблюдения. Плюс ко всему, ПК лишний раз не нагружаются. Плюс ко всему, DLP вещь не дешевая, учитывая, сколько у меня в конторе ПК используется.
К тому же, разве DLP не использует MITM для HTTPS?
nagibat0r
0
Речь идёт, во первых, о Squid, при чем здесь dlp? Тем более, что агенты ставятся на каждый пк, и довольно тормозят сам пк, и сеть. Во вторых, какие проблемы он решит?
nagibat0r
+2
Не у всех есть смартфон, планшет тем более. У нас целевая, так сказать, аудитория — именно такие люди, но все любят использовать корпоративный Интернет в личных целях. Это необходимо отслеживать. И это не прихоть сисадмина…
nagibat0r
+1
Ну, не совсем) мне не хочется знать, что там было внутри туннеля, а вот куда юзер заходил, очень даже хочется
nagibat0r
0
Я ожидал подобный комментарий. К сожалению, пока это единственный способ…
nagibat0r
0
Слышал, что хотят ввести. На самом деле, как я считаю, довольно спешное решение со стороны властей. И как-то тут пахнет нарушением тайны личной жизни. В любом случае, раз такое дело, буду искать пути обхода, полигон для тестирования есть. Если что-то путное получится сделать, напишу статью=)
nagibat0r
0
Я так понял, человек читал мою статью про прозрачное проксирование HTTPS с помощью Кальмара. Но оно годится только для отлова ip адресов и блокирования ресурсов по имени домена.
nagibat0r
0
Народ, кто тестировал х64, отпишитесь, все ли работает? Есть пара сообщений о глюках (Debian x64 Jessie), мол по истечении времени нагрузка на ЦП 100% и сегфолт…
nagibat0r
+1
Плюсанул бы, да срок кончился… Полезная информация! Необходимо взять на заметку!
nagibat0r
0
да, Ваши тесты подтверждаются, судя по всему. Создал 5 виртуальных машин с идентичной конфигурацией через Puppet. Только один сервер работает нормально, но если vlan переключать на другие, то там кальмар крашится. В чем дело, я не понимаю.
nagibat0r
0
я думаю, автор имеет в виду вот это: гугл перестает открываться, по причине того, что прокси "затыкается" на нем.
nagibat0r
0
Спасибо, что читаете. Инструкция легкая, если используете Debian 8 / Archlinux =) Насчет остальных дистрибутивов не скажу, не пробовал. В PFSense в ближайшее время не будет такое доступно ;-)
nagibat0r
0
логи, логи, логи) при таком конфиге Кальмар просто не может подменять сертификат.
nagibat0r
0
Оренбургская обл, г.Орск. Ростелеком:
nslookup ya.ru 8.8.4.4
Server:		8.8.4.4
Address:	8.8.4.4#53

Non-authoritative answer:
Name:	ya.ru
Address: 213.180.204.3
Name:	ya.ru
Address: 213.180.193.3
Name:	ya.ru
Address: 93.158.134.3

nslookup ya.ru 8.8.8.8
Server:		8.8.8.8
Address:	8.8.8.8#53

Non-authoritative answer:
Name:	ya.ru
Address: 213.180.193.3
Name:	ya.ru
Address: 213.180.204.3
Name:	ya.ru
Address: 93.158.134.3



nagibat0r
+7
Почитал с удовольствием, спасибо
nagibat0r
0
хм… У меня пока работает. Странно. Хорошо, если еще человек напишет один, новость убираю
nagibat0r
0
да, я совершенно забыл про update-alternatives. Нужно сделать в обратном порядке, нежели чем в статье
nagibat0r
0
Ребята, читайте!
UPD 14.12.15: спешу поделиться с коллегами отличной новостью! Я нашел способ заставить работать новые версии Squid'а без особых танцев с бубном! Необходимо, чтобы у клиентов и в настройках Squid'а были одинаковые DNS! В моем случае, на шлюзе с Кальмаром крутится Bind. Назначил клиентам именно его, и Кальмару директивой:
dns_nameservers 127.0.0.1
. После чего все успешно заработало. Проверено на Squid 4.0.3, собрана БЕЗ Libressl!


Прошу протестировать
nagibat0r
+2
Ребята, читаем!
UPD 14.12.15: спешу поделиться с коллегами отличной новостью! Я нашел способ заставить работать новые версии Squid'а без особых танцев с бубном! Необходимо, чтобы у клиентов и в настройках Squid'а были одинаковые DNS! В моем случае, на шлюзе с Кальмаром крутится Bind. Назначил клиентам именно его, и Кальмару директивой:
dns_nameservers 127.0.0.1
. После чего все успешно заработало. Проверено на Squid 4.0.3, собрана БЕЗ Libressl!


Прошу протестировать
nagibat0r
0
Не за что. Если Вы хотите иметь прозрачный прокси, то он должен быть обязательно шлюзом для Ваших ПК, иначе Вас прокси пускать не будет. Статически — пожалуйста, хоть в другую подсеть его убирайте.
nagibat0r
0
1) что Вы имеете в виду под словами «магистральный масштаб»?
2) защита от блокировки — использовать другой прокси, к примеру, выставив вручную настройки в браузере. Но я, например, в своей конторе запретил использование сторонних прокси и DNS, и порты у нас открыты только определенные. Система работает уже несколько месяцев, пока не было случаев обхода
nagibat0r
0
почитал, усвоил кое что, спасибо. На самом деле, с чекинсталлом я ранее дело имел редко, потому что я по тем же причинам его недолюбливаю=) просто пришлось из-за того, что я писал выше. Самое идеальное — найти репозиторий, хоть где, где есть «дебианизированные» исходники squid 3.5.7, но я не нашел. Был бы несказанно рад, если кто-то все таки его найдет