Блокировать https

Обсуждение ПО и его настройки
Ответить
gmrash
Сообщения: 2
Зарегистрирован: 31 июл 2013, 18:46

Блокирую сайты в web proxy, однако если заходить по https доступ к этим сайтам есть.
В фаерволе провидываю 80 порт на порт 8080, на котором висит прокся. Если прокинуть 443 порт на 8080 то доступ по https пропадает вовсе ко всем ресурсам. Как победить?


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

никак. proxy мтика, как наверное и любой другой прокси, не способен анализировать трафик https. единственный выход блокировать доступ к сайту по ip адресу и порту 443


gmrash
Сообщения: 2
Зарегистрирован: 31 июл 2013, 18:46

Тогда вообще весь смысл прокси теряется, т.к. можно обойти любой запрет просто введя скажем https://mail.ru


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

ну кто для чего использует прокси. ну и собственно не все сайты имеют "дубликат" в https.


Аватара пользователя
Dragon_Knight
Сообщения: 1724
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

Аналогично, долго не понимал почему прокси микротика 'ломает' трафик HTTPS, пока не прочитал wiki :D

Как сказали выше, выход только такой: Блокировать весь https трафик, кроме тех компов, где он действительно нужен, аля бухгалтерия.


Небольшой свод правил логики и ссылок:
  1. Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
  2. Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
  3. Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
  4. Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
  5. Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
  6. name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
  7. Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
  8. Мой сайт по Mikrotik: Global Zone >> MikroTik.
Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

ну либо сделать "белый список" сайтов, я думаю в организации их не так много и разрешить по нему https, а ко всему остальному отрезать доступ.


Ответить