на сайт
на сайт

Поиск  Правила  Войти
Главная страница » Главный раздел » Traffic Inspector - технические вопросы.
Страницы: 1
RSS
HTTPS - белые списки
 
#1
0
22.06.2017 10:34:00
У меня как и у многих пользователей появился вопрос в третьей версии ТИ каким образом настроить доступ к сайтам с "https"  протоколом для работы по белым спискам. Я долго упражнялся в вариациях с фильтрами, пока сотрудник техподдержки не поделился ссылкой на свежий мануал. В результате внесенных изменений, фильтры отработали как необходимо. Проверял я это все на  ОС - Win2k8R2,  ТИ 3.0.2.916 (64),  NDIS 6.0 rev 228

Итак, для начала необходимо зайти в свойства "правило пользователей", переходим к строке "Запрет для неавторизованых"  и добавляем свое, предварительно созданное, правило на тотальный запрет.  Переходим к строке "Общие разрешения" и добавляем свое правило на разрешение dns "udp53". В новых версиях ТИ его добавили в раздел правил под именем Allow DNS, так что тут дело ваше, можете выбрать какое вам понравится - свое или идущее по умолчанию. 
Жмем ОК  и переходим в свойства группы для которой будем настраивать разрешения-запреты.

Очередность обязательна!

ПРАВИЛА Группы "ДО":
1.udp 53 (Allow DNS)
2.ICMP - cсоздаете это правило на основе предлагаемого выпадающего меню разделе IP протокол
3.wite list (ваш лист) - обычное правило через прокси с привязкой к URL адресам сайтов.

ПРАВИЛА Группы "ПОСЛЕ"
1.zapret - устанавливаем наш любимый фильтр на тотальный запрет.

P.S И самое главное, за что мне пришлось краснеть перед техподдержкой - не забывайте проверять настройки прокси на клиенте. Иногда чекбокс рядом со скриптом может просто не включится.  







клиент2017-06-23 15:09:33
 
 
 
#2
0
22.06.2017 13:03:00
"странноватый" обновленный мануал от производителя.. (камень в огород суппорта ТИ!)

в чем разница-то между этим переосмысленным вариантом и вариантом без использования вообще всех фильтров ДО и ПОСЛЕ?
должно работать в любых логичных вариантах. 

на текущий момент через шлюз 914х64 2к12r2 посредством файрфокса(на centos v6.9) даже map.yandex.ru у меня не открывается, при наличии одной строки в url-списке типа yandex.ru и "деревяннейше" тупом фильтре: проверять вхождения в указанном списке(из одной строки) при запросах на удаленный тсп443  через http/tunn на 443.. проверка запроса кстати проходит "на ура"

[off]зы. раньше(пару тройку лет назад), когда еще хотелось получить от прокси заявленный функционал, подобная конструкция работала.. частично даже применительно к tcp443, а вот сейчас - полдня убил на проверку, - и как бы не пашет. может, конечно, надо на 917 переехать[/off] 

кроме вышесказанного(применительно для правил через прокси): если хотя бы раз прописать какой либо порт в настройках фильтра - удалить его потом невозможно, нужно удалять правило и создавать его заново.


DmitryPC2017-06-22 14:08:32
 
 
 
#3
0
22.06.2017 15:14:00
Хочу быть справедливым по отношению к разработчику. Привожу мануал в части "Управление веб-доступом пользователей с помощью правил пользователя"
пункт- "Порядок действий при работе с правилами" (последний на странице)

Там рекомендуется запрещающие и разрешающие правила разделять в категориях группы. Для каких это скрытых функций логики - я не знаю, т.к. для самого это явилось открытием. Исхожу из простого принципа: если это работает, но противоречит моему пониманию логики, значит это построено на принципах непостижимой логики. LOL







клиент2017-06-22 15:34:27
 
 
 
#4
0
22.06.2017 16:19:00
еще раз:
1. создана группа, в ней пользователь
2. все фильтры ДО и ПОСЛЕ НЕ ИСПОЛЬЗУЮТСЯ!(галки сняты)
3. порядок фильтров определен: 1. разрешающие фильтры(днс\icmp\фильтр на URL список). ... n+1 - запрещающий всё фильтр.

ПОЧЕМУ пользователь НЕ может открыть разрешенный map.yandex.ru(одна строка в URL списке yandex.ru) или news.yandex.ru или любой адрес на которые пересылают эти доменные имена в частности: https://yandex.ru/maps/ ?
 
 
 
#5
0
22.06.2017 17:41:00
А вот это интересно. На ТИ 3.0.2.916 (64) проверил несколько аналогичных строк, они отработали, но как уже понятно, с "до" и "после." 

клиент2017-06-23 05:34:54
 
 
 
#6
0
23.06.2017 05:39:00
Цитата
даже map.yandex.ru у меня не открывается, при наличии одной строки в url-списке типа yandex.ru и фильтре: проверять вхождения в указанном списке(из одной строки) при запросах на удаленный тсп443  через http/tunn на 443.. проверка запроса кстати проходит "на ура"

зы. раньше(пару тройку лет назад), когда еще хотелось получить от прокси заявленный функционал, подобная конструкция работала.. частично даже применительно к tcp443, а вот сейчас - полдня убил на проверку, - и как бы не пашет. может, конечно, надо на 917 переехать[/off] 
Похоже в новом билде это пофиксили.

Насчет "татуированых" портов  сказать не могу, проверю при случае.

[OFF]P.S. Интересно, что за принудиловка вручную выставлять чекбоксы у каждого пользователя ( перенаправлять на прокси и блокировать мимо) почему эти чекбоксы в настройке группы не распространяются на пользователей этой группы? (вопрос для текущей версии)
На самом деле, вот эти конкретные именования "по умолчанию" - не раскрывают главного - "какому умолчанию" если они выставлены у группы или у пользователя. Объяснения в мануале, вообще, сбивают с толку. Пользуясь данными чекбоксами (и у группы и у пользователей) в разных версиях всегда находил вариант "когда это начинало работать" но ни разу не по логике мануала.
[/OFF]





клиент2017-06-23 07:18:53
 
 
 
#7
0
23.06.2017 07:28:00
Цитата
А вот это интересно. На ТИ 3.0.2.916 (64) проверил несколько аналогичных строк, они отработали, но как уже понятно, с "до" и "после." 
а без ДО и ПОСЛЕ отрабатывает разрешающий фильтр на урл список?
 
 
 
#8
0
23.06.2017 10:00:00
Большое человеческое спасибо сотрудникам техподдержки - Сергею и Александру!клиент2017-06-23 15:08:53
 
 
 
#9
0
15.11.2017 15:05:00
Так всё ж как решили проблему.
Есть тот же косяк, фильтры настроены по мануале с сайта ТИ (https://www.smart-soft.ru/support/documentation/instructions/filtering_whitelist.pdf), всё вроде работает, но домены третьего уровня летят к чертям. 
Сайты с https которые не разрешены встречает не уведомление о запрете, а мессага о не проходящем сертификате.
Пытаюсь разрешить юзерам почту яндекса (почта домена средствами яндекса), но постоянно возникают какие-то лаги, то стили не тянет, то ещё что-то. 
 
 
 
Страницы: 1
Читают тему (гостей: 2)