Страница печати | Закрыть окно

HTTPS - белые списки

Распечатать форум: Форум компании Смарт-Софт
Категория: Главный раздел
Название форума: Traffic Inspector - технические вопросы.
Описание форума: Вопросы по установке, настройке, возможностям и т.п.
URL: http://forum.smart-soft.ru/forum_posts.asp?TID=24057
Дата печати: 27-Ноя-20 в 22:19
Версия ПО: Web Wiz Forums 10.14 - http://www.webwizforums.com


Тема: HTTPS - белые списки
Автор: клиент
Тема: HTTPS - белые списки
Дата отправки: 22-Июн-17 в 10:34
У меня как и у многих пользователей появился вопрос в третьей версии ТИ каким образом настроить доступ к сайтам с "https"  протоколом для работы по белым спискам. Я долго упражнялся в вариациях с фильтрами, пока сотрудник техподдержки не поделился ссылкой на свежий мануал. В результате внесенных изменений, фильтры отработали как необходимо. Проверял я это все на  ОС - Win2k8R2,  ТИ 3.0.2.916 (64),  NDIS 6.0 rev 228

Итак, для начала необходимо зайти в свойства "правило пользователей", переходим к строке "Запрет для неавторизованых"  и добавляем свое, предварительно созданное, правило на тотальный запрет.  Переходим к строке "Общие разрешения" и добавляем свое правило на разрешение dns "udp53". В новых версиях ТИ его добавили в раздел правил под именем Allow DNS, так что тут дело ваше, можете выбрать какое вам понравится - свое или идущее по умолчанию. 
Жмем ОК  и переходим в свойства группы для которой будем настраивать разрешения-запреты.

Очередность обязательна!

ПРАВИЛА Группы "ДО":
1.udp 53 (Allow DNS)
2.ICMP - cсоздаете это правило на основе предлагаемого выпадающего меню разделе IP протокол
3.wite list (ваш лист) - обычное правило через прокси с привязкой к URL адресам сайтов.

ПРАВИЛА Группы "ПОСЛЕ"
1.zapret - устанавливаем наш любимый фильтр на тотальный запрет.

P.S И самое главное, за что мне пришлось краснеть перед техподдержкой - не забывайте проверять настройки прокси на клиенте. Иногда чекбокс рядом со скриптом может просто не включится.  



-------------
Win2k3SP2 build TI Special 3.0.1.824(x86) NDIS5 rev. (2.0.1.50)
W2k8r2 build TI Gold 10 3.0.2.916(x64) NDIS 6.0 rev.228



Ответов:
Автор: DmitryPC
Дата отправки: 22-Июн-17 в 13:03
"странноватый" обновленный мануал от производителя.. (камень в огород суппорта ТИ!)

в чем разница-то между этим переосмысленным вариантом и вариантом без использования вообще всех фильтров ДО и ПОСЛЕ?
должно работать в любых логичных вариантах. 

на текущий момент через шлюз 914х64 2к12r2 посредством файрфокса(на centos v6.9) даже map.yandex.ru у меня не открывается, при наличии одной строки в url-списке типа yandex.ru и "деревяннейше" тупом фильтре: проверять вхождения в указанном списке(из одной строки) при запросах на удаленный тсп443  через http/tunn на 443.. проверка запроса кстати проходит "на ура"

[off]зы. раньше(пару тройку лет назад), когда еще хотелось получить от прокси заявленный функционал, подобная конструкция работала.. частично даже применительно к tcp443, а вот сейчас - полдня убил на проверку, - и как бы не пашет. может, конечно, надо на 917 переехать[/off] 

кроме вышесказанного(применительно для правил через прокси): если хотя бы раз прописать какой либо порт в настройках фильтра - удалить его потом невозможно, нужно удалять правило и создавать его заново.


Автор: клиент
Дата отправки: 22-Июн-17 в 15:14
Хочу быть справедливым по отношению к разработчику. Привожу мануал в части " http://www.smart-soft.ru/files/html/web_access_control.html" rel="nofollow - Управление веб-доступом пользователей с помощью правил пользователя"
пункт- "Порядок действий при работе с правилами" (последний на странице)

Там рекомендуется запрещающие и разрешающие правила разделять в категориях группы. Для каких это скрытых функций логики - я не знаю, т.к. для самого это явилось открытием. Исхожу из простого принципа: если это работает, но противоречит моему пониманию логики, значит это построено на принципах непостижимой логики. LOL



-------------
Win2k3SP2 build TI Special 3.0.1.824(x86) NDIS5 rev. (2.0.1.50)
W2k8r2 build TI Gold 10 3.0.2.916(x64) NDIS 6.0 rev.228


Автор: DmitryPC
Дата отправки: 22-Июн-17 в 16:19
еще раз:
1. создана группа, в ней пользователь
2. все фильтры ДО и ПОСЛЕ НЕ ИСПОЛЬЗУЮТСЯ!(галки сняты)
3. порядок фильтров определен: 1. разрешающие фильтры(днс\icmp\фильтр на URL список). ... n+1 - запрещающий всё фильтр.

ПОЧЕМУ пользователь НЕ может открыть разрешенный map.yandex.ru(одна строка в URL списке yandex.ru) или news.yandex.ru или любой адрес на которые пересылают эти доменные имена в частности: https://yandex.ru/maps/ ?





Автор: клиент
Дата отправки: 22-Июн-17 в 17:41
А вот это интересно. На ТИ 3.0.2.916 (64) проверил несколько аналогичных строк, они отработали, но как уже понятно, с "до" и "после." 

-------------
Win2k3SP2 build TI Special 3.0.1.824(x86) NDIS5 rev. (2.0.1.50)
W2k8r2 build TI Gold 10 3.0.2.916(x64) NDIS 6.0 rev.228


Автор: клиент
Дата отправки: 23-Июн-17 в 05:39
Исходное сообщение DmitryPC DmitryPC :

даже map.yandex.ru у меня не открывается, при наличии одной строки в url-списке типа yandex.ru и фильтре: проверять вхождения в указанном списке(из одной строки) при запросах на удаленный тсп443  через http/tunn на 443.. проверка запроса кстати проходит "на ура"

зы. раньше(пару тройку лет назад), когда еще хотелось получить от прокси заявленный функционал, подобная конструкция работала.. частично даже применительно к tcp443, а вот сейчас - полдня убил на проверку, - и как бы не пашет. может, конечно, надо на 917 переехать[/off] 
Похоже в новом билде это пофиксили.

Насчет "татуированых" портов  сказать не могу, проверю при случае.

[OFF]P.S. Интересно, что за принудиловка вручную выставлять чекбоксы у каждого пользователя ( перенаправлять на прокси и блокировать мимо) почему эти чекбоксы в настройке группы не распространяются на пользователей этой группы? (вопрос для текущей версии)
На самом деле, вот эти конкретные именования "по умолчанию" - не раскрывают главного - "какому умолчанию" если они выставлены у группы или у пользователя. Объяснения в мануале, вообще, сбивают с толку. Пользуясь данными чекбоксами (и у группы и у пользователей) в разных версиях всегда находил вариант "когда это начинало работать" но ни разу не по логике мануала.
[/OFF]



-------------
Win2k3SP2 build TI Special 3.0.1.824(x86) NDIS5 rev. (2.0.1.50)
W2k8r2 build TI Gold 10 3.0.2.916(x64) NDIS 6.0 rev.228


Автор: DmitryPC
Дата отправки: 23-Июн-17 в 07:28
Исходное сообщение клиент клиент :

А вот это интересно. На ТИ 3.0.2.916 (64) проверил несколько аналогичных строк, они отработали, но как уже понятно, с "до" и "после." 
а без ДО и ПОСЛЕ отрабатывает разрешающий фильтр на урл список?


Автор: клиент
Дата отправки: 23-Июн-17 в 10:00
Большое человеческое спасибо сотрудникам техподдержки - Сергею и Александру!

-------------
Win2k3SP2 build TI Special 3.0.1.824(x86) NDIS5 rev. (2.0.1.50)
W2k8r2 build TI Gold 10 3.0.2.916(x64) NDIS 6.0 rev.228


Автор: KMT46
Дата отправки: 15-Ноя-17 в 15:05
Так всё ж как решили проблему.
Есть тот же косяк, фильтры настроены по мануале с сайта ТИ (http://www.smart-soft.ru/support/documentation/instructions/filtering_whitelist.pdf), всё вроде работает, но домены третьего уровня летят к чертям. 
Сайты с https которые не разрешены встречает не уведомление о запрете, а мессага о не проходящем сертификате.
Пытаюсь разрешить юзерам почту яндекса (почта домена средствами яндекса), но постоянно возникают какие-то лаги, то стили не тянет, то ещё что-то. 




Страница печати | Закрыть окно