The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"как с помощью можно Pf фильтровать HTTPS?"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Информационная безопасность (OpenBSD PF)
Изначальное сообщение [ Отслеживать ]

"как с помощью можно Pf фильтровать HTTPS?"  +/
Сообщение от alexandrnew (ok) on 04-Фев-11, 07:59 
как с помощью можно Pf фильтровать HTTPS, хотя бы по доменам (особенно если учесть что могут быть еще поддомены, и по несколько ипов на домен)
прокси не подходит, а в прозрачном режиме хттпс не работает.
Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "как с помощью можно Pf фильтровать HTTPS?"  +/
Сообщение от dfx_777 on 04-Фев-11, 10:19 
> как с помощью можно Pf фильтровать HTTPS, хотя бы по доменам (особенно
> если учесть что могут быть еще поддомены, и по несколько ипов
> на домен)
> прокси не подходит, а в прозрачном режиме хттпс не работает.

HTTPS -> port 443

# Пропустить входящий трафик на интерфейс dc0 из локальной сети 192.168.0.0/24,
# на OpenBSD машину с IP адресом 192.168.0.1. Также пропустить возвращающийся
# трафик, выходящий на интерфейс dc0

pass in  on dc0 from 192.168.0.0/24 to 192.168.0.1
pass out on dc0 from 192.168.0.1 to 192.168.0.0/24


# Пропустить входящий TCP трафик на интерфейс fxp0 на веб сервер, запущенный
# на OpenBSD машине. Интерфейс под названием fxp0 используется, как адрес
# назначения, поэтому пакеты будут соответствовать только этому правилу если
# они предназначены OpenBSD машине

pass in on fxp0 proto tcp from any to fxp0 port www

...далее по вкусу

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "как с помощью можно Pf фильтровать HTTPS?"  +/
Сообщение от alexandrnew (ok) on 04-Фев-11, 10:43 
вырезано
> ...далее по вкусу

может не так выразился.
мне надо дать клиентам нат, на хттпс, на определенный список доменов\урлов

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "как с помощью можно Pf фильтровать HTTPS?"  +/
Сообщение от dfx_777 on 04-Фев-11, 12:14 
> вырезано
>> ...далее по вкусу
> может не так выразился.
> мне надо дать клиентам нат, на хттпс, на определенный список доменов\урлов

man ipnat

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "как с помощью можно Pf фильтровать HTTPS?"  +/
Сообщение от alexandrnew (ok) on 04-Фев-11, 12:49 
> man ipnat

что то я тут фильтрации не нашел, кроме как по ипам...

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "как с помощью можно Pf фильтровать HTTPS?"  +/
Сообщение от sage444 (ok) on 04-Фев-11, 12:56 
> как с помощью можно Pf фильтровать HTTPS, хотя бы по доменам (особенно
> если учесть что могут быть еще поддомены, и по несколько ипов
> на домен)
> прокси не подходит, а в прозрачном режиме хттпс не работает.

а в чем проблема то ?

pf умеет резольвить ір-адреса по днс-имени.

можно натить только один 443 порт
можно писать например permit tcp from any to www.google.com port 443
можно создать файлик со списком сайтов и подгружать как табличку в PF

единственное ограничение, на сколько я знаю, резольвинг происходит при загрузке правил

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "как с помощью можно Pf фильтровать HTTPS?"  +/
Сообщение от alexandrnew (ok) on 04-Фев-11, 13:47 
> единственное ограничение, на сколько я знаю, резольвинг происходит при загрузке правил

вот как раз в этом :)
причем он берет только 1й ип отданый ему днсом, если у сайта их много..

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "как с помощью можно Pf фильтровать HTTPS?"  +/
Сообщение от reader (ok) on 04-Фев-11, 14:12 
>> единственное ограничение, на сколько я знаю, резольвинг происходит при загрузке правил
>  вот как раз в этом :)
> причем он берет только 1й ип отданый ему днсом, если у сайта
> их много..

резолвте сами и пихайте в таблицу

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "как с помощью можно Pf фильтровать HTTPS?"  +/
Сообщение от guest email(??) on 07-Фев-11, 09:31 
> причем он берет только 1й ип отданый ему днсом, если у сайта
> их много..

Неправда, по-умолчанию (имя без суффикса :0) используется все IP.
bash-4.1# echo "pass from www.google.com"|pfctl -nvsr -f -
pass inet from 74.125.232.48 to any flags S/SA keep state
pass inet from 74.125.232.49 to any flags S/SA keep state
pass inet from 74.125.232.50 to any flags S/SA keep state
pass inet from 74.125.232.51 to any flags S/SA keep state
pass inet from 74.125.232.52 to any flags S/SA keep state

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

9. "как с помощью можно Pf фильтровать HTTPS?"  +/
Сообщение от alexandrnew (ok) on 07-Фев-11, 10:03 
>> причем он берет только 1й ип отданый ему днсом, если у сайта
>> их много..
> Неправда, по-умолчанию (имя без суффикса :0) используется все IP.
> bash-4.1# echo "pass from www.google.com"|pfctl -nvsr -f -
> pass inet from 74.125.232.48 to any flags S/SA keep state
> pass inet from 74.125.232.49 to any flags S/SA keep state
> pass inet from 74.125.232.50 to any flags S/SA keep state
> pass inet from 74.125.232.51 to any flags S/SA keep state
> pass inet from 74.125.232.52 to any flags S/SA keep state

а можно правило которым добавляли и версию ос и pf  узнать?


Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "как с помощью можно Pf фильтровать HTTPS?"  +/
Сообщение от guest email(??) on 07-Фев-11, 10:18 
> а можно правило которым добавляли и версию ос и pf  узнать?

Ни вопрос) Но на самом деле это ни важно - pfctl в этом месте почти с рождения не менялся.
[root@inetserv /usr/home/guest]# uname -a
FreeBSD inetserv.xxxxxxxx.msk.ru 7.2-RELEASE FreeBSD 7.2-RELEASE #0: Fri May  1 08:49:13 UTC 2009     root@walker.cse.buffalo.edu:/usr/obj/usr/src/sys/GENERIC  i386

>> bash-4.1# echo "pass from www.google.com"|pfctl -nvsr -f -

Вы про какое правило???

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "как с помощью можно Pf фильтровать HTTPS?"  +/
Сообщение от alexandrnew (ok) on 07-Фев-11, 10:20 
про

>>> "pass from www.google.com"

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "как с помощью можно Pf фильтровать HTTPS?"  +/
Сообщение от guest email(??) on 07-Фев-11, 10:23 
> про
>>>> "pass from www.google.com"

Простите, но я вас не понимаю что-то)
Чем вас собственно эта строчка не устраивает? Или просто не заметили в 1й раз?

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

13. "как с помощью можно Pf фильтровать HTTPS?"  +/
Сообщение от alexandrnew (ok) on 07-Фев-11, 10:42 
>> про
>>>>> "pass from www.google.com"
> Простите, но я вас не понимаю что-то)
> Чем вас собственно эта строчка не устраивает? Или просто не заметили в
> 1й раз?

у меня не получается его добавить с консоли, если прописываю в загрузочный скрипт - добавляется, но не буду же каждый раз загрузочный скрипт перезапускать....

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

14. "как с помощью можно Pf фильтровать HTTPS?"  +/
Сообщение от guest email(??) on 07-Фев-11, 10:55 
> у меня не получается его добавить с консоли, если прописываю в загрузочный
> скрипт - добавляется, но не буду же каждый раз загрузочный скрипт
> перезапускать....

К сожалению pfctl не позволяет добавить правило, можно только заменить все/отдельный анкор.
Но есть возможность добавлять/удалять адреса в таблицах.
Касательно начало топика имхо у вас 2 варианта:
1. По крону строить таблицу с адресами нужных https хостов
2. Сделать анкор для https и по крону перегружать его.

Покажите, что именно вы пытаетесь сделать.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

15. "как с помощью можно Pf фильтровать HTTPS?"  +/
Сообщение от alexandrnew (ok) on 07-Фев-11, 12:19 
>> у меня не получается его добавить с консоли, если прописываю в загрузочный
>> скрипт - добавляется, но не буду же каждый раз загрузочный скрипт
>> перезапускать....
> К сожалению pfctl не позволяет добавить правило, можно только заменить все/отдельный анкор.
> Но есть возможность добавлять/удалять адреса в таблицах.
> Касательно начало топика имхо у вас 2 варианта:
> 1. По крону строить таблицу с адресами нужных https хостов
> 2. Сделать анкор для https и по крону перегружать его.
> Покажите, что именно вы пытаетесь сделать.

мне надо что бы нат 443 порт был разрешен только на определенные домены,
насколько понимаю - надо сделать таблицу, и по крону ее обновлять...
т.е. одно правило, разрешающее хождение в ипы в таблице...

а что такое анкор?

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

16. "как с помощью можно Pf фильтровать HTTPS?"  +/
Сообщение от guest email(??) on 07-Фев-11, 12:29 
> а что такое анкор?

я имел ввиду anchor, если вас коробит от такой кальки, то могу писать "якорь")


Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

17. "как с помощью можно Pf фильтровать HTTPS?"  +/
Сообщение от alexandrnew (ok) on 07-Фев-11, 12:32 
>> а что такое анкор?
> я имел ввиду anchor, если вас коробит от такой кальки, то могу
> писать "якорь")

все еще проще :) я просто только изучаю pf   :)
потому для меня это еще сложно...

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

18. "как с помощью можно Pf фильтровать HTTPS?"  +/
Сообщение от guest email(??) on 07-Фев-11, 12:39 
> все еще проще :) я просто только изучаю pf   :)

в опеньковом FAQ по pf есть глава про якоря с примерами.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру