faq обучение настройка
Текущее время: Чт июл 24, 2025 04:34

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 7 ] 
Автор Сообщение
 Заголовок сообщения: DFL-860E отсекает HTTPS трафик
СообщениеДобавлено: Чт янв 10, 2013 10:59 
Не в сети

Зарегистрирован: Сб дек 29, 2012 21:08
Сообщений: 19
Добрый день.

Взяла на пробу сабж. Пару дней читала русский мануал, пару дней поигралась с настройками. Вроде во всем можно разобраться, и логику создателей уже начинаю понимать. Однако столкнулась со следующей проблемой. Отсекается весь трафик по HTTPS. То есть таже страничка gmail просто не открывается. Грешила сначала на криво настроенные правила. Стерла все и открыла все порты UDP и TCP (пооткрывала на всякий случай все, что только можно). Добавлю, что к правилам TCP применяется также WEB CONTENT Filter. Но думаю, что дело не в нем, так как при отсекаемых им страничках выводится банер о том, что страница заблокирована, а при попытке зайти на gmail страничка просто открывается вечно...

Думаю, что наверное напутала что-то с маршрутами.
немного о сети:
Провайдер выделяет внешний статический ip. Раздается не через DHCP а вручную. За рутером организована сетка (192.168.10.0/24). Раздача ведется при помощи DHCP рутера.
Чтобы не быть голословной привожу скрины правил и маршрутизации.


Вложения:
Снимок экрана 2013-01-10 в 9.56.11.png
Снимок экрана 2013-01-10 в 9.56.11.png [ 31.85 KiB | Просмотров: 2309 ]
Снимок экрана 2013-01-10 в 9.55.24.png
Снимок экрана 2013-01-10 в 9.55.24.png [ 71.69 KiB | Просмотров: 2309 ]
Снимок экрана 2013-01-10 в 9.54.44.png
Снимок экрана 2013-01-10 в 9.54.44.png [ 34.47 KiB | Просмотров: 2309 ]
Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-860E отсекает HTTPS трафик
СообщениеДобавлено: Чт янв 10, 2013 11:02 
Не в сети

Зарегистрирован: Сб дек 29, 2012 21:08
Сообщений: 19
Из-за ограничения форума добавляю 2-й пост со скринами.

Буду очень признательна вам за помощь.

С уважением
Кати


Вложения:
Снимок экрана 2013-01-10 в 9.57.00.png
Снимок экрана 2013-01-10 в 9.57.00.png [ 34.21 KiB | Просмотров: 2308 ]
Снимок экрана 2013-01-10 в 9.56.21.png
Снимок экрана 2013-01-10 в 9.56.21.png [ 66.04 KiB | Просмотров: 2308 ]
Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-860E отсекает HTTPS трафик
СообщениеДобавлено: Чт янв 10, 2013 12:29 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7188
Откуда: Екатеринбург
ради теста сделайте самым первым правилом

NAT lan lannet wan1 all-nets all-services

Вообще-то, и в ваших правилах нет ничего, что бы резало https трафик. Может дело в компе, браузере, файрволле или провайдере?

И web-content фильтр уберите. Скорее всего дело именно в нем.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-860E отсекает HTTPS трафик
СообщениеДобавлено: Чт янв 10, 2013 14:38 
Не в сети

Зарегистрирован: Сб дек 29, 2012 21:08
Сообщений: 19
В общем, разобралась
Проблема была действительно в контент фильтре. Начала разбираться по какой причине и вот что обнаружилось.

Обращаемся к великому и толстому мануалу:
Цитата:
Реализация HTTP ALG
Как указывалось во введении, объект HTTP вводится в использование по связи с объектом службы, а затем по связи объекта службы с правилом в наборе IP-правил. Некоторые предварительно определенные HTTP-сервисы могут использоваться с ALG. Например, для этой цели мог быть выбран сервис http. До тех пор пока сервис связан с IP-правилом, ALG будет применяться к трафику, разрешенному этим IP-правилом.
Сервис https (который также входит в сервис http-all) не может использоваться с HTTP ALG, так как HTTPS-трафик зашифрован.


Вывод 1. Как не прискорбно, но HTTPS трафик отфильтровать автоматом при помощи WTF нельзя. (или кто-кто знает решение???)
Вывод 2. Решение моей проблемы выглядит образом представленным в приложенном скрине (где существует 2 правила, 1 для HTTPS без фильтра и другое для http с фильтром.

Всем спасибо, но буду супер благодарна, если кто-то найдет и подскажет решение по фильтрации HTTPS.

С уважением,
Кати


Вложения:
Снимок экрана 2013-01-10 в 13.35.11.png
Снимок экрана 2013-01-10 в 13.35.11.png [ 49.45 KiB | Просмотров: 2297 ]
Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-860E отсекает HTTPS трафик
СообщениеДобавлено: Чт янв 10, 2013 22:07 
Не в сети

Зарегистрирован: Ср сен 26, 2012 05:28
Сообщений: 300
koopakaru писал(а):
В общем, разобралась

Все верно, и ответом Вам встречный вопрос - Как фильтровать контент если он зашифрован? ;)


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-860E отсекает HTTPS трафик
СообщениеДобавлено: Пт янв 11, 2013 14:15 
Не в сети

Зарегистрирован: Сб дек 29, 2012 21:08
Сообщений: 19
А вот это и вопрос номер 1.
Походу никак... Только ручками вбивать неугодные HTTPS адреса...


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-860E отсекает HTTPS трафик
СообщениеДобавлено: Пт янв 11, 2013 15:05 
Не в сети

Зарегистрирован: Ср сен 26, 2012 05:28
Сообщений: 300
koopakaru
Да, ибо контент для дфла в данном случае не доступен, и что именно передается клиенту он знать не может, и более того, не должен (иначе весь принцип шифрования, защиты данных и пр.., можно выкидывать на помойку)


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 7 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 233


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
cron
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB