找回密码
 注册

QQ登录

只需一步,快速开始

搜索
查看: 19541|回复: 10

[策略设置] ROS对https的网站如何监管?

[复制链接]
发表于 2016-6-23 20:36:09 | 显示全部楼层 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有账号?注册

×
好像ros对https的访问根本监管不到啊
公司的网络只开放2个搜索引擎(百度和谷歌)和一个淘宝,其他的所有网页和应用都不准上
1、目前我用ROS防火墙的策略是
      优先规则一、 用content= baidu.com 这种方式仅仅放行了百度(百度首页也是https,但是子页是http,可以用image.baidu.com或者tieba.baidu.com这种方式访问)
      优先规则二、禁用所有网络
2、淘宝和谷歌的所有页面都是https的加密网页,我用content=taobao.com 这种方式根本匹配不到流量,如果要访问淘宝或者谷歌需要开放所有https网站,这样就达不到只开放3个网站的需求了

求问ROS如何能监管到HTTPS加密网站

routeros
发表于 2016-6-23 21:26:09 | 显示全部楼层
同求。...坐等大神
routeros
回复

使用道具 举报

发表于 2016-6-23 21:31:53 | 显示全部楼层
本帖最后由 edgesky 于 2016-6-23 21:35 编辑

80口的流量重定向到web proxy,然后enable web proxy,然后用web proxy的access来管理。
可以直接写*.baidu.*

这样可以精准的域名管理。
你用的connet来写域名会误杀,
另外,搜索出来的页面你是准备一个都不让点么?就是点不开搜索到的内容?
还有,443得另想办法。
routeros
回复

使用道具 举报

发表于 2016-6-23 23:55:43 | 显示全部楼层
本帖最后由 47771885 于 2016-6-24 00:23 编辑

可以尝试。。。如此 如此 http://www.radiusd.com 备用域名  http://www.ros.sh
当然这个IP 列表不尽然。。可以使用配合屏蔽或放行域名方式

可以使用域名生成地址列表程序不停抓取 {本人淘宝店有售 500 高效低耗}
xxx.png
TT2.png
TT.png
routeros
回复

使用道具 举报

 楼主| 发表于 2016-6-24 09:51:20 | 显示全部楼层
edgesky 发表于 2016-6-23 21:31
80口的流量重定向到web proxy,然后enable web proxy,然后用web proxy的access来管理。
可以直接写*.baid ...

web proxy的规则不支持优先级
例如  1、允许访问百度
         2、禁用所有访问
这样会直接匹配第二条而无视第一条的优先

点评

支持  发表于 2016-6-24 10:33
routeros
回复

使用道具 举报

 楼主| 发表于 2016-6-24 09:57:39 | 显示全部楼层
47771885 发表于 2016-6-23 23:55
可以尝试。。。如此 如此 http://www.radiusd.com 备用域名  http://www.ros.sh
当然这个IP 列表不尽然。 ...

兄台的方法可行,但是这种方法获取的IP过多吧   谷歌应该有上百个IP了。如果后期还需要添加允许访问的网站这种方法会越来越负担,更趋向于匹配URL的方式,一直觉得ROS在URL方面很不合理,没有简便的URL规则写法

点评

,几百个IP 都很小事了  发表于 2016-6-24 10:34
routeros
回复

使用道具 举报

发表于 2016-6-24 10:56:26 | 显示全部楼层
525308160 发表于 2016-6-24 09:51
web proxy的规则不支持优先级
例如  1、允许访问百度
         2、禁用所有访问

那就换一种思路。
dns劫持。
先把出ros的所有udp的53端口重定向到本地的53,然后dns里面别填学习的外网。直接只在静态里面写www.baidu.com的静态指向。多加几个二级域名。
在firewall的address list里面写nat-list,ip就写你写的dns解析静态。
在firewall的nat的规则里面,写第二个页签,写目的地址列表,选择刚才的nat-list。
懂啥意思了吧
routeros
回复

使用道具 举报

 楼主| 发表于 2016-6-24 15:49:02 | 显示全部楼层
edgesky 发表于 2016-6-24 10:56
那就换一种思路。
dns劫持。
先把出ros的所有udp的53端口重定向到本地的53,然后dns里面别填学习的外网 ...

兄台提供的思路也是基于IP的,因为谷歌IP太多,而且后续增加放行网站会越来越多IP库将会变得很大,还是更倾向于URL规则的匹配或写法

routeros
回复

使用道具 举报

发表于 2016-6-25 23:23:07 | 显示全部楼层
525308160 发表于 2016-6-24 15:49
兄台提供的思路也是基于IP的,因为谷歌IP太多,而且后续增加放行网站会越来越多IP库将会变得很大,还是更 ...

那你考虑上一个panabit吧。

panabit+ros能解决你6-7成的问题应该。你这个调调,全解决不太可能

另外,你这个需求基本上是泛域名解析了,而ros不支持泛域名解析。而且还自带dns污染才能解决问题。
routeros
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|Archiver|手机版|小黑屋|软路由 ( 渝ICP备15001194号-1|渝公网安备 50011602500124号 )

GMT+8, 2024-11-22 18:07 , Processed in 0.062261 second(s), 6 queries , Gzip On, Redis On.

Powered by Discuz! X3.5 Licensed

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表