HTTP/HTTPS vyhradne len s proxy

kvas

  • ***
  • 124
    • Zobrazit profil
    • E-mail
HTTP/HTTPS vyhradne len s proxy
« kdy: 16. 04. 2021, 08:54:06 »
Ahoj, poradite mi prosim ako dosiahnut tento stav?

Domacnost ma niekolko Win/Lin/Android zariadeni. Chcem aby vsetky zariadenia komunikovali s okolitym svetom\internetom vyhradne cez proxy branu. Nieco podobne som zazil v praci, bezne sa to tak nastavuje v korporatoch, ale neviem presne co mam googlit. Kludne budu stacit len protokoly HTTP/HTTPS.

Motivacia: nastavit blohovanie reklamy na jednom mieste.


Re:HTTP/HTTPS vyhradne len s proxy
« Odpověď #1 kdy: 16. 04. 2021, 09:20:43 »
To je zbytečně komplikované řešení zahrnující inspekci provozu HTTPS. Ta sice možná je, ale je potřeba do všech zařízení nainstalovat kořenové certifikáty vlastní autority a je s tím dost práce.

Mnohem jednodušší je nainstalovat si v síti vlastní DNS (třeba Unbound) a blokovat nechtěné domény. Je to snadné na konfiguraci, nezatěžuje to nijak ten server a není třeba zasahovat do klientů.

kvas

  • ***
  • 124
    • Zobrazit profil
    • E-mail
Re:HTTP/HTTPS vyhradne len s proxy
« Odpověď #2 kdy: 16. 04. 2021, 09:37:33 »
super, dakujem za tip, to ma nenapadlo, ale asi to bude este lepsie ako planovane riesenie.

Mohli by ste mi este zjednodusene popisat architekturu tohoto riesenia?

1) mam doma router
2) za nim (v internej sieti) bude asi potrebna nejaka "krabicka/raspberry/miniPC", kde bude bezat DNS server
3) ako vynutit pouzivanie mojho DNS servera na klientovi? aktualne nic nenastavujem, predpokladam, ze sa pouzivaju DNS servery od Telekomu.

Re:HTTP/HTTPS vyhradne len s proxy
« Odpověď #3 kdy: 16. 04. 2021, 09:41:14 »
Umi ten router nastavovat firewall pravidla? Jestli ne, tak to nevynutite. Maximalne to nastavite pres dhcp, ale kdokoli si to muze zmenit.

Re:HTTP/HTTPS vyhradne len s proxy
« Odpověď #4 kdy: 16. 04. 2021, 09:48:02 »
Jak píše kolega, nastaví se to v DHCP serveru v routeru. Z toho berou klienti informace o síti, včetně DNS resolverů, které mají používat. Takže se jim automaticky nastaví třeba 192.168.1.100, kde běží to Raspberry a je to.

Uživatelé si to samozřejmě můžou v konfiguraci změnit, ale tohle nemá být bezpečnostní řešení, ale blokační. Nepředpokládám, že si manželka, děti a tchyně na návštěvě budou měnit DNS resolver, aby viděli nechtěné domény.


kvas

  • ***
  • 124
    • Zobrazit profil
    • E-mail
Re:HTTP/HTTPS vyhradne len s proxy
« Odpověď #5 kdy: 16. 04. 2021, 10:04:24 »
je to ZTE Speedport Entry 2i od telekomu. firewall pravidla predpokladam dokaze, ked je na nom pozne nastavit port forwarding. a ma to aj nastavenie DHCP - aktualne to smeruje sam na seba (192.168.1.1)

ale priznam sa, torchu sa v tom zacinam stracat: na zaciatku sme sa bavili o vlastnom DNS a teraz sa bavime o DHCP.

pre istotu:
DNS resolvuje domeny na ip adresy
DHCP prideluje IP adresy klientom

ako to spolu suvisi?
mam tu zalozku DDNS - ale tam sa nastavuju nejaki predvoleni poskytovatelia + nejake provider URL a ziadna moznost ako  "own DNS" tu nie je.

este raz som si precital petrovu odpoved (nejdem mazat text hore): takze ja okrem DNS potrebujem aj vlastny DHCP server. v rootri potom nastavim IP adresu DHCP servera na tu skatulku a tym zaroven poviem rootru, ze tam je aj moj vlastny DNS? to sa mi zda divne, ale nemam s tym skusenosti, takze je mozne, ze to tak funguje.

FKoudelka

Re:HTTP/HTTPS vyhradne len s proxy
« Odpověď #6 kdy: 16. 04. 2021, 10:09:01 »
je to ZTE Speedport Entry 2i od telekomu. firewall pravidla predpokladam dokaze, ked je na nom pozne nastavit port forwarding. a ma to aj nastavenie DHCP - aktualne to smeruje sam na seba (192.168.1.1)

ale priznam sa, torchu sa v tom zacinam stracat: na zaciatku sme sa bavili o vlastnom DNS a teraz sa bavime o DHCP.

pre istotu:
DNS resolvuje domeny na ip adresy
DHCP prideluje IP adresy klientom

ako to spolu suvisi?
mam tu zalozku DDNS - ale tam sa nastavuju nejaki predvoleni poskytovatelia + nejake provider URL a ziadna moznost ako  "own DNS" tu nie je.

este raz som si precital petrovu odpoved (nejdem mazat text hore): takze ja okrem DNS potrebujem aj vlastny DHCP server. v rootri potom nastavim IP adresu DHCP servera na tu skatulku a tym zaroven poviem rootru, ze tam je aj moj vlastny DNS? to sa mi zda divne, ale nemam s tym skusenosti, takze je mozne, ze to tak funguje.
DHCP nepřiděluje stanici jen IP, taky options -  v základu adresy dns serverů a defaultní brány.
Ale je možné že ten router to neumí jinak než natvrdo a tak tu volbu nevidíte.
« Poslední změna: 16. 04. 2021, 10:13:22 od FKoudelka »

motyq

Re:HTTP/HTTPS vyhradne len s proxy
« Odpověď #7 kdy: 16. 04. 2021, 10:12:54 »
Bude vám stačit jen to vlastni DNS - používám https://adguard.com/cs/adguard-home/overview.html k plné spokojenosti na orangepi (raspberry pi).

Pokud váš router neumí měnit options pro DHCP, můžete se na jeho schopnosti vyignorovat a DHCP v něm vypnout úplně - ten adguard má v sobě i DHCP server.

FKoudelka

Re:HTTP/HTTPS vyhradne len s proxy
« Odpověď #8 kdy: 16. 04. 2021, 10:16:33 »
super, dakujem za tip, to ma nenapadlo, ale asi to bude este lepsie ako planovane riesenie.

Mohli by ste mi este zjednodusene popisat architekturu tohoto riesenia?

1) mam doma router
2) za nim (v internej sieti) bude asi potrebna nejaka "krabicka/raspberry/miniPC", kde bude bezat DNS server
3) ako vynutit pouzivanie mojho DNS servera na klientovi? aktualne nic nenastavujem, predpokladam, ze sa pouzivaju DNS servery od Telekomu.
Na widlích nemusíte brát adresu dns serveru z dhcp, i když máte vlastní IP z DHCP, ale pak ji musíte nastavit všude ručně na vlastnostech adapteru, což je z bláta do louže.

kvas

  • ***
  • 124
    • Zobrazit profil
    • E-mail
Re:HTTP/HTTPS vyhradne len s proxy
« Odpověď #9 kdy: 16. 04. 2021, 10:28:33 »
vacsinou su to Linux/Android zariadenia, takze riesenie len pre Win je pre mna nezaujimave. rovnako sa mi zda, ze ten adguard nebezi na linuxe - opat nevhodne.

prepokladajme ze:
1) router neumoznuje nastavit vlastny DNS
2) router umoznuje nastavit vlastny DHCP server

riesenie by teda bolo:
1) v krabicke rozbehnut DHCP + DNS
2) v routri nastavat IP adresu DHCP servera na tu krabicku, ktora bude mat zamozrejme staticku IP adresu
3) nasledne pride svokra na navstevu, pripoji sa telefonom do siete a automaticky sa jej nastavi vsetko tak, ze sa jej niektore domeny/reklamne nebudu zobrazovat (budu zakazane na tom DNS) = toto je ciel, samozrejme, ak uzna za vhodne, ze ich chce vidiet, tak si moze nastavit vlastny DNS, ako pise petr dole 

je to tak spravne?  ospravedlnujem sa za "navtrdlost",  chyba mi ten high level pohlad/architektura - tie detaily dole som uz schopny si dohladat.


bmn

  • ***
  • 169
    • Zobrazit profil
    • E-mail
Re:HTTP/HTTPS vyhradne len s proxy
« Odpověď #10 kdy: 16. 04. 2021, 10:30:14 »
... nainstalovat si v síti vlastní DNS ...
A nebude se náhodou vlastní DNS ignorovat kvůli DoH? Zatím, pokud vím, není DoH zapnuté by default (chrome, ff), ale usilovně se o to snaží. Pak by stejně byl nutný zásah do klientů (jim to povypínat). Proxy by byla jistota i do budoucna. Ideálně obojí, proxy i vlastní DNS.

kvas

  • ***
  • 124
    • Zobrazit profil
    • E-mail
Re:HTTP/HTTPS vyhradne len s proxy
« Odpověď #11 kdy: 16. 04. 2021, 10:43:52 »
k tej proxy som sa chcel vratit:

zatial sa mi toto riesenie s DNS/DHCP nezda jednoduchsie ako s tou proxy, rozvediem ako som to myslel s tou proxy.

ja som nechcel na tej proxy nechcel filtrovat HTTPS. chcel som tam iba do /etc/hosts nastavit sadu domen, ktore by sa resolvovali na 127.0.0.1 (ako to mam teraz na mojom pc) a tym padom by boli zablokovane aj na klientoch  - aspon predpokladam, ze to tak funguje.

Re:HTTP/HTTPS vyhradne len s proxy
« Odpověď #12 kdy: 16. 04. 2021, 10:54:48 »
Pokud v prohlížeči nakonfigurujete HTTP/HTTPS proxy, půjde provoz přes ní a i HTTPS můžete filtrovat na úrovni domén – i při HTTPS komunikaci přes proxy posílá prohlížeč proxy příkaz k navázání spojení s cílovým serverem, takže tam můžete přístup k doméně zablokovat.

Hromadně nastavit proxy pro celou síť je možné. Používá se k tomu protokol WPAD – prohlížeči je možné dát vědět přes DHCP nebo přes DNS, jaký proxy server má využívat. Ale závisí to na tom, že je v prohlížeči zapnuté automatické použití proxy serveru (což je snad ve všech prohlížečích výchozí nastavení). Vizte např. článek proxy auto-config na Wikipedii.

Re:HTTP/HTTPS vyhradne len s proxy
« Odpověď #13 kdy: 16. 04. 2021, 10:54:52 »
Verze s DNS a DHCP je mnohem jednodušší. DHCP není třeba instalovat, to už máte a v síti může být stejně jen jeden server. Tomu stačí změnit konfiguraci, aby předával info uživatelům, že DNS je teď jinde.

Na tom „jinde“ se nastaví DNS resolver, což je jednoduchá akce. V jeho konfiguraci se pak vyjmenují výjimky na zóny, které se budou odbavovat lokálně a budou prázdné. Je to jednoduché, používám to tak na blokování některých domén v síti. Na internetu se dají najít hotové seznamy domén rozesílajících reklamy. Stačí hledat „unbound adblock“.

kvas

  • ***
  • 124
    • Zobrazit profil
    • E-mail
Re:HTTP/HTTPS vyhradne len s proxy
« Odpověď #14 kdy: 16. 04. 2021, 11:02:41 »
Verze s DNS a DHCP je mnohem jednodušší. DHCP není třeba instalovat, to už máte a v síti může být stejně jen jeden server. Tomu stačí změnit konfiguraci, aby předával info uživatelům, že DNS je teď jinde.

Na tom „jinde“ se nastaví DNS resolver, což je jednoduchá akce. V jeho konfiguraci se pak vyjmenují výjimky na zóny, které se budou odbavovat lokálně a budou prázdné. Je to jednoduché, používám to tak na blokování některých domén v síti. Na internetu se dají najít hotové seznamy domén rozesílajících reklamy. Stačí hledat „unbound adblock“.

pocitovo mi to pride ako jednoduchsie riesenie, ale ako som spominal, na tom rootri zrejme nie je mozne zmenit info, kde sa nachadza DNS server a tym padom musim asi rozbehnut okrem DNS aj vlastny DHCP.

"Tomu stačí změnit konfiguraci, aby předával info uživatelům, že DNS je teď jinde." - toto je kamen urazu, nenasiel som v konfiguracii routra moznost, kde to zmenit.