|
Ключ
Эта строка удалена.
Это слово было удалено. Это слово было добавлено.
Эта строка добавлена.
|
Изменения (17)
просмотр истории страницы| *TO DO* |
| Если вы хотите фильтровать https сайты, либо фильтровать сайты, которые используют hsts [https://ru.wikipedia.org/wiki/HSTS] , то вы можете воспользоваться встроенным в Carbon Reductor https_proxy сервером. |
| |
| Внимание\! Ознакомьтесь с требованиями по внедрению перед началом работ, т.к. внедрение требует работы со всеми вашими абонентами\! |
| |
| Редуктор будет анонсировать свой ip для ресурсов, которые необходимо фильтровать через DNS либо через BGP, при этом абонентский трафик будет идти через редуктор. |
| |
| Как включить https_proxy: |
| Чтобы редуктор мог фильтровать сайты с включенным hsts, ему нужно иметь сертификат для каждого фильтруемого сайта, который абонентские устройства будут считать валидным. Самоподписные сертификаты не сработают (использование самоподписных сертификатов для фильтрации https сайтов без hsts планируем добавить в ближайшее время). Поэтому для работы требуется всем абонентам установить сертификат центра сертификации CarbonSoft в свой браузер (приложения для просмотра youtube на смартфонах и smartTV, которые мы проверяли, работали корректно и без установки сертификата). |
| |
| 1.Редуктор -> Настройка алгоритма фильтрации -> Фильтровать HSTS ресурсы через прокси = 1 |
| Сам сертификат можно скачать по адресу [http://reductor-ca.carbonsoft.ru/root-chain-cert.crt] |
| |
| 2. Редуктор -> Слать HSTS домены в прокси по DNS = 1 |
| Требуется организовать возможность оповещения абонентов с подробными инструкциями по настройке, например SMS. Встроенная страница с необходимой информацией в разработке. Свяжитесь с тех. поддержкой для предоставления необходимых инструкций. |
| |
| 3. Редуктор -> IP-адрес прокси-сервера - ip редуктора |
| В целях безопасности, корневой сертификат удостоверяющего центра не хранится на серверах редуктора, на нем хранится только временный сертификат на конкретные домены, в которых используется hsts и которые есть в списках Роскомнадзора. (сейчас там только youtube) |
| |
| 2. Включаем DNS-спуфинг |
| |
| Для работоспособности - CA-сертификат |
| h5. Как включить https_proxy: |
| |
| http://reductor-ca.carbonsoft.ru/root-chain-cert.crt {code} |
| {code} 1.Редуктор \-> Настройка алгоритма фильтрации \-> Фильтровать HSTS ресурсы через прокси = 1 2. Редуктор \-> Слать HSTS домены в прокси по DNS = 1 3. Редуктор \-> IP-адрес прокси-сервера - ip редуктора 4. Включаем DNS-спуфинг |