Iptables: фильтрующая строка, зашифрованная с помощью ssl

Question

Мне нужно отфильтровать (отправить в набор BANRULES) входящие пакеты http/https с определенной строкой (matchword). Я делаю это легко, когда ssl не используется (порт 80):

iptables -A INPUT -p tcp -m tcp --dport 80 -m string --string "matchword" --algo bm --to 65535 -j BANRULES

Но он не работает (из-за шифрования пакетов), когда используется ssl (порт 443):

iptables -A INPUT -p tcp -m tcp --dport 443 -m string --string "matchword" --algo bm --to 65535 -j BANRULES

Как я могу это сделать? Большое спасибо вам.

Answer 1

Если SSL полностью зашифрован ключами, к которым у вас нет доступа, и один из концов не в поле, из которого вы пытаетесь отфильтровать, то нет (эффективного) способа сделать это с помощью SSL. , Это точка шифрования.

Вы можете попытаться казнить человека в середине атаки против одного из концов соединения, но:

• Это может или не может быть незаконным, в зависимости от обстоятельств;
• Клиент может узнать о MITM, если сеанс HTTPS использует сшивание HSTS и OCSP;
• Без прямого контроля (административный /root-доступ) к клиенту или серверу было бы очень трудно успешно выполнить человека в средней атаке.

Как вы фильтруете SSL? Ну, у вас есть несколько вариантов:

• Получите законный административный /root-доступ к клиенту, серверу или обоим, и настройте их для принятия сертификата, для которого у вас есть закрытый ключ на вашем маршрутизаторе;
• Сделайте что-нибудь незаконное и / или морально предосудительное, например, MITM ничего не подозревающих пользователей;
• Докажите, что P = NP, а затем разработайте эффективный алгоритм для разложения целых чисел;
• Создавайте огромный центр обработки данных при грубом форсировании каждого зашифрованного блока (хотя мне жаль задержку ваших пользователей, хотя даже в лучшем случае);
• Попытайтесь проанализировать "форму" трафика (анализ формы трафика - Google it), чтобы определить, является ли это чем-то, что вы потенциально можете заблокировать; или моё предпочтительное решение:
• Не