(Untitled)

[cat_mucius]

В продолжение мечтаний:

Вот интересно, существует ли на белом свете сетевая хреновина типа файерволла, умеющая обрабатывать исходящий HTTPS-трафик следующим образом:
1. Ответить на попытку установить TCP-соединение на любой адрес - от имени этого адреса.
2. Получить от юзера пакет "Client Hello", прочесть оттуда хостнейм из поля SNI - сегодня его

Comments

[beldmit]

Это малварь бороть? Вообще это заведомо делает Великий Китайский Firewall, но вряд ли эта информация поможет :)

[cat_mucius]

Скорее, для того, чтобы открывать доступ на разные облачные сервисы - обычным файерволлом это делать всё сложнее и сложнее. Примитивнейший пример - если я хочу, чтобы станции качали Windows updates, мне надо либо:

- забить в файерволл все возможные диапазоны адресов, в которых могут сидеть соответствующие сервисы Микрософта (а они могут измениться в любой момент),

- прописать все возможные хосты на файерволле как FQDN-объекты - но они могут быть заранее и неизвестны, как те же хосты под *.windowsupdate.com. Тут ещё отдельная радость в том, что облачные сервисы резолвятся разными DNS-серверами в разные наборы адресов в разные промежутки времени, поэтому запросто возможна ситуация, когда станция обращается на хост по IP1, а файерволл этот же адрес резолвнул в IP2,IP3,IP4 и поэтому соединение блокируется.

- использовать прокси, который позволяет текстовую обработку destination - поскольку станции будут обращаться на прокси с запросами вида:
CONNECT download.windowsupdate.com:443 HTTP/1.1
и тогда можно их ограничить по *.windowsupdate.