Porta 443 [RESOLVIDO]

Esta "solução" transforma o squid em um "homem do meio".

Impensável!

Impraticável!

Os usuários abaixo do proxy passariam a receber certificados inválidos e teriam que sempre aceitar um certificado falso (o que está cada vez mais burocrático nos navegadores atuais).

Foi como eu disse na explicação destaque: não dá. O squid teria que virar um atacante "homem do meio"

Ja sei que voce disse que com squid transparente não ha como bloquear sites em https. Venho lhe pedir uma ajuda de como farei para bloquear o mesmo.

Eu tive o problema parecido, na verdade no meu caso eu teria que bloquear por horário. Logo os usuários descobriram que colocar um s no http poderia fazer eles acessarem o facebook sem problemas nenhum.

Eu tentei bloquear pelo endereço facebook.com, mas acabou que todas as páginas que tinham "eu curto" do facebook foram bloqueadas (globo.com, r7.com, etc.).

Então encontrei vários artigos falando sobre o módulo string e o módulo time do iptables. Eis que ficou perfeito:

# Bloqueio do Facebook da 07:30 às 11:45 e das 13:30 às 17:45
iptables -t filter -I FORWARD -p tcp --dport 443 -m string --algo bm --string "facebook.com" -m time --timestart 07:30 --timestop 11:45 -j DROP
iptables -t filter -I FORWARD -p tcp --sport 443 -m string --algo bm --string "facebook.com" -m time --timestart 07:30 --timestop 11:45 -j DROP
iptables -t filter -I FORWARD -p tcp --dport 443 -m string --algo bm --string "facebook.com" -m time --timestart 13:30 --timestop 17:45 -j DROP
iptables -t filter -I FORWARD -p tcp --sport 443 -m string --algo bm --string "facebook.com" -m time --timestart 13:30 --timestop 17:45 -j DROP

http://djosino.blogspot.com.br/2012/03/entendendo-e-configurando-squid.html

Como o Elgio falou não funciona, pois ao fazer isso, o squid não sabe lidar com os sertificados ssl. Se colocar o proxy no navegador, ai tu consegue fazer com que seja resolvido o ssl. Mas aplicações que tenham na rede que não passe pelo navegador, vão dar problema. No caso tive problema com o sistema da empresa, que tentava acessar o site do sefaz, via 443.







A solução mais viável foi a que o talis informou acima.
Segue o que foi dito pelo talis:

Eu tive o problema parecido, na verdade no meu caso eu teria que bloquear por horário. Logo os usuários descobriram que colocar um s no http poderia fazer eles acessarem o facebook sem problemas nenhum.

Eu tentei bloquear pelo endereço facebook.com, mas acabou que todas as páginas que tinham "eu curto" do facebook foram bloqueadas (globo.com, r7.com, etc.).

Então encontrei vários artigos falando sobre o módulo string e o módulo time do iptables. Eis que ficou perfeito:

# Bloqueio do Facebook da 07:30 às 11:45 e das 13:30 às 17:45
iptables -t filter -I FORWARD -p tcp --dport 443 -m string --algo bm --string "facebook.com" -m time --timestart 07:30 --timestop 11:45 -j DROP
iptables -t filter -I FORWARD -p tcp --sport 443 -m string --algo bm --string "facebook.com" -m time --timestart 07:30 --timestop 11:45 -j DROP
iptables -t filter -I FORWARD -p tcp --dport 443 -m string --algo bm --string "facebook.com" -m time --timestart 13:30 --timestop 17:45 -j DROP
iptables -t filter -I FORWARD -p tcp --sport 443 -m string --algo bm --string "facebook.com" -m time --timestart 13:30 --timestop 17:45 -j DROP

Mas como colocariamos uma excessão nesta regra? Minha rede é subnetada e preciso que determinadas ranges estejem liberadas.

# Bloqueio do Facebook da 07:30 às 11:45 e das 13:30 às 17:45
iptables -t filter -I FORWARD -p tcp --dport 443 -m string --algo bm --string "facebook.com" -m time --timestart 07:30 --timestop 11:45 -j DROP
iptables -t filter -I FORWARD -p tcp --sport 443 -m string --algo bm --string "facebook.com" -m time --timestart 07:30 --timestop 11:45 -j DROP
iptables -t filter -I FORWARD -p tcp --dport 443 -m string --algo bm --string "facebook.com" -m time --timestart 13:30 --timestop 17:45 -j DROP
iptables -t filter -I FORWARD -p tcp --sport 443 -m string --algo bm --string "facebook.com" -m time --timestart 13:30 --timestop 17:45 -j DROP

bom realmente essa regra é funcional.
mas como usá-la...colocando um ip pra poder usar o facebook, ou um determinado range, que possivelmente poderá obrigatoriamente usar o facebook, e outros não poderam ter acesso?

tentei colocar uma exceção (!), em uma regra anterior, mas não resolveu.
Quando consigo bloquear...é geral, mas preciso realmente de exceções, ou seja, o gerente tem que usar! Os funcionários não podem.

Que q eu faço?

Também fiquei na duvida.

Alguem pode ajudar?

vlw

Amigo eu fiz essa regra!!! no que posso te ajudar? posso tirar suas duvidas? en ultomo caso posso fazer outrar conf.!!!

Amigo o colega aqui deu uma explicação que pode ajuda-lo
http://tech-linux.blogspot.com.br/2012/05/bloqueando-o-facebook.html

Um arquivo com regras de bloqueios so pra https...
coloca o caminho dele no seu script de firewall....

FAÇA O BLOQUEIO USANDO RANGE...
PRIMEIRA LINHA...BLOQUEIA TODO MUNDO, ATÉ O IP FINAL 13.
SEGUNDA LINHA,FINAL 14 E 15 LIBERADO.
TERCEIRA LINHA, FINAL 43 LIBERADO.
QUARTA LINHA, FINAL 178 LIBERADO.
FOI A MELHOR FORMA QUE CONSEGUI...TOTALMENTE FUNCIONAL...
TROQUE A PALAVRA FACEBOOK, PELA STRING NECESSARIA...


iptables -I FORWARD -m iprange --src-range 192.168.2.2-192.168.2.13 -m string --algo bm --string "facebook.com" -j DROP
iptables -I FORWARD -m iprange --src-range 192.168.2.16-192.168.2.42 -m string --algo bm --string "facebook.com" -j DROP
iptables -I FORWARD -m iprange --src-range 192.168.2.44-192.168.2.177 -m string --algo bm --string "facebook.com" -j DROP
iptables -I FORWARD -m iprange --src-range 192.168.2.179-192.168.2.254 -m string --algo bm --string "facebook.com" -j DROP

É simples, tu pode liberar tudo para um ip (mas tudo mesmo), farei a liberação para o ip 10.1.1.223:
#iptables -t filter -I FORWARD -d 10.1.1.223 -j ACCEPT
#iptables -t filter -I FORWARD -s 10.1.1.223 -j ACCEPT
(Coloque estas duas linhas no final da lista de regras do fireall, pode fazer para quantos IPs você querer)

Mas se tu quer liberar para uma pessoa apenas o facebook, sem desproteger o computador (com a regra acima tu libera tudo, até torrent e emule), coloque o "!". Ex.

#iptables -t filter -I FORWARD ! -d 10.1.1.223 -p tcp --dport 443 -m string --algo bm --string "facebook.com" -m time --timestart 07:30 --timestop 11:45 -j DROP
#iptables -t filter -I FORWARD ! -s 10.1.1.223 -p tcp --sport 443 -m string --algo bm --string "facebook.com" -m time --timestart 07:30 --timestop 11:45 -j DROP

tu pode trocar por uma rage de IPs, basta fazer o calculo da mascara. Onde tu usaria "! -d 10.1.1.223" tu colocar "! -d 10.1.1.0/255.255.255.192". Nesta faixa, todos os ips entre 10.1.1.1 ao 10.1.1.62 estarão exclusos do bloqueio da regra.