Proxy https - 443

andersoncarlo
(usa Ubuntu)

Enviado em 03/10/2011 - 10:08h

Bom dia pessoal !

Seguinte, tô com um problema aqui na empresa que não consegui resolver e tá me dando uma bela dor de cabeça, vejam se vcs podem me ajudar.

Uso proxy transparente, e ele não barra a porta 443 de sites seguros com endereço httpS, ou seja, bancos , sites governamentais , e muitos serviços on line, essa porta é liberada pelo squid por padrão e ele não controla mesmo, só a porta 80 que é http.

Acontece que o facebook e outros sites estão conseguindo passar pelo proxy porquê alguns usuários descobriram esse "atalho" , é só digitarem https://www.facebook.com (observem o "s" após o http) que conseguem entrar e usar normalmente, não sei se vcs passam pelo mesmo problema.

Não posso barrar essa porta 443 senão ninguém consegue acessar os sites que citei acima, vcs sabem uma forma de barrar só o acesso ao facebook por essa porta? sem ter que transformar meu proxy em autenticado? já tentei iptables de várias formas que inclusive li aqui no site, e em outros mas não consegui.

Uso ubuntu !

Valeu pessoal...

andersoncarlo
(usa Ubuntu)

Enviado em 03/10/2011 - 10:12h

Encontrei até esse script, ele funciona mesmo?

FACEBOOK_ALLOW="192.168.1.12 192.168.1.14 192.168.1.111"
iptables -N FACEBOOK

iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range 66.220.144.0-66.220.159.255 --dport 443 -j FACEBOOK
iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range 69.63.176.0-69.63.191.255 --dport 443 -j FACEBOOK
iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range 204.15.20.0-204.15.23.255 --dport 443 -j FACEBOOK
iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range 66.220.144.0-66.220.159.255 --dport 80 -j FACEBOOK
iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range 69.63.176.0-69.63.191.255 --dport 80 -j FACEBOOK
iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range 204.15.20.0-204.15.23.255 --dport 80 -j FACEBOOK

## FACEBOOK ALLOW
for face in $FACEBOOK_ALLOW; do
iptables -A FACEBOOK -s $face -j ACCEPT
done
iptables -A FACEBOOK -j REJECT

eritonalmeida
(usa Debian)

Enviado em 03/10/2011 - 12:27h

proxy transparente e HTTPS, esquece! só funciona com HTTP.

qxada07
(usa Slackware)

Enviado em 03/10/2011 - 14:09h

As regras de iptables acima deve funcionar.

andersoncarlo
(usa Ubuntu)

Enviado em 03/10/2011 - 14:53h

Ok, mas essa parte abaixo, eu coloco os ips liberados, é isso?

||
||
\/

FACEBOOK_ALLOW="192.168.1.12 192.168.1.14 192.168.1.111"
iptables -N FACEBOOK

andersoncarlo
(usa Ubuntu)

Enviado em 03/10/2011 - 14:54h

pq na verdade eu já tenho restrição pra facebook no meu arquivo de lista negra, que tem acl criada no squid !

thi
(usa Ubuntu)

Enviado em 03/10/2011 - 15:41h

Cara,

Você esta com o mesmo problema que eu, não sei se viu o meu tópico.

As regras funcionam sim, porém não sei pq se perdem depois de um tempo, resumindo: NÃO ADIANTA NADA....

O problema é que não achamos a regra certa. Proxy transparent e https funcionam sim. Só que só funciona pelo IPTables, o squid nem adianta tentar que não pega. Já bloqueei diversos sites https através do iptables.

Só não dei sorte de conseguir essa regra pro facebook...

wesleya2
(usa Debian)

Enviado em 04/10/2011 - 17:23h

eu não uso transparente.
mas gostaria de saber pq o transparente não pega o https.
a forma de bloqueio não é a mesma?