Squid não bloqueia HTTPS

willrodrigues
(usa Debian)

Enviado em 19/09/2014 - 11:39h

Pessoal, bom dia. Tenho um proxy funcionando perfeitamente na borda da minha rede. Ele bloqueia todas as portas de conexão exceto as que preciso: 3389,22 e por ai vai. É transparente e gerencia minha rede inteira. Também faz um bloqueio por palavras e libero apenas alguns mac address para passar batido.
Porém eu estou com um problemasso, ele não bloqueia o youtube e o facebook em suas conexões ssl (https) e eu pesquisei muito aqui no VOL e não consegui nenhuma regra satisfatória.
Por favor pessoal, poderiam me ajudar a bloquear o facebook e o youtube?
Uma grande observação: Eu tenho uma regra no iptables recusando essas conexões, porem ele recusa da rede inteira já que está na borda. E tem um departamento que precisa ter o face liberado e os outros não. Então eu desativei e coloquei no proxy (bloqueio por palavras) para bloquear, porem as https não. Se tivesse um jeito de eu habilitar a exclusão dentro do iptables alguns mac address para não bloquear o facebook também resolveria.

Muito obrigado pela ajuda de vocês.

eduardo
(usa Linux Mint)

Enviado em 19/09/2014 - 13:44h

Cara, a única forma de tu fazer isso é configurar o proxy nas máquinas, ou realizar as liberações e bloqueios de HTTP via iptables. Não funciona o proxy transparente para HTTPS.

janduy
(usa CentOS)

Enviado em 19/09/2014 - 16:01h

Tem como bloquear via IPTABLES, cara muito simples.

Cria as regras de FORWARD dos ips liberados para acesso pela porta 443 Ex: "facebook.com" e bloqueia o resto, eu utilizo dessa forma e funciona.

l0g1in
(usa FreeBSD)

Enviado em 19/09/2014 - 22:17h

Bom da pra fazer o bloqueio pelo iptables e pelo o Squid, que acho mais facil de gerenciar essa regra de bloqueio, pois sempre tem alguém que é permitido acessar o dito cujo. o teste foi feito na versão 3 do squid portanto não sei se na versão 2 vai funcionar.

Esse bloqueio consiste na seguinte forma, fazer os bloqueio por dominio e negar a resposta para o dominio na porta https.

Primeiro passo é criar as acl do tipo dstdomain.

acl fb dstdomain .facebook.com
acl fb dstdomain .facebook.com.br
acl fb dstdomain .pt-br.facebook.com
acl fb2 dstdomain www.facebook.com
acl fb2 dstdomain www.facebook.com.br
acl fb2 dstdomain www.pt-br.facebook.com

# Libera Facebook no horario do almoço.
acl officetime time MTWHFA 12:00-13:30

# Aqui vem as ordens dos http_access que vai liberar ou não, dependo da ordem, se você quiser liberar pra alguém pode fazer por mac, ip, ou usuario, claro antes de negar o site terá que terá que liberar pra quem voce que acesse caso contrario irá negar pra todos.

http_reply_access deny fb fb2 sua_rede officetime
http_access deny CONNECT fb fb2 sua_rede officetime

Nesse caso funciona para todos os sites que usam https, claro os que estão nesse lista, bancos continuaram acesso normal, o mesmo pode ser feito para youtube, twitter etc...

Qualquer zica posta ai. :D