bloqueio de https

gustarissa
(usa Debian)

Enviado em 05/12/2011 - 14:53h

Olá galera do Vol, tenho squid transparente configurado no servidor, mas todas as maquinas acessam o https, mesmo que eu tenha bloqueado a palavra https no blacklist, alguém poderia me dar um help?

balani
(usa Slackware)

Enviado em 05/12/2011 - 15:41h

Vc já tentou colocar o nome do site que usa o https, por exemplo:

https://www.site.com.br

gustarissa
(usa Debian)

Enviado em 05/12/2011 - 15:57h

sim, coloquei como exemplo https://www.facebook.com, mas ele não bloqueia

balani
(usa Slackware)

Enviado em 06/12/2011 - 09:22h

tem como vc postar o conteudo do seu squid.conf, aqui, para a gente dar uma olhada.

viniciospbi
(usa Debian)

Enviado em 06/12/2011 - 10:23h

Amigo uma solução simples seria bloquear o protocolo 443 no iptables.
mas por outro lado vc não vai conseguir acessar outros sites que usam o https tipo;
sites de bancos, lojas virtuais etc.

Outro método e vc usar o squidguard ou o dansguardian e fazer bloqueio de conteúdo.

Squidguard

http://www.linuxparainiciante.wordpress.com/2011/12/06/instalando-o-squid/

Dansguardian

http://www.linuxparainiciante.wordpress.com/2011/12/06/dansguardian-filtrando-o-acesso-a-web/

davirodrigues
(usa Debian)

Enviado em 06/12/2011 - 11:14h

Vamos raciocinar um pouco sobre a questão certo?

1º. Se o Proxy é transparente tem então, tem uma regra no firewall que leva tudo que é acessado na porta http(80) para o squid, correto?

2º. Se tem essa tal regra então tem que enviar tudo que é https(443) também, ok?

Veja se fazendo isso apenas resolve!

balani
(usa Slackware)

Enviado em 06/12/2011 - 11:28h

Essa tecnica muitas vezes dá problema com sites de banco, porem há uma maneira de resolver, ativando o proxy nos navegadores.

davirodrigues
(usa Debian)

Enviado em 06/12/2011 - 11:35h

Exato, só que teria que retirar o proxy transparente, e dependendo do tamanho da rede do cara vai dar mais dor de cabeça ainda, eu utilizaria o iptables para me auxiliar nessa tarefa, liberando apenas os sites dos bancos, e o resto jogaria para o squid mesmo e deixaria ele transparente da mesma forma.

fica aew a dica!!!

viniciospbi
(usa Debian)

Enviado em 06/12/2011 - 12:12h

Eu consegui resolver esse problema aplicando filtro de conteúdo.

davirodrigues
(usa Debian)

Enviado em 06/12/2011 - 14:55h

Blz...!

É isso mesmo, como o nosso amigo comentou tem alguns bancos que trabalhão com a porta 443(https)

então vc vai ter que liberar no firewall esses sites de banco, ok?

Ex:

iptables -t nat -I PREROUTING -s 192.168.16.0/24 -d 200.200.200.200 -j ACCEPT

 

Obs: IP: 200.200.200.200/32 subistituir pelo ip do banco, criar essa regra para cada banco!

E não esquece marcar o tópico como resolvido e escolher a melhor resposta!!

flw..

balani
(usa Slackware)

Enviado em 06/12/2011 - 16:48h

Realmente! o uso do Dansguardian ou SquidGuard, se tornaria uma solução interessante, deixando ao squid somente o serviço de proxy.

gustarissa
(usa Debian)

Enviado em 07/12/2011 - 11:00h

Bom dia amigos, segui a dica do Davirodrigues, realmente bloqueou o https, mas tive problemas ao acessar os bancos e e-mails, usei as regras de iptables indicadas também pelo davirodrigues, mas ainda assim continuo com o problemas nos e-mails, resolvi instalar o Dansguardian, mas os sites ainda estão sendo barrados pelo squid, o squid está configurado como transparente, e usei a sequinte regra para mandar o trafego da 80 para 8080 iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT \
--to-port 8080 , cno arquivo dansguardian.conf, comentei o unconfigured deixei a porta como 8080 proxyip como 127.0.0.1 e proxyport como 3128, adicionei como teste o dominio facebook.com no blacklist, mas não está funcionando, oque pode ser?