Limitar download via webmail e Outlook
-
Boa tarde!
Verifiquei que o trafficMGMT do PFSense não limita o download de arquivos com mais de X mega (definidos em Maximum download size) pelo gmail ou no outlook.
Exemplo:
Configueirei meu PFSense para limitar o download para o maximo de 4000 kilobytes…
Acessando o baixaki.com.br e baixando um arquivo maior eu recebo uma mensagem informando que o arquivo é muito grande, porém pelo gmail consegui baixar arquivos de 8mega e pelo outlook idem....Meu pfsense esta configurado com proxy transparante.
Existe alguma maneira de limitar o download pelo webmail e outlook usando o pfsense?
-
Eu ainda não testei mas será que não é pq no gmail o protocolo é https ???? saindo por fora assim do squid…
-
Eu ainda não testei mas será que não é pq no gmail o protocolo é https ???? saindo por fora assim do squid…
Teoricamente solicitações https são enviadas via proxy e no caso de ser proxy transparente… toda solicitação chega como gtw e sai como proxy entao acho que nao tem nada a ver.
-
Eu ainda não testei mas será que não é pq no gmail o protocolo é https ???? saindo por fora assim do squid…
Teoricamente solicitações https são enviadas via proxy e no caso de ser proxy transparente… toda solicitação chega como gtw e sai como proxy entao acho que nao tem nada a ver.
Por partes…
A conexões HTTPS não são remanejadas automaticamente para o teu proxy (SQUID). Isso só acontece se você criar uma regra em "Lan RULES", direcionando as conexões TCP/443 para a porta na qual seu SQUID está escutando (default é 3128).
Como você faz isso: http://forum.pfsense.org/index.php/topic,38997.0.htmlContudo, após você implementar essas regras, o Squid deixa de ser um proxy transparente, forçando usuários a configurar o proxy em seus navegadores.
Ainda em tempo, você pode usar esta tática para resolver a questão do download de anexos via webmail (https). Contudo, para limitar via outlook (como o título do seu post menciona), a metodologia vai precisar ser outra - já que os e-mails chegam por default via POP3S (porta 995) - O que não tem relação nenhuma com o teu serviço de webproxy.
Abraços!
Jack -
… se você criar uma regra em "Lan RULES", direcionando as conexões TCP/443 para a porta na qual seu SQUID está escutando (default é 3128).
Como você faz isso: http://forum.pfsense.org/index.php/topic,38997.0.htmlContudo, após você implementar essas regras, o Squid deixa de ser um proxy transparente, forçando usuários a configurar o proxy em seus navegadores.
Eu conheço o autor desse texto:
http://forum.pfsense.org/index.php/topic,39327.msg202695.html#msg202695:o
Jack, coisas dessa natureza não são recomendáveis sem citação. Desculpe-me, não me leve a mal…
mas é mais do que necessário citar de onde veio a informação quando não foi você quem elaborou o texto.
Tenha isso em mente, antes que algo pior aconteça. Uma hora qualquer você utiliza esse artifício
num trabalho de escola, ou mesmo profissionalmente, e vai ter que arcar com as consequencias.
É um alerta para seu próprio bem.Fica em paz.
-
Eu conheço o autor desse texto:
http://forum.pfsense.org/index.php/topic,39327.msg202695.html#msg202695:o
Jack, coisas dessa natureza não são recomendáveis sem citação. Desculpe-me, não me leve a mal…
mas é mais do que necessário citar de onde veio a informação quando não foi você quem elaborou o texto.
Tenha isso em mente, antes que algo pior aconteça. Uma hora qualquer você utiliza esse artifício
num trabalho de escola, ou mesmo profissionalmente, e vai ter que arcar com as consequencias.
É um alerta para seu próprio bem.johnnybe,
Desculpe, mas isso parece ter sido mais uma INFELIZ conscidência do que qualquer outra coisa…
JAMAIS utilizo material de outra pessoa sem a devida citação... Contudo, o inverso, nem sempre é verdade. Sou professor universitário e tenho centenas de artigos publicados na web (em diversos sites, revistas digitais, etc...) e não raras vezes pego gente usando meu material sem QUALQUER citação!Sendo assim, desaconselho completamente esta prática (em outras palavras, concordo em gênero, número e grau com você). Respondi esta theard em questão com base em anotações pessoais. Talvez estas anotações tenham sido derivadas deste outro post que você citou (que aliás é de sua autoria, como você mesmo fez questão de frisar). Neste aspecto peço desculpas, já que não tive a menor intenção de "roubar" sua resposta.
Abraços!
Jack -
Eu ainda não testei mas será que não é pq no gmail o protocolo é https ???? saindo por fora assim do squid…
Teoricamente solicitações https são enviadas via proxy e no caso de ser proxy transparente… toda solicitação chega como gtw e sai como proxy entao acho que nao tem nada a ver.
Por partes…
A conexões HTTPS não são remanejadas automaticamente para o teu proxy (SQUID). Isso só acontece se você criar uma regra em "Lan RULES", direcionando as conexões TCP/443 para a porta na qual seu SQUID está escutando (default é 3128).
Como você faz isso: http://forum.pfsense.org/index.php/topic,38997.0.htmlContudo, após você implementar essas regras, o Squid deixa de ser um proxy transparente, forçando usuários a configurar o proxy em seus navegadores.
Ainda em tempo, você pode usar esta tática para resolver a questão do download de anexos via webmail (https). Contudo, para limitar via outlook (como o título do seu post menciona), a metodologia vai precisar ser outra - já que os e-mails chegam por default via POP3S (porta 995) - O que não tem relação nenhuma com o teu serviço de webproxy.
Abraços!
JackJack obrigado pelo esclarecimento… eu realmente acreditava que as conexões HTTP e HTTPS saiam via proxy.... bom.. isso explica bastante... agora vou ver aqui como eu posso fazer para direcionar o trafego vindo da porta 443 para o squid (porta 3128) para que essa solicitação seja feita como o proxy transparente. Seguindo essa logica posso direcionar o trafego da porta 995...110... e por ai vai para que "tudo" saia via proxy de maneira transparente para o usuario.
Muito obrigado.
-
Jack obrigado pelo esclarecimento… eu realmente acreditava que as conexões HTTP e HTTPS saiam via proxy.... bom.. isso explica bastante... agora vou ver aqui como eu posso fazer para direcionar o trafego vindo da porta 443 para o squid (porta 3128) para que essa solicitação seja feita como o proxy transparente. Seguindo essa logica posso direcionar o trafego da porta 995...110... e por ai vai para que "tudo" saia via proxy de maneira transparente para o usuario.
@Thiago L Oliveira,
Não é bem assim… O SQUID é fundamentalmente um webproxy. O objetivo dele é trabalhar com conexões HTTP e, conforme debatido neste post, com possibilidade de trabalhar também com HTTPS. A principal meta do SQUID é fornecer cache para agilizar e otimizar a navegação na web para redes de computadores e trabalhar com ACLs (listas de acesso => O que pode ou não ser acessado na web).
No entanto, o SQUID não tem por competência trabalhar com protocolos como o POP3 (TCP 110), IMAP (TCP 143), SMTP (TCP 25), etc... Não aconselho você forçar um redirect deste tipo de protocolo para o SQUID (TCP 3128). ;)
Abraços!
Jack
