• Categories
  • Recent
  • Tags
  • Popular
  • Users
  • Search
  • Register
  • Login
Netgate Discussion Forum
  • Categories
  • Recent
  • Tags
  • Popular
  • Users
  • Search
  • Register
  • Login

Como bloquear todas as portas HTTPS

Scheduled Pinned Locked Moved Portuguese
26 Posts 6 Posters 13.3k Views
Loading More Posts
  • Oldest to Newest
  • Newest to Oldest
  • Most Votes
Reply
  • Reply as topic
Log in to reply
This topic has been deleted. Only users with topic management privileges can see it.
  • J
    johnnybe
    last edited by Nov 14, 2011, 9:32 PM Nov 14, 2011, 9:25 PM

    Para ser mais explícito, as regras na LAN devem ficar parecidas com a imagem anexa abaixo.
    Mas vou chamar novamente atenção para suas configurações em System: Advanced: Admin Access. Muita atenção à Anti-Lockout Rule.

    Obs: Usando Squid transparente funciona.

    block_https.jpg
    block_https.jpg_thumb

    you would not believe the view up here

    1 Reply Last reply Reply Quote 0
    • V
      vhugojr
      last edited by Nov 16, 2011, 12:51 AM

      Otimo, jhonnybe, consegui bloquear o https, agora seguindo o seu tutorial ao contrario, vou desbloqueando os serviços https necessários na rede. Obrigado mais uma vez pela ajuda, abraços.

      1 Reply Last reply Reply Quote 0
      • V
        vhugojr
        last edited by Nov 16, 2011, 1:48 AM

        E ai meu caro Jhonnybe, após realizar alguns testes, realmente ir liberando determinados serviços https me ajudou, mas surgiu um problema que ainda não consegui resolver. Ao bloquear a porta https, não consigo logar no msn, nem pelo windows live messenger, mas se eu desabilito essa regra, ele loga normalmente, vc poderia me ajudar nesse procedimento, pois preciso liberar o msn para determinados ip´s.

        1 Reply Last reply Reply Quote 0
        • R
          renkx
          last edited by Nov 16, 2011, 10:44 AM

          Saudações vhugojr,

          Cara, seguinte, sei que existem um monte de sites que usam potocolo HTTPS que a gente não gostaria dos usuarios utilizando eles em nossa rede, por exemplo alguns servidores alguns proxys que a galera usa por ai…porém, tem muita coisa extremamente util que esta mudando para HTTPS por questões de segurança, por causa de encriptação e bla bla bla.

          Assim sendo, deixo apenas uma idéia pra vc avaliar, será que vale mesmo a pena bloquear TODOS os sites HTTPS, ou fazer um levantamento dos que vc não quer, e usar uma regra de firewall com um alias para um bloqueio mais específico?

          1 Reply Last reply Reply Quote 0
          • M
            marcelloc
            last edited by Nov 16, 2011, 11:15 AM

            @vhugojr:

            E ai meu caro Jhonnybe, após realizar alguns testes, realmente ir liberando determinados serviços https me ajudou, mas surgiu um problema que ainda não consegui resolver. Ao bloquear a porta https, não consigo logar no msn, nem pelo windows live messenger, mas se eu desabilito essa regra, ele loga normalmente, vc poderia me ajudar nesse procedimento, pois preciso liberar o msn para determinados ip´s.

            Eu acho que o msn nao esta logando por conta do squid.

            Da uma olhada nos logs do squid.

            Se o msn estiver indo para https, o impspector morre de vez.

            Treinamentos de Elite: http://sys-squad.com

            Help a community developer! ;D

            1 Reply Last reply Reply Quote 0
            • F
              felipeortega
              last edited by Nov 16, 2011, 12:44 PM

              :D
              Prezado @vhugojr realmente ao fechar todas as conexões HTTPS acaba rolando um stress básico. Segue um link que na época me ajudou bastante só liberar o necessário que o MSN logara normalmente.

              http://support.microsoft.com/kb/960820/pt-br

              "As pessoas raramente reconhecem a oportunidade porque ela surge disfarçada em trabalho árduo."

              1 Reply Last reply Reply Quote 0
              • V
                vhugojr
                last edited by Nov 16, 2011, 5:31 PM

                Pois é meu caro renkx, eu até pensei nisso, mas existe alguns clientes que realmente, sempre tem aquele funcionario espertinho que consegue acessar algum serviço não autorizado pelo https, por isso resolvi tomar essa atitude de bloquear todos os serviços e ir desbloqueando só o necessário. Só que, por experiência própria, realmente as vezes fica enviavel, pois toda hora vai ter alguem do cliente me ligando pra desbloquear um ou outro serviço que eles precisarem. Realmente vou pensar seriamente em deixar tudo liberado os https, e ir criando aliases para bloquear serviços indesejáveis como redes sociais e mensageiros. Por enquanto agradeço a dica abraço.

                1 Reply Last reply Reply Quote 0
                • M
                  marcelloc
                  last edited by Nov 16, 2011, 7:53 PM

                  @vhugojr:

                  Pois é meu caro renkx, eu até pensei nisso, mas existe alguns clientes que realmente, sempre tem aquele funcionario espertinho que consegue acessar algum serviço não autorizado pelo https, por isso resolvi tomar essa atitude de bloquear todos os serviços e ir desbloqueando só o necessário. Só que, por experiência própria, realmente as vezes fica enviavel, pois toda hora vai ter alguem do cliente me ligando pra desbloquear um ou outro serviço que eles precisarem. Realmente vou pensar seriamente em deixar tudo liberado os https, e ir criando aliases para bloquear serviços indesejáveis como redes sociais e mensageiros. Por enquanto agradeço a dica abraço.

                  Descordo 100% com essa atitude de não bloquear porque dá trabalho.

                  Trazendo para o mundo real, você está dizendo que desconsidera a possibilidade de trancar seu carro porque toda vez que fosse abrir ou fechar você teria o trabalho de usar a chave enquanto o ladrão não precisaria dela para te furtar o bem.

                  É triste ver administradores de firewall fazendo isso.

                  Treinamentos de Elite: http://sys-squad.com

                  Help a community developer! ;D

                  1 Reply Last reply Reply Quote 0
                  • J
                    johnnybe
                    last edited by Nov 16, 2011, 9:36 PM

                    @marcelloc:

                    @vhugojr:

                    Pois é meu caro renkx, eu até pensei nisso, mas existe alguns clientes que realmente, sempre tem aquele funcionario espertinho que consegue acessar algum serviço não autorizado pelo https, por isso resolvi tomar essa atitude de bloquear todos os serviços e ir desbloqueando só o necessário. Só que, por experiência própria, realmente as vezes fica enviavel, pois toda hora vai ter alguem do cliente me ligando pra desbloquear um ou outro serviço que eles precisarem. Realmente vou pensar seriamente em deixar tudo liberado os https, e ir criando aliases para bloquear serviços indesejáveis como redes sociais e mensageiros. Por enquanto agradeço a dica abraço.

                    Descordo 100% com essa atitude de não bloquear porque dá trabalho.

                    Trazendo para o mundo real, você está dizendo que desconsidera a possibilidade de trancar seu carro porque toda vez que fosse abrir ou fechar você teria o trabalho de usar a chave enquanto o ladrão não precisaria dela para te furtar o bem.

                    É triste ver administradores de firewall fazendo isso.

                    E a polêmica está lançada!  :D

                    Oras bolas! Se dá trabalho, ótimo pra quem realiza o trabalho. O custo é de quem paga, quem realiza ganha o seu pão de cada dia.
                    Deixa dar trabalho, desde que tenha ficado bem claro o propósito da regra criada e sua extensão (por escrito e assinada por ambas as partes). Se alguém chamar para liberar isso ou aquilo, que pague pelo chamado extra. Pode chamar dez vezes! Vinte é melhor.  ;D

                    Afinal, quem é o Admin da Rede? O patrão?

                    Patrão - "Quero que libere tudo que é software de bate-papo para o pessoal da diretoria e da administração direta."
                    Admin da rede - "Yes, Sir… mas veja que..."
                    Patrão - interrompendo - "Faça o que pedi!!!"
                    Admin da rede - intimidado - "Yes, Sir!"

                    Dois dias depois "alguém da diretoria" confessa que pegou um vírus depois de fazer download de um arquivo via MSN.
                    E o patrão chama o Admin da Rede:

                    Patrão - "Porque você não me avisou que isso poderia pegar vírus? Bloqueia tudo e só deixa eu. E tira o vírus da máquina! Não vou pagar o serviço porque você não me avisou!"

                    ::)

                    you would not believe the view up here

                    1 Reply Last reply Reply Quote 0
                    • V
                      vhugojr
                      last edited by Nov 17, 2011, 12:17 AM

                      Ok aceito a crítica construtiva, realmente eu teria uma boa resposta para essa sua afirmação que dizendo que é "triste ver adminstradores agirem deste jeito …", mas realmente não estou aqui para discutir como se deve ou não ser um administrador de redes, estou neste fórum apenas para sanar minhas duvidas técnicas em relação a configuração do pfsense. Agradeço a dica, mas estarei encerrando este tópico e brevemente postarei outro me expressando melhor, pois acho que a culpa foi minha mesmo de não formular a pergunta correta.

                      Agradeço a todos que colaboraram neste tópico e até uma próxima, abraços a todos.

                      1 Reply Last reply Reply Quote 0
                      • J
                        johnnybe
                        last edited by Nov 20, 2011, 6:13 PM Nov 20, 2011, 5:50 PM

                        @vhugojr:

                        E ai meu caro Jhonnybe, após realizar alguns testes, realmente ir liberando determinados serviços https me ajudou, mas surgiu um problema que ainda não consegui resolver. Ao bloquear a porta https, não consigo logar no msn, nem pelo windows live messenger, mas se eu desabilito essa regra, ele loga normalmente, vc poderia me ajudar nesse procedimento, pois preciso liberar o msn para determinados ip´s.

                        Esse tutorial Bloquear e liberar HTTPS no pfSense vai ajudar bastante para o que você pretende. Há uma Nota2, após o passo nº.5 do tutorial, que contém informações sobre esse procedimento para liberar apenas determinados IPs.

                        you would not believe the view up here

                        1 Reply Last reply Reply Quote 0
                        • V
                          vhugojr
                          last edited by Nov 21, 2011, 6:59 PM

                          Ok Jhonnybe, eu vi o tutorial e vou testar aqui, e depois posto pra dizer o resultado, obrigado pela força.

                          1 Reply Last reply Reply Quote 0
                          • A
                            amaica
                            last edited by Mar 9, 2012, 1:17 AM

                            Ola vhugojr conseguiu liberar o msn/hotmail? eu também barrei o https foi uma otima solução, mas não consigo liberar o site do hotmail e msn…ja fiz uma busca no site "Hurricane Electric Internet Services" peguei todos os networks do hotmail....e nada.

                            1 Reply Last reply Reply Quote 0
                            • M
                              marcelloc
                              last edited by Mar 9, 2012, 12:32 PM Mar 9, 2012, 1:24 AM

                              Procure por um documento da Microsoft que informa os hosts que são utilizados no msn e hotmail.

                              Ele já foi postado aqui no forum e tenho certeza que o Google também pode ajudar. ;)

                              No alias, inclua o nome dos hosts que você encontrar.

                              Att,
                              Marcello Coutinho

                              Treinamentos de Elite: http://sys-squad.com

                              Help a community developer! ;D

                              1 Reply Last reply Reply Quote 0
                              • A
                                amaica
                                last edited by Mar 9, 2012, 11:44 AM

                                mas alguem passou por esse problema?

                                1 Reply Last reply Reply Quote 0
                                • F
                                  felipeortega
                                  last edited by Mar 9, 2012, 12:03 PM

                                  :-[ Neste mesmo post já postei o link da Microsoft mostrando portas e urls utilizadas, mas vou passar uma lista mais atualizada que a anterior que eu postei http://support.microsoft.com/kb/2027572 .

                                  "As pessoas raramente reconhecem a oportunidade porque ela surge disfarçada em trabalho árduo."

                                  1 Reply Last reply Reply Quote 0
                                  • M
                                    marcelloc
                                    last edited by Mar 9, 2012, 12:35 PM

                                    Valeu Felipe pelo link.

                                    A dificuldade é somente com os hosts que tem *.alguma.coisa. Cadastre todos os outros hosts(sem o https://) e veja se funciona.

                                    Treinamentos de Elite: http://sys-squad.com

                                    Help a community developer! ;D

                                    1 Reply Last reply Reply Quote 0
                                    • A
                                      amaica
                                      last edited by Mar 9, 2012, 6:21 PM

                                      Fiz um aliase com os hosts que estão na lista da microsoft acima exceto os com o *. alguma coisa…e liberei https para este aliase...a pagina do hotmail abriu mas nao o msn. Obrigado a todos.

                                      1 Reply Last reply Reply Quote 0
                                      • A
                                        amaica
                                        last edited by Mar 9, 2012, 6:46 PM

                                        Funcionou beleza pessoal revisei os hosts…da minha parte ta resolvido
                                        Abraço

                                        1 Reply Last reply Reply Quote 0
                                        • A
                                          amaica
                                          last edited by Mar 12, 2012, 10:02 PM

                                          Ola pessoal to precisando de uma dica, não consigo liberar no firewall o site "wwws.cnpq.br " , será que é por causa do "wwws"?  pesquisei no http://bgphe.net/ a network do site mas ele não libera.

                                          1 Reply Last reply Reply Quote 0
                                          • First post
                                            Last post
                                          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.
                                            This community forum collects and processes your personal information.
                                            consent.not_received