Bloqueio https proxy transparente por horario
-
BBoa tarde a todos, sou novo no fórum e estou começando agora no mundo do Pfsense.
Seguindo vários tópicos consegui bloquear os sites pelo squidguard, mas não consegui bloquear o https, eu tenho a regra do bloquei https do facebook criada em alises, mas não me resolve porque preciso bloquear por horário então ela está desabilitada, também fiz a regra para bloquear as portas 80 e 443 em rules, mas ai todos os https não funcionam.
minha intenção é: bloquear as redes sociais durante o horário de trabalho,
Alguém pode me ajudar :x
a versão é: 2.1.3-RELEASE (amd64
-
Olá, bem vindo.
Eu uso Squid (ativo) com WPAD + SquidGuard, sem interceptar trafego HTTS, somente fazendo o bloqueio criando uma Target no SquidGuard, lá também você pode definir os horários. -
Olá, bem vindo.
Eu uso Squid (ativo) com WPAD + SquidGuard, sem interceptar trafego HTTS, somente fazendo o bloqueio criando uma Target no SquidGuard, lá também você pode definir os horários.Obrigado pela ajuda amigo,
mas infelizmente não sei o que é o WPAD, teria um tutorial ou algo falando sobre ?
e se eu ativar isso, minha blacklist do squidguard vai conseguir bloquear os HTTPS é isso? -
Cria uma schedule, nas regras do firewall, do horário que você quer bloquear. Simples.
O ruim é que vai ter que fazer no SquidGuard e no firewall, mas funciona.
Olha os prints que eu anexei, é bem o que tu precisa.
 -
Cria uma schedule, nas regras do firewall, do horário que você quer bloquear. Simples.
O ruim é que vai ter que fazer no SquidGuard e no firewall, mas funciona.
Olha os prints que eu anexei, é bem o que tu precisa.
VLWW manoo, é bem isso ai…
mas ai vou ter que criar regras pra todos os sites https, por exemplo o twitter.
vc teria algum site que descobre os hosts ?
-
Fazer todas estas regras por firewall para mim não compensa. Melhor trabalhar com Proxy Ativo que todos os bloqueios que precisa podem ser feitos no SquidGuard usando as categorias que existem nas BlackLists ou criar uma categoria e colocar os dominios.
WPAD é um forma simples e automática de entregar aos navegadores as configurações de proxy sem ter a necessidade de configurar manualmente em cada estação.
http://www.pfsense-br.org/blog/2013/12/configuracao-wpad-no-pfsense-2-1/Obviamente que é necessário somente liberar o trafego das portas necessárias, desligar a regra padrão que habilita todo tráfego, uma regra para cada serviço: DNS, NTP, Proxy, etc…
-
Sempre implementei proxy transparente justamente pra não me incomodar configurando proxy manual. Já conhecia o WPAD, porém, ainda não testei.
Vou fazer em um ambiente de teste aqui.
Mas aí vc precisa usar o squid3, com ssl pra bloquear os https, né?
-
VLWW manoo, é bem isso ai…
mas ai vou ter que criar regras pra todos os sites https, por exemplo o twitter.
vc teria algum site que descobre os hosts ?
Sim, vai ter que incluir as redes dos serviços que você quer bloquear. Essa é a parte chata e que exige mais tempo e também uma manutenção eventual, já que tem horas que os ips mudam e começa a bloquear outros sites que vc não queria.
Também atente pra não colocar uma máscara muito baixa. Por preguiça, já fiz isso. Ex.: a rede que precisava bloquear era x.y.z.0/24, depois outra x.y.w.0/24 aí eu fazia uma regra bloqueando a rede x.y.0.0/16. E muitos sites dentro desse range eram bloqueados também.
Tem aqui no forum alguns range de ips do Facebook e do Whatsapp. Twitter não lembro de ter visto.
Mas esses ips volta e meia estão mudando, ainda mais por causa da maioria dos serviços estar em clouds que são dinâmicas.
Uma outra dica pra 'garimpar' por onde os usuários estão 'escapando' nas regras é usar o TCP View¹. Abre ele em uma máquina da rede e vai abrindo os sites que você quer bloquear, ele mostra em qual ip e porta está conectando, aí você faz a regra, aplica e testa novamente. E por aí vai…. são horas de 'pura diversão'... hehehe
¹ http://technet.microsoft.com/en-us/sysinternals/bb897437.aspx
-
Mas aí vc precisa usar o squid3, com ssl pra bloquear os https, né?
Uso sim o Squid3-dev por achar melhor e mais rapido, mas não faço interceptação de SSL, o Squid + SquidGuard vão bloquear pela URL e não precisa ter acesso ao conteúdo. O único ponto que não fica, digamos estiticamente bom é que as paginas em HTTPS não vão apresentar a tela de bloqueio, vai aparecer que o site não está disponível, na pratica o resultado é o mesmo.
-
Mas aí vc precisa usar o squid3, com ssl pra bloquear os https, né?
Uso sim o Squid3-dev por achar melhor e mais rapido, mas não faço interceptação de SSL, o Squid + SquidGuard vão bloquear pela URL e não precisa ter acesso ao conteúdo. O único ponto que não fica, digamos estiticamente bom é que as paginas em HTTPS não vão apresentar a tela de bloqueio, vai aparecer que o site não está disponível, na pratica o resultado é o mesmo.
Entendi, mas esse bloqueio de https você faz pelo squidGuard ou pelo firewall?
-
SquidGuard normalmente, pois como te falei vai pegar a URL não o conteúdo.
-
SquidGuard normalmente, pois como te falei vai pegar a URL não o conteúdo.
Estou fazendo uns testes aqui e vi o bloqueio. Bem interessante. O problema é instalar o certificado nas máquinas.
-
Estou fazendo uns testes aqui e vi o bloqueio. Bem interessante. O problema é instalar o certificado nas máquinas.
Mas que certificado? Não precisa de certificado.
-
Fazer todas estas regras por firewall para mim não compensa. Melhor trabalhar com Proxy Ativo que todos os bloqueios que precisa podem ser feitos no SquidGuard usando as categorias que existem nas BlackLists ou criar uma categoria e colocar os dominios.
WPAD é um forma simples e automática de entregar aos navegadores as configurações de proxy sem ter a necessidade de configurar manualmente em cada estação.
http://www.pfsense-br.org/blog/2013/12/configuracao-wpad-no-pfsense-2-1/Obviamente que é necessário somente liberar o trafego das portas necessárias, desligar a regra padrão que habilita todo tráfego, uma regra para cada serviço: DNS, NTP, Proxy, etc…
Estou tentando seguir o tutorial, entrei via ssh, entrei no shell, mas quando do o comando aparece a mensagem: /usr/local/www/wpad.dat command not found.
entrei na pasta www dei um ls e realmente não criou os arquivos
e em relação a excluir a regra que libera o tráfego todo, quais serviços eu teria que libera para liberar a navegação, teria um print dessas regras =x
-
Fazer todas estas regras por firewall para mim não compensa. Melhor trabalhar com Proxy Ativo que todos os bloqueios que precisa podem ser feitos no SquidGuard usando as categorias que existem nas BlackLists ou criar uma categoria e colocar os dominios.
WPAD é um forma simples e automática de entregar aos navegadores as configurações de proxy sem ter a necessidade de configurar manualmente em cada estação.
http://www.pfsense-br.org/blog/2013/12/configuracao-wpad-no-pfsense-2-1/Obviamente que é necessário somente liberar o trafego das portas necessárias, desligar a regra padrão que habilita todo tráfego, uma regra para cada serviço: DNS, NTP, Proxy, etc…
Estou tentando seguir o tutorial, entrei via ssh, entrei no shell, mas quando do o comando aparece a mensagem: /usr/local/www/wpad.dat command not found.
entrei na pasta www dei um ls e realmente não criou os arquivos
e em relação a excluir a regra que libera o tráfego todo, quais serviços eu teria que libera para liberar a navegação, teria um print dessas regras =x
Você pode primeiro criar um arquivo, editar o conteúdo, depois duplicar ele, modificando o nome. É o básico na parte de lidar com arquivos.
Receita de bolo:Vai no diretório /usr/local/www, cria o arquivo:
Pra criar pode usar touch wpad.dat.
Depois edita com ee wpad.dat
Joga o conteúdo pra dentro do arquivo observando pra ver se não apareceu nenhum caractere estranho junto (comigo aconteceu na 1ª vez). Salva.
Depois copia esse arquivo, renomeando para os outros nomes:
cp wpad.dat wpad.da
cp wpad.dat proxy.pacOBS.:
Até ontem, não tinha conseguido fazer funcionar. Pingava no wpad mas não pegava o script.
Hoje consegui fazer funcionar porque desconfiei daquele apontamento no dns, que no tutorial dizia wpad.empresa.local. Já que meu host não é este.
Alterei pra wpad.nome.do.meu.host e aí começou a funcionar.
#ficadica -
Fazer todas estas regras por firewall para mim não compensa. Melhor trabalhar com Proxy Ativo que todos os bloqueios que precisa podem ser feitos no SquidGuard usando as categorias que existem nas BlackLists ou criar uma categoria e colocar os dominios.
WPAD é um forma simples e automática de entregar aos navegadores as configurações de proxy sem ter a necessidade de configurar manualmente em cada estação.
http://www.pfsense-br.org/blog/2013/12/configuracao-wpad-no-pfsense-2-1/Obviamente que é necessário somente liberar o trafego das portas necessárias, desligar a regra padrão que habilita todo tráfego, uma regra para cada serviço: DNS, NTP, Proxy, etc…
Estou tentando seguir o tutorial, entrei via ssh, entrei no shell, mas quando do o comando aparece a mensagem: /usr/local/www/wpad.dat command not found.
entrei na pasta www dei um ls e realmente não criou os arquivos
e em relação a excluir a regra que libera o tráfego todo, quais serviços eu teria que libera para liberar a navegação, teria um print dessas regras =x
Você pode primeiro criar um arquivo, editar o conteúdo, depois duplicar ele, modificando o nome. É o básico na parte de lidar com arquivos.
Receita de bolo:Vai no diretório /usr/local/www, cria o arquivo:
Pra criar pode usar touch wpad.dat.
Depois edita com ee wpad.dat
Joga o conteúdo pra dentro do arquivo observando pra ver se não apareceu nenhum caractere estranho junto (comigo aconteceu na 1ª vez). Salva.
Depois copia esse arquivo, renomeando para os outros nomes:
cp wpad.dat wpad.da
cp wpad.dat proxy.pacOBS.:
Até ontem, não tinha conseguido fazer funcionar. Pingava no wpad mas não pegava o script.
Hoje consegui fazer funcionar porque desconfiei daquele apontamento no dns, que no tutorial dizia wpad.empresa.local. Já que meu host não é este.
Alterei pra wpad.nome.do.meu.host e aí começou a funcionar.
#ficadicaconsegui pingar wpad.meuhost.com.br, e joguei o ip do meu firewall/wpad.dat e baixou um arquivo.
acho que deu certo né?
oque mais tenho que fazer agora?
preciso de uma força na parte de liberação dos serviços na lan
ficaria grato se alguém poder me ajudar -
pass * * * LAN Address 443 80 22 * * Anti-Lockout Rule
IPv4 TCP/UDP LAN net * LAN address 53 (DNS) * none
IPv4 TCP LAN net * LAN address 3128 * none
IPv4 TCP LAN net * LAN address 3129 * none
IPv4 TCP LAN net * * 21 (FTP) * none
essas são as regras que criei pra teste, mas quando eu ativo elas e desativo as que libera tudo, alguns sites http funcionam tipo: globo.com, youtube.com,
os sites https não funcionaram nenhum.
eu desabilitei todas as regras do squid pra teste.
-
Fez as configurações no dns server também?
As estações estão com dhcp ativado, ou é manual?
-
Fez as configurações no dns server também?
As estações estão com dhcp ativado, ou é manual?
fiz o dns forwader e o boot/DHCP adicional
as maquinhas estão com DHCP ativo
-
Cria uma schedule, nas regras do firewall, do horário que você quer bloquear. Simples.
O ruim é que vai ter que fazer no SquidGuard e no firewall, mas funciona.
Olha os prints que eu anexei, é bem o que tu precisa.
VLWW manoo, é bem isso ai…
mas ai vou ter que criar regras pra todos os sites https, por exemplo o twitter.
vc teria algum site que descobre os hosts ?
Eu tenho uma regra de horários no Schedules para liberar acesso ao facebook e twitter.
12h - 14h - liberado
17:30 - 9h(outro dia) - liberadoFora disso permanece bloqueado.
Você pode usar esse site aqui http://bgp.he.net/ para descobrir quais ip's de determinados sites você quer, pois você irá precisar deles para criar seu ALIASES para aplicar na regra do schedules.
;)