Bloqueio https proxy transparente por horario
-
Mas aí vc precisa usar o squid3, com ssl pra bloquear os https, né?
Uso sim o Squid3-dev por achar melhor e mais rapido, mas não faço interceptação de SSL, o Squid + SquidGuard vão bloquear pela URL e não precisa ter acesso ao conteúdo. O único ponto que não fica, digamos estiticamente bom é que as paginas em HTTPS não vão apresentar a tela de bloqueio, vai aparecer que o site não está disponível, na pratica o resultado é o mesmo.
Entendi, mas esse bloqueio de https você faz pelo squidGuard ou pelo firewall?
-
SquidGuard normalmente, pois como te falei vai pegar a URL não o conteúdo.
-
SquidGuard normalmente, pois como te falei vai pegar a URL não o conteúdo.
Estou fazendo uns testes aqui e vi o bloqueio. Bem interessante. O problema é instalar o certificado nas máquinas.
-
Estou fazendo uns testes aqui e vi o bloqueio. Bem interessante. O problema é instalar o certificado nas máquinas.
Mas que certificado? Não precisa de certificado.
-
Fazer todas estas regras por firewall para mim não compensa. Melhor trabalhar com Proxy Ativo que todos os bloqueios que precisa podem ser feitos no SquidGuard usando as categorias que existem nas BlackLists ou criar uma categoria e colocar os dominios.
WPAD é um forma simples e automática de entregar aos navegadores as configurações de proxy sem ter a necessidade de configurar manualmente em cada estação.
http://www.pfsense-br.org/blog/2013/12/configuracao-wpad-no-pfsense-2-1/Obviamente que é necessário somente liberar o trafego das portas necessárias, desligar a regra padrão que habilita todo tráfego, uma regra para cada serviço: DNS, NTP, Proxy, etc…
Estou tentando seguir o tutorial, entrei via ssh, entrei no shell, mas quando do o comando aparece a mensagem: /usr/local/www/wpad.dat command not found.
entrei na pasta www dei um ls e realmente não criou os arquivos
e em relação a excluir a regra que libera o tráfego todo, quais serviços eu teria que libera para liberar a navegação, teria um print dessas regras =x
-
Fazer todas estas regras por firewall para mim não compensa. Melhor trabalhar com Proxy Ativo que todos os bloqueios que precisa podem ser feitos no SquidGuard usando as categorias que existem nas BlackLists ou criar uma categoria e colocar os dominios.
WPAD é um forma simples e automática de entregar aos navegadores as configurações de proxy sem ter a necessidade de configurar manualmente em cada estação.
http://www.pfsense-br.org/blog/2013/12/configuracao-wpad-no-pfsense-2-1/Obviamente que é necessário somente liberar o trafego das portas necessárias, desligar a regra padrão que habilita todo tráfego, uma regra para cada serviço: DNS, NTP, Proxy, etc…
Estou tentando seguir o tutorial, entrei via ssh, entrei no shell, mas quando do o comando aparece a mensagem: /usr/local/www/wpad.dat command not found.
entrei na pasta www dei um ls e realmente não criou os arquivos
e em relação a excluir a regra que libera o tráfego todo, quais serviços eu teria que libera para liberar a navegação, teria um print dessas regras =x
Você pode primeiro criar um arquivo, editar o conteúdo, depois duplicar ele, modificando o nome. É o básico na parte de lidar com arquivos.
Receita de bolo:Vai no diretório /usr/local/www, cria o arquivo:
Pra criar pode usar touch wpad.dat.
Depois edita com ee wpad.dat
Joga o conteúdo pra dentro do arquivo observando pra ver se não apareceu nenhum caractere estranho junto (comigo aconteceu na 1ª vez). Salva.
Depois copia esse arquivo, renomeando para os outros nomes:
cp wpad.dat wpad.da
cp wpad.dat proxy.pacOBS.:
Até ontem, não tinha conseguido fazer funcionar. Pingava no wpad mas não pegava o script.
Hoje consegui fazer funcionar porque desconfiei daquele apontamento no dns, que no tutorial dizia wpad.empresa.local. Já que meu host não é este.
Alterei pra wpad.nome.do.meu.host e aí começou a funcionar.
#ficadica -
Fazer todas estas regras por firewall para mim não compensa. Melhor trabalhar com Proxy Ativo que todos os bloqueios que precisa podem ser feitos no SquidGuard usando as categorias que existem nas BlackLists ou criar uma categoria e colocar os dominios.
WPAD é um forma simples e automática de entregar aos navegadores as configurações de proxy sem ter a necessidade de configurar manualmente em cada estação.
http://www.pfsense-br.org/blog/2013/12/configuracao-wpad-no-pfsense-2-1/Obviamente que é necessário somente liberar o trafego das portas necessárias, desligar a regra padrão que habilita todo tráfego, uma regra para cada serviço: DNS, NTP, Proxy, etc…
Estou tentando seguir o tutorial, entrei via ssh, entrei no shell, mas quando do o comando aparece a mensagem: /usr/local/www/wpad.dat command not found.
entrei na pasta www dei um ls e realmente não criou os arquivos
e em relação a excluir a regra que libera o tráfego todo, quais serviços eu teria que libera para liberar a navegação, teria um print dessas regras =x
Você pode primeiro criar um arquivo, editar o conteúdo, depois duplicar ele, modificando o nome. É o básico na parte de lidar com arquivos.
Receita de bolo:Vai no diretório /usr/local/www, cria o arquivo:
Pra criar pode usar touch wpad.dat.
Depois edita com ee wpad.dat
Joga o conteúdo pra dentro do arquivo observando pra ver se não apareceu nenhum caractere estranho junto (comigo aconteceu na 1ª vez). Salva.
Depois copia esse arquivo, renomeando para os outros nomes:
cp wpad.dat wpad.da
cp wpad.dat proxy.pacOBS.:
Até ontem, não tinha conseguido fazer funcionar. Pingava no wpad mas não pegava o script.
Hoje consegui fazer funcionar porque desconfiei daquele apontamento no dns, que no tutorial dizia wpad.empresa.local. Já que meu host não é este.
Alterei pra wpad.nome.do.meu.host e aí começou a funcionar.
#ficadicaconsegui pingar wpad.meuhost.com.br, e joguei o ip do meu firewall/wpad.dat e baixou um arquivo.
acho que deu certo né?
oque mais tenho que fazer agora?
preciso de uma força na parte de liberação dos serviços na lan
ficaria grato se alguém poder me ajudar -
pass * * * LAN Address 443 80 22 * * Anti-Lockout Rule
IPv4 TCP/UDP LAN net * LAN address 53 (DNS) * none
IPv4 TCP LAN net * LAN address 3128 * none
IPv4 TCP LAN net * LAN address 3129 * none
IPv4 TCP LAN net * * 21 (FTP) * none
essas são as regras que criei pra teste, mas quando eu ativo elas e desativo as que libera tudo, alguns sites http funcionam tipo: globo.com, youtube.com,
os sites https não funcionaram nenhum.
eu desabilitei todas as regras do squid pra teste.
-
Fez as configurações no dns server também?
As estações estão com dhcp ativado, ou é manual?
-
Fez as configurações no dns server também?
As estações estão com dhcp ativado, ou é manual?
fiz o dns forwader e o boot/DHCP adicional
as maquinhas estão com DHCP ativo
-
Cria uma schedule, nas regras do firewall, do horário que você quer bloquear. Simples.
O ruim é que vai ter que fazer no SquidGuard e no firewall, mas funciona.
Olha os prints que eu anexei, é bem o que tu precisa.
VLWW manoo, é bem isso ai…
mas ai vou ter que criar regras pra todos os sites https, por exemplo o twitter.
vc teria algum site que descobre os hosts ?
Eu tenho uma regra de horários no Schedules para liberar acesso ao facebook e twitter.
12h - 14h - liberado
17:30 - 9h(outro dia) - liberadoFora disso permanece bloqueado.
Você pode usar esse site aqui http://bgp.he.net/ para descobrir quais ip's de determinados sites você quer, pois você irá precisar deles para criar seu ALIASES para aplicar na regra do schedules.
;)
-
Cria uma schedule, nas regras do firewall, do horário que você quer bloquear. Simples.
O ruim é que vai ter que fazer no SquidGuard e no firewall, mas funciona.
Olha os prints que eu anexei, é bem o que tu precisa.
VLWW manoo, é bem isso ai…
mas ai vou ter que criar regras pra todos os sites https, por exemplo o twitter.
vc teria algum site que descobre os hosts ?
Eu tenho uma regra de horários no Schedules para liberar acesso ao facebook e twitter.
12h - 14h - liberado
17:30 - 9h(outro dia) - liberadoFora disso permanece bloqueado.
Você pode usar esse site aqui http://bgp.he.net/ para descobrir quais ip's de determinados sites você quer, pois você irá precisar deles para criar seu ALIASES para aplicar na regra do schedules.
;)
Vlw pela ajuda ai mano, mas agora estou tentando bloquear pelo proxy transparente, pq quando eu bloqueio pelo firewall ele só diz que a pagina está fora, e eu quero redirecionar ou deixar uma mensagem quando a pagina for bloqueada.
-
O proxy transparente não intercepta https. Ou tira do transparente ou vai ter que fazer pelo firewall.
Tô testando um servidor com proxy não transparente e wpad. Está funcionando bem. Bloqueia tudo que eu marco no squidguard, http e https. Os bloqueios https não aparece a mensagem, mas ao meu ver, o que importa é o bloqueio, não a mensagem.
-
O proxy transparente não intercepta https. Ou tira do transparente ou vai ter que fazer pelo firewall.
Tô testando um servidor com proxy não transparente e wpad. Está funcionando bem. Bloqueia tudo que eu marco no squidguard, http e https. Os bloqueios https não aparece a mensagem, mas ao meu ver, o que importa é o bloqueio, não a mensagem.
Exatamente o que tento dizer em vários posts e o pessoal não entende.
Não precisa interceptar o trafego HTTPS para bloquear sites, basta ter proxy ativo e não permitir as portas 80 e 443 e pronto. -
Tomas, uma dúvida me surgiu agora:
Qual a maneira mais prática pra fazer o pessoal que acessa por wifi em celular acessar a Internet?
Estou ativando um proxy não transparente, com wpad. -
Nos celulares vai ter que informar o proxy manualmente, não encontrei forma de fazer funcionar por WPAD.
Parece que tem alguma cosia com os navegadores móveis. -
Pessoal, agora está acontecendo uma coisa muito estranha.
ativei o loadbalance, tenho duas internet aqui, quando retiro a principal (wan2) a secundaria assume (wan1)
mas quando a wan1 assume todos os sites http estão bloqueados, e os https funcionam, desativei tudo na black list já, e quando ta na wan2 funciona normal.