Proxy transparente com certificado SSL
-
Mas seu problema é em configurar o proxy nas máquinas ou uma forma de instalar o certificado automaticamente?
WPAD é para entregar a configuração do proxy automaticamente.
Com GPO você poderia entregar a instalação do certificado para os usuários, se estiver usando Samba 4 ele pode fazer isso pra você facilmente.
Pelo que falou já tem Samba, então seria só migrar para a versão 4 e implantar.
-
Na verdade qualquer uma das duas opções atenderia. Se trata de uma escola que possui laboratórios de informatica para alunos. Cada aluno possui um login no Samba3, desta forma a cada momento é um usuário diferente logando no windows, impossibilitando a configuração de proxy em cada conta, seja instalação de certificado ou configuração de proxy do navegador.
Sobre o Samba4 não sabia que ele faz isso, vou pesquisar melhor sobre como ele trabalha também e analisar os riscos da migração em um ambiente em produção.
-
Você realmente precisa de interceptar o trafego SSL? Se não precisar pode usar proxy ativo e fazer os controles normalmente.
-
Você realmente precisa de interceptar o trafego SSL? Se não precisar pode usar proxy ativo e fazer os controles normalmente.
Sim realmente preciso porque tem muitas paginas que preciso bloquear que o pessoal acessa usando o HTTPS. Ai a solução que achei para isso foi certificado SSL ou configurar o proxy no navegador. Mas ainda não consegui achar a solução pra isso sem ter que configurar o certificado ou o proxy em cada conta de usuário. Levando em consideração que tenho que trabalhar em média com 3000 contas acessando 300 computadores em dias e horários diferentes, torna inviável a configuração em cada conta.
-
Para bloquear paginas HTTPs não precisa fazer interceptação. Pode fazer com proxy ativo (não transparente) com SquidGuard, mas neste caso precisa ou configurar o proxy manualmente no navegador ou fazer a configuração automática via WPAD por exemplo.
A interceptação é interessante em vários casos, mas se for somente para bloqueio não ha necessidade.
Pesquise no fórum, eu já respondi sobre isso em mais de um post. Se não encontrar avise.
-
Para bloquear paginas HTTPs não precisa fazer interceptação. Pode fazer com proxy ativo (não transparente) com SquidGuard, mas neste caso precisa ou configurar o proxy manualmente no navegador ou fazer a configuração automática via WPAD por exemplo.
A interceptação é interessante em vários casos, mas se for somente para bloqueio não ha necessidade.
Pesquise no fórum, eu já respondi sobre isso em mais de um post. Se não encontrar avise.
Primeiramente obrigado pela sua atenção!
Bom não achei nada sobre wpad no PfSense, se puder me indicar alguma fonte sobre wpad no PfSense e se não for pedir muito, em quais casos por exemplo seria mais viável usar a interceptação SSL?
Vlws
-
Pesquisa sobre WPAD DHCP.
Para Chrome e IE vc utiliza o Wpad no DHCP, para firefox vc utiliza via DNS.
Na minha opinião, Squid interceptando tráfego SSL é um tiro no pé.
-
Pesquisa sobre WPAD DHCP.
Para Chrome e IE vc utiliza o Wpad no DHCP, para firefox vc utiliza via DNS.
Na minha opinião, Squid interceptando tráfego SSL é um tiro no pé.
Com o que vc indicaria para interceptar SSL? já que squid não seria uma boa …
Vlww -
Proxy não transparente…
-
No firefox tem que configurar manualmente para aceitar automaticamente as configurações de proxy.
Amigo, como está a sua rede? Tem algum servidor DNS?? O WPAD é um script JS que você precisa hospedar em um server web e que responda na url http://wpad/wpad.dat…
Daí você bloqueia todo o acesso a porta 80 e 443, forçando a passagem pelo proxy e daí aplica as acls... -
No firefox tem que configurar manualmente para aceitar automaticamente as configurações de proxy.
Amigo, como está a sua rede? Tem algum servidor DNS?? O WPAD é um script JS que você precisa hospedar em um server web e que responda na url http://wpad/wpad.dat…
Daí você bloqueia todo o acesso a porta 80 e 443, forçando a passagem pelo proxy e daí aplica as acls...Mano eu tenho o WPAD instalado e funcionando em todos os navegadores. Sendo distribuído pelo o DNS forwarder do pfsense. Como resolveu muito e graças ao senhor Thomas Waldon a quem tenho que agradecer pela a consultoria dada a mim.
O meu proxy é ativo e bloqueio sem problemas o todas as paginas tanto as de navegação na porta 80 e de navegação segura 443.