Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Bloqueio HTTPS squid sem certificado, é possível?

    Scheduled Pinned Locked Moved
    Portuguese
    4
    6
    4.8k
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • C
      Cedriott
      last edited by

      Bom dia a todos!

      Tenho o PfSense + Squid + SquidGuard (transparente), e estou com sérios problemas para bloquear conteúdo HTTPS, tenho uma grande quantidade de usuários, e alguns deles em locais distantes interligados via Radio.

      A questão é: Tem algum modo de utilizar o modo HTTPS do Squid sem a necessidade de instalar o certificado em todas as estações?, meu maior problema é que são utilizados 3 navegadores e alguns dispositivos mobile, dificultando a instalação do mesmo.

      1 Reply Last reply Reply Quote 0
      • J
        jonathanalves
        last edited by

        Bom dia!

        A única forma de bloquear sites HTTPS com squid transparente e sem certificado é por regra de firewall.

        Isso acontece porque com o proxy marcado o navegador redireciona as requisições para o proxy nativamente, o que não acontece com o proxy transparente.

        O certificado funciona com a interceptação desse tráfego, não recomendo usá-lo o pois o certificado pode causar problemas em alguns sites e, além disso, não fica lá uma coisa transparente se você precisa instalar um certificado em cada dispositivo, né?

        Espero que tenha ajudado

        1 Reply Last reply Reply Quote 0
        • C
          Cedriott
          last edited by

          @jonathanalves:

          Bom dia!

          A única forma de bloquear sites HTTPS com squid transparente e sem certificado é por regra de firewall.

          Isso acontece porque com o proxy marcado o navegador redireciona as requisições para o proxy nativamente, o que não acontece com o proxy transparente.

          O certificado funciona com a interceptação desse tráfego, não recomendo usá-lo o pois o certificado pode causar problemas em alguns sites e, além disso, não fica lá uma coisa transparente se você precisa instalar um certificado em cada dispositivo, né?

          Espero que tenha ajudado

          Imaginei, sim, é como você disse, perde o sentido e em alguns testes que fiz causou muitos problemas.

          Minha vontade era bloquear todo o streaming, vejo então que o modo mais correto é encontrar a faixa de IPs dos sites mais acessados..

          Vou ter que lidar com o youtube, que com ele vai o google junto.

          Grato pela informação!

          1 Reply Last reply Reply Quote 0
          • D
            didonsom
            last edited by

            @Cedriott:

            @jonathanalves:

            Bom dia!

            A única forma de bloquear sites HTTPS com squid transparente e sem certificado é por regra de firewall.

            Isso acontece porque com o proxy marcado o navegador redireciona as requisições para o proxy nativamente, o que não acontece com o proxy transparente.

            O certificado funciona com a interceptação desse tráfego, não recomendo usá-lo o pois o certificado pode causar problemas em alguns sites e, além disso, não fica lá uma coisa transparente se você precisa instalar um certificado em cada dispositivo, né?

            Espero que tenha ajudado

            Imaginei, sim, é como você disse, perde o sentido e em alguns testes que fiz causou muitos problemas.

            Minha vontade era bloquear todo o streaming, vejo então que o modo mais correto é encontrar a faixa de IPs dos sites mais acessados..

            Vou ter que lidar com o youtube, que com ele vai o google junto.

            Grato pela informação!

            Já pensou em marcar proxy autenticado ? aqui eu uso dessa forma e com isso  consigo bloquear o trafego https sem a necessidade de ativar a interceptação SSL. A única coisa ruim é que em paginas HTTPS, a sgerror não é exibida, mas o bloqueio é realizado.

            Detalhe, se não quiser criar um script para setar nas maquinas as configurações do proxy, procure por wpad, com isso você cria um arquivo de configuração no pfsense e o navegador das estações identifica automaticamente o proxy.

            Seria um proxy autenticado "Transparente".

            Espero ter ajudado.

            Abraços,

            Diego

            1 Reply Last reply Reply Quote 0
            • JackLJ
              JackL
              last edited by

              Buenas!

              Pelo que entendi, seu cenário conta com muitas estações e o seu maior objetivo é filtrar conexões HTTPS de 'maneira transparente', mas sem fazer uso de instalação de certificados nos clientes, certo?!?

              Dentro deste contexto, é possível integrar o recurso de Captive Portal com o FreeRadius e Squid 3, de modo a autenticar transparentemente dispositivos da sua rede através dos seus respectivos MAC ADDRESS. Este recurso é ideal para quem quer manter proxy autenticado numa rede de grande porte ou com muita rotatividade (visitantes).

              Se você quiser, temos uma aula no Treinamento pfSense Intranet, gravada pelo marcelloc, demonstrando um passo-a-passo de como autenticar devices por MAC ao invés de autenticar por 'nome de usuário'.

              []`s
              Jack

              Treinamentos de Elite: http://sys-squad.com
              Soluções: https://conexti.com.br

              1 Reply Last reply Reply Quote 0
              • C
                Cedriott
                last edited by

                @JackL:

                Buenas!

                Pelo que entendi, seu cenário conta com muitas estações e o seu maior objetivo é filtrar conexões HTTPS de 'maneira transparente', mas sem fazer uso de instalação de certificados nos clientes, certo?!?

                Dentro deste contexto, é possível integrar o recurso de Captive Portal com o FreeRadius e Squid 3, de modo a autenticar transparentemente dispositivos da sua rede através dos seus respectivos MAC ADDRESS. Este recurso é ideal para quem quer manter proxy autenticado numa rede de grande porte ou com muita rotatividade (visitantes).

                Se você quiser, temos uma aula no Treinamento pfSense Intranet, gravada pelo marcelloc, demonstrando um passo-a-passo de como autenticar devices por MAC ao invés de autenticar por 'nome de usuário'.

                []`s
                Jack

                Rapaz, exatamente isso!

                Vou ver sobre esta aula, e estudar estes recursos!,

                Valeu!

                1 Reply Last reply Reply Quote 0
                • First post
                  Last post
                Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.