PfSense CONTROL DE TRÁFICO HTTPS
-
Gracias solerjon por responder, tu resuesta me sirve de mucho, siendo así lo voy a hacer ahora mismo, me comentaste que usaste el MITM con el porxy pero por siacaso también con proxy transparente y tambien dime si lo usas con el "Diladele Web Safety", porque hay varios tutoriales que lo usan, tu lo manejas con el squidguard? y si así te bloquea el whatsup voy a hacerlo porque mis usuarios solo lo usan para ocio, ejjeej avísame si lo manejas con el squidguard, desde ya gracias.
-
Gracias amigo, pero como mi fw esta en producción y quisiera que me digas si a ti te funciona al 100% y si no tienes problemas, quedo a la espera de tu respuesta y muchas gracias por tu colaboración.
Efectivamente lo tengo funcionando en producción desde hace 3 meses y sin problemas, de hecho tengo la distribución del certificado Man in the Middle por GPO para los usuarios windows de mi RED, si tienes usuarios con Firefox debes agregar el certificado de forma manual.
El unico problema que he tenido es con el Whatsapp, no se pueden recibir/enviar archivos images o audios para los usuarios que nesecitan usarlo cree una regla para excluirlos del proxy; de momento es el unico issue que he tenido.
Saludos ,
Para el firefox hay plantillas gpo la cual te permite instalar los certificados
mira esto http://www.websense.com/content/support/library/web/hosted/getting_started/apply_policy.aspx
http://blog.techygeekshome.info/download/firefox-adm-group-policy-templates/
Para el Whatapp, configura en PackageProxy Server: General SettingsGeneral : Bypass Proxy for These Destination IPs
*dyn.web.whatsapp.com
a mi me funciona
Saludos
-
klausneil en realidad yo no uso el "Diladele Web Safety" solo seguí las instrucciones del tuto que comenté me pareció mas fácil, lo probé y funcionó al 100, de hecho estaba en tu misma situación con el Diladele, pero si no me equivoco eso se usaba porque habia una limitante en el pfsense, pero con las nuevas versiones se corrigió.
Tengo el servicio squidguard, pero no he terminado de aplicar las reglas para ponerlo en producción, en la misma pagina del tutorial hay un how to para el squidguard y con filtrado https, me cuentas como te va con la implementación suerte!!
Saludos
-
Saludos
si quieres controlar el trafico https, prueba con esta implementación https://forum.pfsense.org/index.php?topic=113441.0 ya lo realice y funciona perfecto.
-
Saludos solerjon, segui todo al pie de la letra, pero cuando accedo a las paginas https me bloquea no me permite acceder
-
klausneil, creaste el cetificado y lo instalaste en los equipos ? si no haces eso ningun usuario va a poder navegar, el browser saltará un mensaje que la pagina no es segura.
La clave está en los certificados, si creaste los certificados y los instalaste en los clientes, tu problema puede andar por otro lado.
-
Estimados. del apartado documentatión una guia para filtrar contenido http y https en pfsense 2.3 https://forum.pfsense.org/index.php?topic=112335.0
-
Saludos, el día de hoy volví a activar todo para enviar capturas de pantalla y resulta que ya esta funcionando con mi proxy transparente y filtra las reglas que establecí, pero en mi caso al ser un proxy transparente como podría aplicar el certificado de una manera automática sin ir sitio por sitio, pues no tengo directorio activo.
-
La verdad no se como distribuir el certificado sin AD, habría que googlear un poco para buscar una forma práctica sin tener que ir equipo por equipo, cuantos usuarios tienes ?
Saludos,
-
Yo he intentado diferentes maneras de habilitar el filtro https mediante squid y la que mejor resultado me dio fue instalar otra instancia de pfsense solamente con squid + squidguard (no transparente) y forzar el proxy de los usuarios mediante GPO a esta nueva instalación. De esta manera mantengo mi firewall limpio y manejo el proxy en una instalación completamente independiente.
-
Por le momento estoy intentando crear un servidor web en el cual alojar el certificado y crear un script que descargue dicho certificado en la ruta donde se almacenan los certificados, aunque solo es una idea voy a ver como me va pero si alguien tiene alguna mejor se lo agradeceria mucho.
