webfilter numa rede com pfsense 2.4.5,
-
Pessoal, preciso de uma ajuda preciso de pro um webfilter numa rede com pfsense 2.4.5, o cenário é o seguinte esta rede é para ser usada por clientes em smartphones e tablets, como faço para bloquear o acesso a sites https sem instalar o certificado nos equipamentos?
estamos a pensar usar o e2guardian, mas estou bloqueado com o certificado.
Obrigado -
Boa tarde
Bloquear IOT é mais difícil, eu já tive sucesso com alguns tweaks, mas nunca ficou perfeito pois dependendo do fabricante e versão do equipamento, ele faz uma conexão a um site para testar a Internet e costuma aparecer "No internet" lá no simbolo do Wifi.
E também não dá para filtrar os sites por DNS pois equipamentos Android por exemplo, mesmo você distribuindo o servidor DNS por DHCP, eles insistem em usar o DNS do Google.
Quanto a IOT da Apple, eu não testei.Eu também nunca usei o e2guardian, sempre usei Squid e Squidguard, pois gosto de manter meu sistema sempre atualizado, e pacotes não oficiais as vezes atrapalham isso.
Mas aí é da sua preferência e infelizmente como não tenho experiência com esse aplicativo, eu não posso ajuda-lo.Eu recomendo Squid/SquidGuard, modo de proxy transparente, e com SPLICE all lá no Squid.
Observe através dos LOGS do Squidguard quais Sites o IOT tenta acessar para confirmar se o acesso a Internet está funcionando, e faça bypass desses sites.Eu usava isso em casa, e foi dor de cabeça pois até versões diferentes do Android fazem essa "checagem" de acesso a Internet em sites diferentes.
E dependendo de alguma atualização no Celular ou Tablet, você provavelmente terá que atualizar essa lista de bypass.
Edit: Além disso, tem algumas "novidades" que tem atrapalhado como DOH (DNS over HTTPS), e o QUIC, que podem bypassar ai a sua tentativa de filtrar.
-
@mcury
Boa tarde,Eu basicamente concordo contigo - usa o Squid + SquidGuard
as "novidades" podem ser manipuladas, por exemplo:
(Android é um animal separado)pfBlockerNG DoH list: https://heuristicsecurity.com/dohservers.txt
Quick protocol: (naturalmente implementado no pfSense): https://kb.fortinet.com/kb/documentLink.do?externalID=FD46676 -
Boa tarde
Vou seguir o vosso conselho e experimentar o Squid + SquidGuard
Obrigado
-
@alexnuluis
Bom diaisso ainda pode ser útil
https://forum.netgate.com/topic/100342/guide-to-filtering-web-content-http-and-https-with-pfsense-2-3 -
Nesse tutorial, eles usam WPAD, os IOT em sua grande parte não funcionam com arquivo PAC ou com proxy explícito.
Por isso, desde o início, falei para usar o proxy com modo transparente, e também com SPLICE ALL.
Splice ALL é para não haver necessidade de distribuir certificados, uma vez que você tb não vai conseguir fazer isso com os IOT...Em relação ao QUIC, simplesmente bloqueie a porta UDP 443.
Em relação ao DOH, não se preocupe pois você estará bloqueando não as solicitações de DNS, mas sim diretamente no cabeçalho HTTP.DOH seria caso você estivesse usando o pfBlocker dnsbl para o fim de fazer o filtro.
-
como também escrevi apenas como material suplementar, de uma maneira interessante, não como uma solução para o problema atual do OP
DoH = pfBlockerNG -devel (eu também já escrevi isso!)
Eu acho que o Quick também é claro -
@DaddyGo Entendo que você tenta ajudar, não foi uma crítica.
É sim um bom material para leitura, mas não se aplica a IOT. -
@mcury
Eu concordo
-
@DaddyGo :)
-
use o e2guardian sem fazer a interceptação ssl, vai fazer bloqueio por URI (dominio)
