Squid & SquiGuard



  • Bom dia Galera, beleza ?
    Alguém saberia de um possível erro que o Squid e SquiGuard da em relação ao bloqueios de páginas HTTPS? Ele bloqueia algumas máquinas e outras ele libera, sendo que deixamos todas as máquinas com restrição de acesso.



  • Depende como está usado, se é transparente, ativo, como estão as regras de firewall…



  • Uso proxy transparente sem o SSL. Com bloqueio por ranger do facebook (HTTPS) e liberações de portas de e-mail.



  • Não uso proxy transparente, fico te devendo.



  • Você pode bloquear por range de IP, mas alguma coisa sempre acaba passando.

    Pegamos de exemplo o YOUTUBE:

    Alguns endereços dentro do range dele, aponta para o google.com, ou seja, aleatóriamente, você vai cair no bloqueio quando acessar o google.

    Uma forma de resolver 100%, seria com proxy ativo e WPAD (de uma forma que não precisa instalar certificado nos clientes).  8)

    Você pode seguir este meu guia e fazer um ambiente de testes para validar:

    https://forum.pfsense.org/index.php?topic=118346.0



  • Eu fiz o bloqueio do youtube aqui através do host dele, criei a aliase coloquei: youtube.com e o bloqueio dele acontece. Meu problema é que algumas máquinas o bloqueio com o SSL acontece e em outras simplesmente não acontece.



  • Cara atualmente uso proxy autenticado.

    Mas por muito tempo usei o transparente, uma dica muito boa para bloqueio de HTTPS.

    Em Firewall>>Rules(Regras)

    Cria Regras nessa ordem.

    Sempre tive 100% de exito, unico detalhe com alguns site que necessita serem liberados como os de Banco/Google, e a vezes esses site mudam de IP
    aí vc tem que ir nas Alies deles acrescentar o IP.



  • Exatamente. Eu já fiz isso também só que como tem vários sites com HTTPS eu prefiro deixar o squidguard fazer esse tipo de bloqueio pela a blacklist. O problema é que o squidguard não ta bloqueando alguns sites para alguns IP, ai nesse caso eu vou criando as target para bloqueios dela, entende?



  • Estou passando pelo mesmo problema na versão 2.3.2. Pelo que li a versão está com um bug. Quando é só squid bloqueia tranquilamente https e exibe a tela de aviso. Quando é squid+squidGuard bloqueia mas não exibe a tela de aviso e sim uma tela de erro de certificado.



  • Estou atualizando o meu pfsense para a uma recente atualização que saiu 2.3.2_1, vamos ver como vai ficar.



  • @claupers:

    Estou passando pelo mesmo problema na versão 2.3.2. Pelo que li a versão está com um bug. Quando é só squid bloqueia tranquilamente https e exibe a tela de aviso. Quando é squid+squidGuard bloqueia mas não exibe a tela de aviso e sim uma tela de erro de certificado.

    Amigo se vc usa proxy transparente, tanto o squid e o squidguard  não vai bloquear HTTPS



  • Oooh irmãozinho, pois como eu consigo bloqueia algumas páginas aqui então? Tem várias páginas que ele bloqueia direto sendo HTTPS.



  • @danilosv.03:

    Oooh irmãozinho, pois como eu consigo bloqueia algumas páginas aqui então? Tem várias páginas que ele bloqueia direto sendo HTTPS.

    Vc não possui regra para porta 443?



  • sim. Não é block e sim pass.



  • Pode ser isso o conflito.

    Sendo que em Rule vc libera a 443

    E no Squid vc tenta bloquear algum site que usa a porta 443, as vezes pode dar conflito.  (mas pode ser apenas hipótese)



  • Faz um grande sentido.
    Contrapartida o que eu entendo é o seguinte: se eu estou liberando a porta 443(HTTPS) e o squid e o squiguard faz o bloqueio por categoria e por palavra chave, os demais devem ficar liberados, correto? O Problema é que uns IP fica tudo liberado e outros não. Sendo que existe a regra de bloqueio em ambos pacotes com porn, socialnet etc, entende?



  • Nos meus servidores o uso proxy autenticado.

    Tenho SquidGuard para filtar palavras…... mas quando site é HTTPS  o SquidGuard não filtra.

    EX:  Eu digito porno,  se o site for HTTP tiver a palavra porno ele bloqueia 100%, se o site for HTTPS ele libera.  Esse é 1 ponto.

    Outro detalhe, se vc estiver usando o mesmo IP em vários grupos do SquidGuard, provavelmente não vai funcionar.

    Pelo menos com usuário do proxy isso não funciona.

    Verifica essas maquinas que não bloqueia e veja se o IP pertence a mais de 1 grupo do SquidGuard



  • Eu li vários tópicos em relação a esse tipo de bloqueio https. Talvez seja uma teoria valida se fosse nas versões anteriores. E nesses tópicos lá tinha que o SSL com o certificado nada mais era para efeito de uma página de bloqueio personalizada, ou seja sem o SSL no squid a página https ocorre um erro e não aparece sua pagina personalizada. Ex: a página aqui do uol (https) e globo (https) são bloqueada pelo o squidguard na categoria "news". Como o meu pf está fazendo este bloqueios então?

    Acho muito bonito esses pontos, nos dar muitos conhecimentos. E valeu por compartilhar suas experiências também.



  • Foi como eu disse no comentário acima.

    "se vc estiver usando o mesmo IP em vários grupos do SquidGuard, provavelmente não vai funcionar.

    Pelo menos com usuário do proxy autenticado isso não funciona."

    Mas blza..



  • Me explica que IP é esse que você está falando.



  • Na aba Grupo ACL, vc não colocar o IP pertencentes a cada Target???



  • Ahhhh! Nesse caso tem apenas um IP que é do meu mais nenhum. Isso seria a fonte do problema?



  • Sim, no caso de usuário do proxy autenticado, eu não posso repetir o mesmo usuário em outro Grupo ACL.



  • No meu caso o meu IP ta tanto no bypass quanto no grupo do squidguard. Tenho que remover esse IP do bypass?



  • Acredito que sim, se o IP precisa ser bloqueado.

    Não me lembro mas acho que o bypass é para acesso FULL. (sem restrição).



  • Exato. Então nesse caso vou retirar o meu IP do squidguard e deixar só no bypass.


Log in to reply