Bloquear todos sites HTTPS e liberar somente alguns.



  • Boa tarde! Estou começando com pfSense, gostaria de saber o que está errado em minhas regras para bloquear os sites https e liberar somente alguns. Fiz desta forma, mas sei que devem existir melhores formas, alguém pode sugerir alguma?

    No alias "sites_https" tem os sites que gostaria de liberar.



  • @freddd_:

    Boa tarde! Estou começando com pfSense, gostaria de saber o que está errado em minhas regras para bloquear os sites https e liberar somente alguns. Fiz desta forma, mas sei que devem existir melhores formas, alguém pode sugerir alguma?

    No alias "sites_https" tem os sites que gostaria de liberar.

    A melhora maneira e "menos dolorosa" pra mim é usando squid / squid guard com acls e tudo mais. Por regras vai ter que negar acesso a porta 443 (https) e no alias do PF incluir os ips dos sites https que vc quer liberar ou usar o FQDN e no alias setar para hosts, acho que é isso.



  • Então nas regras do firewall eu teria que deixar todo acesso a porta 443 liberado e no squidguard criar uma ACL com os sites que quero bloquear? isso?



  • @freddd_:

    Então nas regras do firewall eu teria que deixar todo acesso a porta 443 liberado e no squidguard criar uma ACL com os sites que quero bloquear? isso?

    sim, se vc bloquear as regras do pf vao prevalecer sobre o squid / squid guard.

    Se vc quiser bloquear todo o trafego https e liberar apenas algunas sites, teria que ir no squid na black list e colocar um "." coloque o ponto sem as aspas!

    Depois na White list ir liberando os sites que vc julgue necessario.



  • @roxton85:

    @freddd_:

    Então nas regras do firewall eu teria que deixar todo acesso a porta 443 liberado e no squidguard criar uma ACL com os sites que quero bloquear? isso?

    sim, se vc bloquear as regras do pf vao prevalecer sobre o squid / squid guard.

    Se vc quiser bloquear todo o trafego https e liberar apenas algunas sites, teria que ir no squid na black list e colocar um "." coloque o ponto sem as aspas!

    Depois na White list ir liberando os sites que vc julgue necessario.

    Fiz isso num hospital onde as atendentes somente tinham acesso aos sites de convenio e distribuidores e o restante bloqueado, senao fosse isso elas iriam priorizar o globo, fuxico, caras enquanto o cara  morria do outro lado para ser atendido.  Acho que nem precisei do squidguard.

    Da trabalho no inicio mais fica bem seguro assim.



  • @roxton85:

    @roxton85:

    @freddd_:

    Então nas regras do firewall eu teria que deixar todo acesso a porta 443 liberado e no squidguard criar uma ACL com os sites que quero bloquear? isso?

    sim, se vc bloquear as regras do pf vao prevalecer sobre o squid / squid guard.

    Se vc quiser bloquear todo o trafego https e liberar apenas algunas sites, teria que ir no squid na black list e colocar um "." coloque o ponto sem as aspas!

    Depois na White list ir liberando os sites que vc julgue necessario.

    Fiz isso num hospital onde as atendentes somente tinham acesso aos sites de convenio e distribuidores e o restante bloqueado, senao fosse isso elas iriam priorizar o globo, fuxico, caras enquanto o cara  morria do outro lado para ser atendido.  Acho que nem precisei do squidguard.

    Da trabalho no inicio mais fica bem seguro assim.

    Não sei se entendi corretamente, você disse que a regra que está definida no firewall prevalece ao que está configurado no squidguard.

    Desta forma, no meu entender eu deveria desabilitar minha regra que libera o acesso à 443 e lá em "Services > SquidGuard Proxy Filter > ACLs > Blacklist" inserir um "." (sem aspas) para BLOQUEAR todos os acessos? Aí adicionar todos os sites que julgo necessários em "Services > SquidGuard Proxy Filter > ACLs > Whitelist" por exemplo:

    uol.com.br
    bradesco.com.br
    hotmail.com



  • isso mesmo testa e posta o resultado.



  • A regra de firewall atinge a camada 3 e 4, enquanto o squid trabalha na camada 7.

    Se liberar na camada 3 e 4 acesso a qualquer 80 e 443 sem proxy, o squid não vai receber nada para analisar.



  • voce tem que bloquear o roteamento de HTTPS via regra de firewall, caso contrário as máquinas vão rotear pelo pfsense e nem vai passar pelo proxy (assumindo que você não use proxy transparente)

    acredito que a melhor maneira de você bloquear os sites seria bloquear portas HTTP e HTTP no firewall, assim,só conseguirão acessar utilizando o proxy.

    e NO proxy, fazer os bloqueios necessários


Log in to reply