Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Bloquear todos sites HTTPS e liberar somente alguns.

    Scheduled Pinned Locked Moved Portuguese
    9 Posts 4 Posters 2.7k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • F
      freddd_
      last edited by

      Boa tarde! Estou começando com pfSense, gostaria de saber o que está errado em minhas regras para bloquear os sites https e liberar somente alguns. Fiz desta forma, mas sei que devem existir melhores formas, alguém pode sugerir alguma?

      No alias "sites_https" tem os sites que gostaria de liberar.

      1 Reply Last reply Reply Quote 0
      • R
        roxton85
        last edited by

        @freddd_:

        Boa tarde! Estou começando com pfSense, gostaria de saber o que está errado em minhas regras para bloquear os sites https e liberar somente alguns. Fiz desta forma, mas sei que devem existir melhores formas, alguém pode sugerir alguma?

        No alias "sites_https" tem os sites que gostaria de liberar.

        A melhora maneira e "menos dolorosa" pra mim é usando squid / squid guard com acls e tudo mais. Por regras vai ter que negar acesso a porta 443 (https) e no alias do PF incluir os ips dos sites https que vc quer liberar ou usar o FQDN e no alias setar para hosts, acho que é isso.

        1 Reply Last reply Reply Quote 0
        • F
          freddd_
          last edited by

          Então nas regras do firewall eu teria que deixar todo acesso a porta 443 liberado e no squidguard criar uma ACL com os sites que quero bloquear? isso?

          1 Reply Last reply Reply Quote 0
          • R
            roxton85
            last edited by

            @freddd_:

            Então nas regras do firewall eu teria que deixar todo acesso a porta 443 liberado e no squidguard criar uma ACL com os sites que quero bloquear? isso?

            sim, se vc bloquear as regras do pf vao prevalecer sobre o squid / squid guard.

            Se vc quiser bloquear todo o trafego https e liberar apenas algunas sites, teria que ir no squid na black list e colocar um "." coloque o ponto sem as aspas!

            Depois na White list ir liberando os sites que vc julgue necessario.

            1 Reply Last reply Reply Quote 0
            • R
              roxton85
              last edited by

              @roxton85:

              @freddd_:

              Então nas regras do firewall eu teria que deixar todo acesso a porta 443 liberado e no squidguard criar uma ACL com os sites que quero bloquear? isso?

              sim, se vc bloquear as regras do pf vao prevalecer sobre o squid / squid guard.

              Se vc quiser bloquear todo o trafego https e liberar apenas algunas sites, teria que ir no squid na black list e colocar um "." coloque o ponto sem as aspas!

              Depois na White list ir liberando os sites que vc julgue necessario.

              Fiz isso num hospital onde as atendentes somente tinham acesso aos sites de convenio e distribuidores e o restante bloqueado, senao fosse isso elas iriam priorizar o globo, fuxico, caras enquanto o cara  morria do outro lado para ser atendido.  Acho que nem precisei do squidguard.

              Da trabalho no inicio mais fica bem seguro assim.

              1 Reply Last reply Reply Quote 0
              • F
                freddd_
                last edited by

                @roxton85:

                @roxton85:

                @freddd_:

                Então nas regras do firewall eu teria que deixar todo acesso a porta 443 liberado e no squidguard criar uma ACL com os sites que quero bloquear? isso?

                sim, se vc bloquear as regras do pf vao prevalecer sobre o squid / squid guard.

                Se vc quiser bloquear todo o trafego https e liberar apenas algunas sites, teria que ir no squid na black list e colocar um "." coloque o ponto sem as aspas!

                Depois na White list ir liberando os sites que vc julgue necessario.

                Fiz isso num hospital onde as atendentes somente tinham acesso aos sites de convenio e distribuidores e o restante bloqueado, senao fosse isso elas iriam priorizar o globo, fuxico, caras enquanto o cara  morria do outro lado para ser atendido.  Acho que nem precisei do squidguard.

                Da trabalho no inicio mais fica bem seguro assim.

                Não sei se entendi corretamente, você disse que a regra que está definida no firewall prevalece ao que está configurado no squidguard.

                Desta forma, no meu entender eu deveria desabilitar minha regra que libera o acesso à 443 e lá em "Services > SquidGuard Proxy Filter > ACLs > Blacklist" inserir um "." (sem aspas) para BLOQUEAR todos os acessos? Aí adicionar todos os sites que julgo necessários em "Services > SquidGuard Proxy Filter > ACLs > Whitelist" por exemplo:

                uol.com.br
                bradesco.com.br
                hotmail.com

                1 Reply Last reply Reply Quote 0
                • R
                  roxton85
                  last edited by

                  isso mesmo testa e posta o resultado.

                  1 Reply Last reply Reply Quote 0
                  • marcellocM
                    marcelloc
                    last edited by

                    A regra de firewall atinge a camada 3 e 4, enquanto o squid trabalha na camada 7.

                    Se liberar na camada 3 e 4 acesso a qualquer 80 e 443 sem proxy, o squid não vai receber nada para analisar.

                    Treinamentos de Elite: http://sys-squad.com

                    Help a community developer! ;D

                    1 Reply Last reply Reply Quote 0
                    • C
                      chipbr
                      last edited by

                      voce tem que bloquear o roteamento de HTTPS via regra de firewall, caso contrário as máquinas vão rotear pelo pfsense e nem vai passar pelo proxy (assumindo que você não use proxy transparente)

                      acredito que a melhor maneira de você bloquear os sites seria bloquear portas HTTP e HTTP no firewall, assim,só conseguirão acessar utilizando o proxy.

                      e NO proxy, fazer os bloqueios necessários

                      1 Reply Last reply Reply Quote 0
                      • First post
                        Last post
                      Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.