Bloqueio de extensões em sites com HTTPS



  • Amigos,

    Eu tenho configurado no pfsense um proxy transparente que faz filtro e bloqueios tanto de HTTP como HTTPS. Porem eu não estou conseguindo bloquear extensões de arquivos quando elas tem origem sites com HTTPS, fiz testes em sites HTTP todos os bloqueios funcionam com extensões do tipo .zip .exe .torrent .mp4 etc… Também consigo fazer bloqueio de sites HTTPS normalmente usando o squidguard, somente as extensões não são bloqueadas.

    Estou utilizando o pfsense 2.4.2

    Se alguém puder me dar uma força agradeço.



  • Está interceptando o trafego com os certificados? nos logs do squid você a url https completa ou o connect?



  • marcelloc,

    Sim esta interceptando com os certificados. Eu tentei de forma transparente inicialmente depois importei o certificado no computador.

    Nos logs eu tenho visto isso:

    10.04.2018 23:45:39 192.168.25.1 TAG_NONE/200 104.105.139.77:443 - -
    10.04.2018 23:45:39 192.168.25.1 TAG_NONE/200 104.105.139.77:443 - -
    10.04.2018 23:45:39 192.168.25.1 TAG_NONE/200 64.4.54.254:443 - -
    10.04.2018 23:45:39 192.168.25.1 TAG_NONE/200 64.4.54.254:443 - -
    10.04.2018 23:45:39 192.168.25.1 TAG_NONE/200 23.198.41.25:443 - -
    10.04.2018 23:45:39 192.168.25.1 TAG_NONE/200 23.198.41.25:443 - -
    10.04.2018 23:45:39 192.168.25.1 TAG_NONE/200 31.13.85.36:443 - -
    10.04.2018 23:45:39 192.168.25.1 TAG_NONE/200 31.13.85.36:443 - -
    10.04.2018 23:45:39 192.168.25.1 TAG_NONE/200 172.217.29.230:443 - -
    10.04.2018 23:45:39 192.168.25.1 TAG_NONE/200 172.217.29.230:443



  • Aparentemente não está interceptando, navegue em outros sites para ver a url completa, por exemplo:

    https://forum.pfsense.org/index.php?action=post,topic=….



  • Date IP Status Address User Destination
    10.04.2018 23:55:11 192.168.25.1 TCP_MISS/200 https://ssl.google-analytics.com/__utm.gif? - 172.217.29.136
    10.04.2018 23:55:11 192.168.25.1 TAG_NONE/200 172.217.29.136:443 - 172.217.29.136
    10.04.2018 23:55:11 192.168.25.1 TAG_NONE/200 172.217.29.136:443 - 172.217.29.136
    10.04.2018 23:55:11 192.168.25.1 TCP_MISS/200 https://forum.pfsense.org/Themes/flagrantly202/images/theme/submit_bg.png - 208.123.73.70
    10.04.2018 23:55:11 192.168.25.1 TCP_MISS/200 https://forum.pfsense.org/Themes/flagrantly202/images/icons/login_sm.gif - 208.123.73.70
    10.04.2018 23:55:10 192.168.25.1 TCP_MISS/200 https://forum.pfsense.org/index.php? - 208.123.73.70
    10.04.2018 23:55:10 192.168.25.1 TAG_NONE/200 208.123.73.70:443 - 208.123.73.70
    10.04.2018 23:55:10 192.168.25.1 TAG_NONE/200 208.123.73.70:443 - 208.123.73.70
    10.04.2018 23:55:04 192.168.25.1 TCP_TUNNEL/200 www.bing.com:443 - 204.79.197.200
    10.04.2018 23:55:04 192.168.25.1 TCP_TUNNEL/200 www.bing.com:443



  • Veja se os sites que não consegue filtrar o mime estão aparecendo a url completa ou só o :443

    Pode ser configuração do site ou bug do squidguard mesmo. O código dele é bem antigo (antes da era da interceptação de ssl).



  • @marcelloc:

    Veja se os sites que não consegue filtrar o mime estão aparecendo a url completa ou só o :443

    Pode ser configuração do site ou bug do squidguard mesmo. O código dele é bem antigo (antes da era da interceptação de ssl).

    OK! Mas você acha que e possível realizar a configuração que estou tentando? No caso configurar um proxy transparente que faça filtros também de paginas HTTPS (já funciona) e alem disso bloquear extensões? Iniciei meu estudos a pouco tempo talvez eu esteja tentando fazer algo que não seja possível.

    Agradeço pela sua ajuda.



  • Sim. Monta um lab com o e2guardian. Ele é muito melhor que o squidguard e dependendo da configuração que fizer, não precisa nem do squid.


Log in to reply