Bloqueio de extensões em sites com HTTPS

mger88

Amigos,

Eu tenho configurado no pfsense um proxy transparente que faz filtro e bloqueios tanto de HTTP como HTTPS. Porem eu não estou conseguindo bloquear extensões de arquivos quando elas tem origem sites com HTTPS, fiz testes em sites HTTP todos os bloqueios funcionam com extensões do tipo .zip .exe .torrent .mp4 etc… Também consigo fazer bloqueio de sites HTTPS normalmente usando o squidguard, somente as extensões não são bloqueadas.

Estou utilizando o pfsense 2.4.2

Se alguém puder me dar uma força agradeço.

marcelloc

Está interceptando o trafego com os certificados? nos logs do squid você a url https completa ou o connect?

mger88

marcelloc,

Sim esta interceptando com os certificados. Eu tentei de forma transparente inicialmente depois importei o certificado no computador.

Nos logs eu tenho visto isso:

10.04.2018 23:45:39 192.168.25.1 TAG_NONE/200 104.105.139.77:443 - -
10.04.2018 23:45:39 192.168.25.1 TAG_NONE/200 104.105.139.77:443 - -
10.04.2018 23:45:39 192.168.25.1 TAG_NONE/200 64.4.54.254:443 - -
10.04.2018 23:45:39 192.168.25.1 TAG_NONE/200 64.4.54.254:443 - -
10.04.2018 23:45:39 192.168.25.1 TAG_NONE/200 23.198.41.25:443 - -
10.04.2018 23:45:39 192.168.25.1 TAG_NONE/200 23.198.41.25:443 - -
10.04.2018 23:45:39 192.168.25.1 TAG_NONE/200 31.13.85.36:443 - -
10.04.2018 23:45:39 192.168.25.1 TAG_NONE/200 31.13.85.36:443 - -
10.04.2018 23:45:39 192.168.25.1 TAG_NONE/200 172.217.29.230:443 - -
10.04.2018 23:45:39 192.168.25.1 TAG_NONE/200 172.217.29.230:443

marcelloc

Aparentemente não está interceptando, navegue em outros sites para ver a url completa, por exemplo:

https://forum.pfsense.org/index.php?action=post,topic=….

mger88

Date IP Status Address User Destination
10.04.2018 23:55:11 192.168.25.1 TCP_MISS/200 https://ssl.google-analytics.com/__utm.gif? - 172.217.29.136
10.04.2018 23:55:11 192.168.25.1 TAG_NONE/200 172.217.29.136:443 - 172.217.29.136
10.04.2018 23:55:11 192.168.25.1 TAG_NONE/200 172.217.29.136:443 - 172.217.29.136
10.04.2018 23:55:11 192.168.25.1 TCP_MISS/200 https://forum.pfsense.org/Themes/flagrantly202/images/theme/submit_bg.png - 208.123.73.70
10.04.2018 23:55:11 192.168.25.1 TCP_MISS/200 https://forum.pfsense.org/Themes/flagrantly202/images/icons/login_sm.gif - 208.123.73.70
10.04.2018 23:55:10 192.168.25.1 TCP_MISS/200 https://forum.pfsense.org/index.php? - 208.123.73.70
10.04.2018 23:55:10 192.168.25.1 TAG_NONE/200 208.123.73.70:443 - 208.123.73.70
10.04.2018 23:55:10 192.168.25.1 TAG_NONE/200 208.123.73.70:443 - 208.123.73.70
10.04.2018 23:55:04 192.168.25.1 TCP_TUNNEL/200 www.bing.com:443 - 204.79.197.200
10.04.2018 23:55:04 192.168.25.1 TCP_TUNNEL/200 www.bing.com:443

marcelloc

Veja se os sites que não consegue filtrar o mime estão aparecendo a url completa ou só o :443

Pode ser configuração do site ou bug do squidguard mesmo. O código dele é bem antigo (antes da era da interceptação de ssl).

mger88

@marcelloc:

Veja se os sites que não consegue filtrar o mime estão aparecendo a url completa ou só o :443

Pode ser configuração do site ou bug do squidguard mesmo. O código dele é bem antigo (antes da era da interceptação de ssl).

OK! Mas você acha que e possível realizar a configuração que estou tentando? No caso configurar um proxy transparente que faça filtros também de paginas HTTPS (já funciona) e alem disso bloquear extensões? Iniciei meu estudos a pouco tempo talvez eu esteja tentando fazer algo que não seja possível.

Agradeço pela sua ajuda.

marcelloc

Sim. Monta um lab com o e2guardian. Ele é muito melhor que o squidguard e dependendo da configuração que fizer, não precisa nem do squid.