Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Squid + Squidguard: Liberar Whatsapp para grupos

    Scheduled Pinned Locked Moved Portuguese
    21 Posts 3 Posters 2.4k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • M
      markaunz
      last edited by

      Bom dia,

      Estou utilizando Squid + Squidguard para bloqueio de sites aqui na minha empresa, com integração ao meu AD. O problema está em liberar Whatsapp apenas para determinados grupos. O Squid está bloqueando as conexões, sendo que eu não tenho NENHUMA REGRA de blacklist no Squid, apenas no SquidGuard. A única maneira que eu achei de liberar seria colocando o endereço do whatsapp na Whitelist do Squid, porém, essa regra libera o Whatsapp para todos da rede interna. Meu proxy NÃO É transparente, é para 99% da minha rede, alguns não passam pelo proxy.

      Se alguem puder me dar uma luz, eu agradeço MUITO

      1 Reply Last reply Reply Quote 0
      • M
        mcury Rebel Alliance
        last edited by

        Olá, qual erro que aparece nos logs?
        O problema ocorre na rede Wifi ou quando usa o whatsapp pelo browser ou app do windows?
        Há autenticação no proxy?
        Como é feito o apontamento pro proxy já que não é transparente? É apontamento direto ou por pac?

        dead on arrival, nowhere to be found.

        1 Reply Last reply Reply Quote 0
        • M
          markaunz
          last edited by

          Bom dia, mcury
          Respondendo à seus questionamentos:

          1 - Os logs do squid (que na teoria não deveria barrar, já que não constam regras de bloqueio no mesmo) mostram apenas TCP_MISS/200 e TAG_NONE/200 para os endereços do whatsapp.com
          2 - Ocorre em quaisquer tipos de acesso
          3 - Sim, autenticação integrada ao AD
          4 - Apontamento direto via GPO

          1 Reply Last reply Reply Quote 0
          • M
            mcury Rebel Alliance
            last edited by

            Já que o apontamento direto é via GPO, significa que tudo vai pelo proxy na 3128, nas opções de GPO, há uma opção de bypass destination, já tentou incluir o *.whatsapp.com lá? Essa alteração deve ser feita no grupo de AD que deseja liberar o whatsapp.
            Você está fazendo o BUMP ou splice all?

            dead on arrival, nowhere to be found.

            1 Reply Last reply Reply Quote 0
            • M
              markaunz
              last edited by

              O apontamento direto via GPO é um script que edita o registro do Windows para configurar o proxy por usuário. "HKCU\Software\Microsoft\Windows\currentVersion\Internet Settings\ProxyServer" Não há opção de bypass destination

              Estou fazendo o Splice Whitelist, Bump Otherwise

              1 Reply Last reply Reply Quote 0
              • M
                mcury Rebel Alliance
                last edited by

                Eu fiz o apontamento de maneira diferente.
                No AD, criei um perfil para o IE 10 (funciona no 11), e adicionei lá o proxy.
                Tem a opção de bypass lá, que funciona.

                O mesmo pode ser feito pelo Mozilla, e pelo Chrome, caso importe as admx para o AD.

                dead on arrival, nowhere to be found.

                1 Reply Last reply Reply Quote 0
                • M
                  markaunz
                  last edited by

                  O meu AD roda sob o Windows Server 2008 R2, ele só me dá a opção de configurar o proxy no navegador até o IE8

                  1 Reply Last reply Reply Quote 0
                  • M
                    mcury Rebel Alliance
                    last edited by

                    Nesse vídeo, o cara faz a mesma coisa que você, mas observei que tem um proxy override ali, nos registros.
                    Ve se te ajuda:

                    https://www.youtube.com/watch?v=ODmqH8yTknQ&feature=player_detailpage

                    4b3aa845-02c4-45ae-84e9-9c69ad162e39-image.png

                    dead on arrival, nowhere to be found.

                    1 Reply Last reply Reply Quote 0
                    • M
                      markaunz
                      last edited by

                      @mcury said in Squid + Squidguard: Liberar Whatsapp para grupos:

                      *.whatsapp.com

                      Boa tarde

                      Desculpa a demora em responder

                      Fazendo desse jeito... Criando uma GPO para aplicar o seguinte script VBS para o grupo de usuários que terá o whatsapp liberado:

                      dim vProxy
                      set vProxy = Wscript.CreateObject("Wscript.Shell")
                      vProxy.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyEnable", 1, "REG_DWORD"
                      vProxy.RegWrite " HKCU\Software\Microsoft\Windows\currentVersion\Internet Settings\ProxyServer", "IPDOSERVIDOR:PORTASQUID", "REG_SZ"
                      vProxy.RegWrite "HKCU\Software\Microsoft\Windows\currentVersion\Internet Settings\ProxyOverride", ".whatsapp.com;<local>", "REG_SZ"

                      Adicionei a ultima linha em itálico para configurar o Proxy Override, conforme sua dica, e deu certo. Porém, eu gostaria de liberar isso via ACL, para ter o registro de navegação

                      1 Reply Last reply Reply Quote 0
                      • M
                        mcury Rebel Alliance
                        last edited by

                        Alguns serviços realmente tem que fazer bypass, normalmente com site de instituições financeiras...

                        Eu ainda não emulei o seu cenário, mas conforme a descrição no campo: SSL/MITM Mode do Squid, ele vai fazer Man in the middle caso o whatsapp não esteja na lista de bypass do proxy ou não esteja na whitelist na tab ACL.

                        Já testou fazendo o splice para o whatsapp colocando ele na whitelist da tab ACL do squid?
                        Pela descrição, fazendo o splice, você poderia bloquear ou liberar pelo Squidguard.

                        Isso está me parecendo ser uma configuração do whatsapp, que não aceita man in the middle, visto que isso poderia significa uma falha de segurança e um problema de privacidade...

                        dead on arrival, nowhere to be found.

                        1 Reply Last reply Reply Quote 0
                        • M
                          markaunz
                          last edited by

                          Então, se eu coloco o Whatsapp na Whitelist do Squid ele libera para todo mundo, pois os bloqueios por grupos estão sendo feitos via SquidGuard...

                          1 Reply Last reply Reply Quote 0
                          • M
                            mcury Rebel Alliance
                            last edited by

                            Eu acabei de testar e consegui fazer funcionar.
                            Tive que criar uma Target Category no Squidguard chamada blacklist, pode ser qualquer nome.

                            Em group acl, eu pus DENY na categoria blacklist, e no Squid, pus whatsapp.com na whitelist na ACL tab.
                            O acesso foi bloqueado e foi logado.

                            Em outro perfil, onde a blacklist não foi colocada em Deny, o acesso funcionou (tive que apertar F5 para aparecer o QR code).

                            dead on arrival, nowhere to be found.

                            1 Reply Last reply Reply Quote 0
                            • M
                              markaunz
                              last edited by

                              @mcury said in Squid + Squidguard: Liberar Whatsapp para grupos:

                              whatsapp.com

                              Fiz o que voce falou acima e aqui não foi não... O whatsapp é liberado para todos, incluso os que estão com DENY no SquidGuard

                              1 Reply Last reply Reply Quote 0
                              • M
                                mcury Rebel Alliance
                                last edited by

                                Meus acessos pro whatsapp foram bloqueados pelo squidguard, msm estando na whitelist do squid.
                                Como estão os seus logs?

                                00baa4f3-e18a-45c3-b8ac-320c10f4a52e-image.png

                                b3a545c0-6239-4a0d-a99d-9581ba39db8a-image.png

                                dead on arrival, nowhere to be found.

                                1 Reply Last reply Reply Quote 0
                                • M
                                  markaunz
                                  last edited by

                                  Testes feitos SEM LIBERAR o Whatsapp na Whitelist do Squid

                                  Log do Squid
                                  48a1a9c1-784d-4c2d-a2cf-6277a6da181a-image.png

                                  Log do SquidGuard
                                  d7eac706-c08b-4aae-8047-f44f28c99678-image.png

                                  Repare que no SquidGuard NEM APARECE o Whatsapp... ele já bloqueia no Squid e não redireciona a conexão.

                                  1 Reply Last reply Reply Quote 0
                                  • M
                                    markaunz
                                    last edited by

                                    This post is deleted!
                                    1 Reply Last reply Reply Quote 0
                                    • M
                                      mcury Rebel Alliance
                                      last edited by

                                      Estranho msm, espero que alguém ai possa te ajudar, pois no meu funcionou.

                                      Usei as seguintes configurações:
                                      Blacklist no Squidguard bloqueando domain whatsapp.com (configurada para deny no groupACL em questão).
                                      ACL whitelist do Squid com whatsapp.com
                                      Bump and splice whitelist.

                                      De qualquer forma, boa sorte

                                      dead on arrival, nowhere to be found.

                                      1 Reply Last reply Reply Quote 0
                                      • M
                                        markaunz
                                        last edited by

                                        Obrigado pela ajuda, meu amigo. Pelo menos consigo liberar com o ProxyOverride, que voce me orientou.

                                        Mas configuro com o mesmo cenário acima e o meu não vai, o QR Code nao gera e quando tiro o proxy e consigo entrar, depois que configuro o proxy o site do whatsapp fica carregando eternamente

                                        1 Reply Last reply Reply Quote 0
                                        • M
                                          markaunz
                                          last edited by

                                          Apenas uma observação... Notei que ele está negando o endereço "web.whatsapp.com" no Squid, quando o mesmo não está na whitelist

                                          1 Reply Last reply Reply Quote 0
                                          • M
                                            mcury Rebel Alliance
                                            last edited by

                                            Tenta isso, mantendo as configurações anteriores:

                                            Custom Options (Before Auth)

                                            acl whitelist dstdomain .whatsapp.com
                                            http_access allow whitelist
                                            acl auth proxy_auth REQUIRED
                                            http_access deny !auth
                                            http_access allow auth

                                            Faz em um ambiente de testes, pois pode ser que interrompa teus clientes, não testei aqui ok ?

                                            dead on arrival, nowhere to be found.

                                            1 Reply Last reply Reply Quote 0
                                            • First post
                                              Last post
                                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.