webfilter numa rede com pfsense 2.4.5,



  • Pessoal, preciso de uma ajuda preciso de pro um webfilter numa rede com pfsense 2.4.5, o cenário é o seguinte esta rede é para ser usada por clientes em smartphones e tablets, como faço para bloquear o acesso a sites https sem instalar o certificado nos equipamentos?
    estamos a pensar usar o e2guardian, mas estou bloqueado com o certificado.
    Obrigado



  • Boa tarde

    Bloquear IOT é mais difícil, eu já tive sucesso com alguns tweaks, mas nunca ficou perfeito pois dependendo do fabricante e versão do equipamento, ele faz uma conexão a um site para testar a Internet e costuma aparecer "No internet" lá no simbolo do Wifi.

    E também não dá para filtrar os sites por DNS pois equipamentos Android por exemplo, mesmo você distribuindo o servidor DNS por DHCP, eles insistem em usar o DNS do Google.
    Quanto a IOT da Apple, eu não testei.

    Eu também nunca usei o e2guardian, sempre usei Squid e Squidguard, pois gosto de manter meu sistema sempre atualizado, e pacotes não oficiais as vezes atrapalham isso.
    Mas aí é da sua preferência e infelizmente como não tenho experiência com esse aplicativo, eu não posso ajuda-lo.

    Eu recomendo Squid/SquidGuard, modo de proxy transparente, e com SPLICE all lá no Squid.
    Observe através dos LOGS do Squidguard quais Sites o IOT tenta acessar para confirmar se o acesso a Internet está funcionando, e faça bypass desses sites.

    Eu usava isso em casa, e foi dor de cabeça pois até versões diferentes do Android fazem essa "checagem" de acesso a Internet em sites diferentes.

    E dependendo de alguma atualização no Celular ou Tablet, você provavelmente terá que atualizar essa lista de bypass.

    Edit: Além disso, tem algumas "novidades" que tem atrapalhado como DOH (DNS over HTTPS), e o QUIC, que podem bypassar ai a sua tentativa de filtrar.



  • @mcury
    Boa tarde,

    Eu basicamente concordo contigo - usa o Squid + SquidGuard

    as "novidades" podem ser manipuladas, por exemplo:
    (Android é um animal separado)

    pfBlockerNG DoH list: https://heuristicsecurity.com/dohservers.txt
    Quick protocol: (naturalmente implementado no pfSense): https://kb.fortinet.com/kb/documentLink.do?externalID=FD46676



  • Boa tarde

    Vou seguir o vosso conselho e experimentar o Squid + SquidGuard

    Obrigado





  • Nesse tutorial, eles usam WPAD, os IOT em sua grande parte não funcionam com arquivo PAC ou com proxy explícito.
    Por isso, desde o início, falei para usar o proxy com modo transparente, e também com SPLICE ALL.
    Splice ALL é para não haver necessidade de distribuir certificados, uma vez que você tb não vai conseguir fazer isso com os IOT...

    Em relação ao QUIC, simplesmente bloqueie a porta UDP 443.
    Em relação ao DOH, não se preocupe pois você estará bloqueando não as solicitações de DNS, mas sim diretamente no cabeçalho HTTP.

    DOH seria caso você estivesse usando o pfBlocker dnsbl para o fim de fazer o filtro.



  • @mcury

    como também escrevi apenas como material suplementar, de uma maneira interessante, não como uma solução para o problema atual do OP

    DoH = pfBlockerNG -devel (eu também já escrevi isso!)
    Eu acho que o Quick também é claro



  • @DaddyGo Entendo que você tenta ajudar, não foi uma crítica.
    É sim um bom material para leitura, mas não se aplica a IOT.



  • @mcury
    Eu concordo ☺





  • use o e2guardian sem fazer a interceptação ssl, vai fazer bloqueio por URI (dominio)


Log in to reply