Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    WPAD não filtrando SSL

    Scheduled Pinned Locked Moved Portuguese
    10 Posts 2 Posters 880 Views 2 Watching
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • K Offline
      Klayson Coutinho
      last edited by

      Boa noite a todos, galera, estou usando o e2Guardian + WPAD para jogar o proxy transparente. porém o mesmo só filtra HTTP quando é sites HTTPS ele não filtra e acaba passando, teria alguma maneira de filtrar esse SSL (HTTPS) usando o Wpad. Agradeço desde já!

      M 1 Reply Last reply Reply Quote 0
      • M Away
        mcury Rebel Alliance @Klayson Coutinho
        last edited by mcury

        @klayson-coutinho Opa..

        Eu não uso e2Guardian, mas há um erro de conceito ai.

        Proxy transparente não precisa de WPAD.

        Ou usa proxy transparente, ou proxy explícito, que é o WPAD.

        O proxy transparente vai interceptar todas as conexões HTTP. E também HTTPS caso o Intercept SSL esteja habilitado no proxy.
        Nesse caso, o computador não sabe que o proxy existe.

        Quando você usa WPAD, no caso arquivo PAC, conhecido como proxy explícito, o computador envia as solicitações propositalmente para o proxy, pois o cliente sabe de sua existência. Ou seja, o proxy não é transparente (invisível para o cliente).

        O uso do PAC ajuda a fazer bypass de proxy.
        Nesse caso de bypass do proxy pelo arquivo PAC, o computador acessaria direto o site, não enviando a solicitação através do proxy.

        No caso do proxy transparente, não é tão trivial fazer o bypass, pois o cliente não sabe da existência do proxy, portanto, tudo será interceptado.
        Você tem algumas opções de bypass do proxy transparente, mas essas configurações tem que ser feitas no proxy e não no cliente, e mesmo fazendo bypass no proxy transparente, algumas aplicações ou sites podem não funcionar corretamente.

        Proxy transparente é bom para filtar IOT, como celulares, pois esses equipamentos normalmente não aceitam configuração de proxy, ou não "pegam" o arquivo PAC pelo WPAD, seja por DHCP ou por DNS.

        A vantagem do proxy explícito é a facilidade de bypass por domínio ou URL, e também a possibilidade de autenticação.

        dead on arrival, nowhere to be found.

        K 1 Reply Last reply Reply Quote 0
        • K Offline
          Klayson Coutinho @mcury
          last edited by

          @mcury Acredito eu que entendi!! não sou 100% em pfsense!! estou aprendendo ainda! nesse caso que preciso bloquear sites http e https, o que me sugere??

          M 1 Reply Last reply Reply Quote 0
          • M Away
            mcury Rebel Alliance @Klayson Coutinho
            last edited by

            @klayson-coutinho Você vai bloquear equipamentos IOT, como por exemplo celulares?
            Ou são apenas computadores, como se fosse em uma empresa?

            Caso sejam equipamentos como celulares, apenas o proxy transparente vai te ajudar.
            Nesse caso não precisa de arquivo PAC nem nada, apenas habilite lá o proxy transparente e interceptação SSL.

            Caso sejam computadores, eu recomendo desabilitar o proxy transparente, e utilizar apenas o arquivo PAC, que seja por WPAD mesmo.
            Assim, você poderá fazer bypass de proxy para sites de bancos como por exemplo, .itau.
            Dessa forma, o computador do cliente usará o arquivo PAC para saber o que precisa acessar diretamente, e resto será jogado para o proxy.
            Com essa configuração, também será possível a configuração de autenticação no proxy.

            dead on arrival, nowhere to be found.

            K 1 Reply Last reply Reply Quote 0
            • K Offline
              Klayson Coutinho @mcury
              last edited by

              @mcury Nesse caso no meus clientes serão, tanto celulares, notebooks e desktops..!! eu já estou rodando um pfsense em produção em um cliente, porém quando é para bloquear determinados sites em https, não se bloqueia nada..rsrs se puder me ajudar ficarei grato..rs

              M 1 Reply Last reply Reply Quote 0
              • M Away
                mcury Rebel Alliance @Klayson Coutinho
                last edited by mcury

                @klayson-coutinho Eu faria a separação da rede IOT da rede de computadores.

                Celulares pessoais conectam em uma rede WIFI diferente, que seria uma VLAN diferente no pfsense.
                Nessa VLAN, eu deixaria sem proxy (tudo liberado).
                Recomendaria uma política interna na empresa dizendo que acessos indevidos como pornografia por exemplo, resultariam em advertências ou algo do tipo.
                Mas caso queira bloquear (não recomendo pois muita gente ia reclamar que o aplicativo do Itaú não abre por exemplo), eu habilitaria o proxy transparente.
                Existem maneiras de corrigir o acesso ao aplicativo do Itaú, mas você como administrador, estaria enroscado e sempre precisando atualizar listas de URL ou ranges de IP no proxy, pois o Itau está sempre atualizando seus servidores, adquirindo mais servidores por exemplo..
                E olha que só falei do Itáu, imagina a quantidade de problemas que você pode ter.

                Computadores e laptops da empresa, conectariam em uma outra rede (outra VLAN/subnet).
                Nessa VLAN, eu não habilitaria proxy transparente, e usaria arquivo PAC.
                Fazendo desta maneira, bypass de acordo com a necessidade, apenas utilizando domínios e urls.
                Você não precisaria de listas de URLs ou de IPs a serem atualizadas.
                E caso no futuro você quisesse autenticar os usuários, poderia prosseguir dessa maneira também.

                dead on arrival, nowhere to be found.

                K 1 Reply Last reply Reply Quote 0
                • K Offline
                  Klayson Coutinho @mcury
                  last edited by

                  @mcury você teria telegram, skype ou WhatsApp para que possamos trocar uma ideia melhor sobre esse escopo? pois a princípio queria fazer coisas simples, bloquear sites https (porno por exemplo, pois na empresa os funcionários usam muito..srsrs) e bloquear alguns http e aonde bloquear? caminho no caso..rsrs

                  M 1 Reply Last reply Reply Quote 0
                  • M Away
                    mcury Rebel Alliance @Klayson Coutinho
                    last edited by

                    @klayson-coutinho Tenho sim, pode me mandar uma mensagem privada que te ajudo amanhã e te passo meu telegram.

                    dead on arrival, nowhere to be found.

                    K 1 Reply Last reply Reply Quote 0
                    • K Offline
                      Klayson Coutinho @mcury
                      last edited by

                      @mcury tentei enviar e deu erro..rsrs

                      M 1 Reply Last reply Reply Quote 0
                      • M Away
                        mcury Rebel Alliance @Klayson Coutinho
                        last edited by

                        @klayson-coutinho vou tentar de mandar um opa com meu telegram, mas só vou poder ajudar amanhã, to indo jantar e ficar com a patroa

                        dead on arrival, nowhere to be found.

                        1 Reply Last reply Reply Quote 0
                        • First post
                          Last post
                        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.