• Categories
  • Recent
  • Tags
  • Popular
  • Users
  • Search
  • Register
  • Login
Netgate Discussion Forum
  • Categories
  • Recent
  • Tags
  • Popular
  • Users
  • Search
  • Register
  • Login

WPAD não filtrando SSL

Portuguese
2
10
668
Loading More Posts
  • Oldest to Newest
  • Newest to Oldest
  • Most Votes
Reply
  • Reply as topic
Log in to reply
This topic has been deleted. Only users with topic management privileges can see it.
  • K
    Klayson Coutinho
    last edited by Feb 8, 2021, 11:39 PM

    Boa noite a todos, galera, estou usando o e2Guardian + WPAD para jogar o proxy transparente. porém o mesmo só filtra HTTP quando é sites HTTPS ele não filtra e acaba passando, teria alguma maneira de filtrar esse SSL (HTTPS) usando o Wpad. Agradeço desde já!

    M 1 Reply Last reply Feb 9, 2021, 12:59 AM Reply Quote 0
    • M
      mcury @Klayson Coutinho
      last edited by mcury Feb 9, 2021, 1:07 AM Feb 9, 2021, 12:59 AM

      @klayson-coutinho Opa..

      Eu não uso e2Guardian, mas há um erro de conceito ai.

      Proxy transparente não precisa de WPAD.

      Ou usa proxy transparente, ou proxy explícito, que é o WPAD.

      O proxy transparente vai interceptar todas as conexões HTTP. E também HTTPS caso o Intercept SSL esteja habilitado no proxy.
      Nesse caso, o computador não sabe que o proxy existe.

      Quando você usa WPAD, no caso arquivo PAC, conhecido como proxy explícito, o computador envia as solicitações propositalmente para o proxy, pois o cliente sabe de sua existência. Ou seja, o proxy não é transparente (invisível para o cliente).

      O uso do PAC ajuda a fazer bypass de proxy.
      Nesse caso de bypass do proxy pelo arquivo PAC, o computador acessaria direto o site, não enviando a solicitação através do proxy.

      No caso do proxy transparente, não é tão trivial fazer o bypass, pois o cliente não sabe da existência do proxy, portanto, tudo será interceptado.
      Você tem algumas opções de bypass do proxy transparente, mas essas configurações tem que ser feitas no proxy e não no cliente, e mesmo fazendo bypass no proxy transparente, algumas aplicações ou sites podem não funcionar corretamente.

      Proxy transparente é bom para filtar IOT, como celulares, pois esses equipamentos normalmente não aceitam configuração de proxy, ou não "pegam" o arquivo PAC pelo WPAD, seja por DHCP ou por DNS.

      A vantagem do proxy explícito é a facilidade de bypass por domínio ou URL, e também a possibilidade de autenticação.

      dead on arrival, nowhere to be found.

      K 1 Reply Last reply Feb 9, 2021, 1:14 AM Reply Quote 0
      • K
        Klayson Coutinho @mcury
        last edited by Feb 9, 2021, 1:14 AM

        @mcury Acredito eu que entendi!! não sou 100% em pfsense!! estou aprendendo ainda! nesse caso que preciso bloquear sites http e https, o que me sugere??

        M 1 Reply Last reply Feb 9, 2021, 1:17 AM Reply Quote 0
        • M
          mcury @Klayson Coutinho
          last edited by Feb 9, 2021, 1:17 AM

          @klayson-coutinho Você vai bloquear equipamentos IOT, como por exemplo celulares?
          Ou são apenas computadores, como se fosse em uma empresa?

          Caso sejam equipamentos como celulares, apenas o proxy transparente vai te ajudar.
          Nesse caso não precisa de arquivo PAC nem nada, apenas habilite lá o proxy transparente e interceptação SSL.

          Caso sejam computadores, eu recomendo desabilitar o proxy transparente, e utilizar apenas o arquivo PAC, que seja por WPAD mesmo.
          Assim, você poderá fazer bypass de proxy para sites de bancos como por exemplo, .itau.
          Dessa forma, o computador do cliente usará o arquivo PAC para saber o que precisa acessar diretamente, e resto será jogado para o proxy.
          Com essa configuração, também será possível a configuração de autenticação no proxy.

          dead on arrival, nowhere to be found.

          K 1 Reply Last reply Feb 9, 2021, 1:22 AM Reply Quote 0
          • K
            Klayson Coutinho @mcury
            last edited by Feb 9, 2021, 1:22 AM

            @mcury Nesse caso no meus clientes serão, tanto celulares, notebooks e desktops..!! eu já estou rodando um pfsense em produção em um cliente, porém quando é para bloquear determinados sites em https, não se bloqueia nada..rsrs se puder me ajudar ficarei grato..rs

            M 1 Reply Last reply Feb 9, 2021, 1:29 AM Reply Quote 0
            • M
              mcury @Klayson Coutinho
              last edited by mcury Feb 9, 2021, 1:30 AM Feb 9, 2021, 1:29 AM

              @klayson-coutinho Eu faria a separação da rede IOT da rede de computadores.

              Celulares pessoais conectam em uma rede WIFI diferente, que seria uma VLAN diferente no pfsense.
              Nessa VLAN, eu deixaria sem proxy (tudo liberado).
              Recomendaria uma política interna na empresa dizendo que acessos indevidos como pornografia por exemplo, resultariam em advertências ou algo do tipo.
              Mas caso queira bloquear (não recomendo pois muita gente ia reclamar que o aplicativo do Itaú não abre por exemplo), eu habilitaria o proxy transparente.
              Existem maneiras de corrigir o acesso ao aplicativo do Itaú, mas você como administrador, estaria enroscado e sempre precisando atualizar listas de URL ou ranges de IP no proxy, pois o Itau está sempre atualizando seus servidores, adquirindo mais servidores por exemplo..
              E olha que só falei do Itáu, imagina a quantidade de problemas que você pode ter.

              Computadores e laptops da empresa, conectariam em uma outra rede (outra VLAN/subnet).
              Nessa VLAN, eu não habilitaria proxy transparente, e usaria arquivo PAC.
              Fazendo desta maneira, bypass de acordo com a necessidade, apenas utilizando domínios e urls.
              Você não precisaria de listas de URLs ou de IPs a serem atualizadas.
              E caso no futuro você quisesse autenticar os usuários, poderia prosseguir dessa maneira também.

              dead on arrival, nowhere to be found.

              K 1 Reply Last reply Feb 9, 2021, 1:33 AM Reply Quote 0
              • K
                Klayson Coutinho @mcury
                last edited by Feb 9, 2021, 1:33 AM

                @mcury você teria telegram, skype ou WhatsApp para que possamos trocar uma ideia melhor sobre esse escopo? pois a princípio queria fazer coisas simples, bloquear sites https (porno por exemplo, pois na empresa os funcionários usam muito..srsrs) e bloquear alguns http e aonde bloquear? caminho no caso..rsrs

                M 1 Reply Last reply Feb 9, 2021, 1:36 AM Reply Quote 0
                • M
                  mcury @Klayson Coutinho
                  last edited by Feb 9, 2021, 1:36 AM

                  @klayson-coutinho Tenho sim, pode me mandar uma mensagem privada que te ajudo amanhã e te passo meu telegram.

                  dead on arrival, nowhere to be found.

                  K 1 Reply Last reply Feb 9, 2021, 1:47 AM Reply Quote 0
                  • K
                    Klayson Coutinho @mcury
                    last edited by Feb 9, 2021, 1:47 AM

                    @mcury tentei enviar e deu erro..rsrs

                    M 1 Reply Last reply Feb 9, 2021, 1:51 AM Reply Quote 0
                    • M
                      mcury @Klayson Coutinho
                      last edited by Feb 9, 2021, 1:51 AM

                      @klayson-coutinho vou tentar de mandar um opa com meu telegram, mas só vou poder ajudar amanhã, to indo jantar e ficar com a patroa

                      dead on arrival, nowhere to be found.

                      1 Reply Last reply Reply Quote 0
                      1 out of 10
                      • First post
                        1/10
                        Last post
                      Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.