Limitar download via webmail e Outlook



  • Boa tarde!

    Verifiquei que o trafficMGMT do PFSense não limita o download de arquivos com mais de X mega (definidos em Maximum download size) pelo gmail ou no outlook.

    Exemplo:

    Configueirei meu PFSense para limitar o download para o maximo de 4000 kilobytes…
    Acessando o baixaki.com.br e baixando um arquivo maior eu recebo uma mensagem informando que o arquivo é muito grande, porém pelo gmail consegui baixar arquivos de 8mega e pelo outlook idem....

    Meu pfsense esta configurado com proxy transparante.

    Existe alguma maneira de limitar o download pelo webmail e outlook usando o pfsense?



  • Eu ainda não testei mas será que não é pq no gmail o protocolo é https ???? saindo por fora assim do squid…



  • @neriberto:

    Eu ainda não testei mas será que não é pq no gmail o protocolo é https ???? saindo por fora assim do squid…

    Teoricamente solicitações https são enviadas via proxy e no caso de ser proxy transparente… toda solicitação chega como gtw e sai como proxy entao acho que nao tem nada a ver.



  • @Thiago:

    @neriberto:

    Eu ainda não testei mas será que não é pq no gmail o protocolo é https ???? saindo por fora assim do squid…

    Teoricamente solicitações https são enviadas via proxy e no caso de ser proxy transparente… toda solicitação chega como gtw e sai como proxy entao acho que nao tem nada a ver.

    Por partes…

    A conexões HTTPS não são remanejadas automaticamente para o teu proxy (SQUID). Isso só acontece se você criar uma regra em "Lan RULES", direcionando as conexões TCP/443 para a porta na qual seu SQUID está escutando (default é 3128).
    Como você faz isso: http://forum.pfsense.org/index.php/topic,38997.0.html

    Contudo, após você implementar essas regras, o Squid deixa de ser um proxy transparente, forçando usuários a configurar o proxy em seus navegadores.

    Ainda em tempo, você pode usar esta tática para resolver a questão do download de anexos via webmail (https). Contudo, para limitar via outlook (como o título do seu post menciona), a metodologia vai precisar ser outra - já que os e-mails chegam por default via POP3S (porta 995) - O que não tem relação nenhuma com o teu serviço de webproxy.

    Abraços!
    Jack



  • @JackL:

    …  se você criar uma regra em "Lan RULES", direcionando as conexões TCP/443 para a porta na qual seu SQUID está escutando (default é 3128).
    Como você faz isso: http://forum.pfsense.org/index.php/topic,38997.0.html

    Contudo, após você implementar essas regras, o Squid deixa de ser um proxy transparente, forçando usuários a configurar o proxy em seus navegadores.

    Eu conheço o autor desse texto:
    http://forum.pfsense.org/index.php/topic,39327.msg202695.html#msg202695

    :o

    Jack, coisas dessa natureza não são recomendáveis sem citação. Desculpe-me, não me leve a mal…
    mas é mais do que necessário citar de onde veio a informação quando não foi você quem elaborou o texto.
    Tenha isso em mente, antes que algo pior aconteça. Uma hora qualquer você utiliza esse artifício
    num trabalho de escola, ou mesmo profissionalmente, e vai ter que arcar com as consequencias.
    É um alerta para seu próprio bem.

    Fica em paz.



  • Eu conheço o autor desse texto:
    http://forum.pfsense.org/index.php/topic,39327.msg202695.html#msg202695

    :o

    Jack, coisas dessa natureza não são recomendáveis sem citação. Desculpe-me, não me leve a mal…
    mas é mais do que necessário citar de onde veio a informação quando não foi você quem elaborou o texto.
    Tenha isso em mente, antes que algo pior aconteça. Uma hora qualquer você utiliza esse artifício
    num trabalho de escola, ou mesmo profissionalmente, e vai ter que arcar com as consequencias.
    É um alerta para seu próprio bem.

    johnnybe,

    Desculpe, mas isso parece ter sido mais uma INFELIZ conscidência do que qualquer outra coisa…
    JAMAIS utilizo material de outra pessoa sem a devida citação... Contudo, o inverso, nem sempre é verdade. Sou professor universitário e tenho centenas de artigos publicados na web (em diversos sites, revistas digitais, etc...) e não raras vezes pego gente usando meu material sem QUALQUER citação!

    Sendo assim, desaconselho completamente esta prática (em outras palavras, concordo em gênero, número e grau com você). Respondi esta theard em questão com base em anotações pessoais. Talvez estas anotações tenham sido derivadas deste outro post que você citou (que aliás é de sua autoria, como você mesmo fez questão de frisar). Neste aspecto peço desculpas, já que não tive a menor intenção de "roubar" sua resposta.

    Abraços!
    Jack



  • @JackL:

    @Thiago:

    @neriberto:

    Eu ainda não testei mas será que não é pq no gmail o protocolo é https ???? saindo por fora assim do squid…

    Teoricamente solicitações https são enviadas via proxy e no caso de ser proxy transparente… toda solicitação chega como gtw e sai como proxy entao acho que nao tem nada a ver.

    Por partes…

    A conexões HTTPS não são remanejadas automaticamente para o teu proxy (SQUID). Isso só acontece se você criar uma regra em "Lan RULES", direcionando as conexões TCP/443 para a porta na qual seu SQUID está escutando (default é 3128).
    Como você faz isso: http://forum.pfsense.org/index.php/topic,38997.0.html

    Contudo, após você implementar essas regras, o Squid deixa de ser um proxy transparente, forçando usuários a configurar o proxy em seus navegadores.

    Ainda em tempo, você pode usar esta tática para resolver a questão do download de anexos via webmail (https). Contudo, para limitar via outlook (como o título do seu post menciona), a metodologia vai precisar ser outra - já que os e-mails chegam por default via POP3S (porta 995) - O que não tem relação nenhuma com o teu serviço de webproxy.

    Abraços!
    Jack

    Jack obrigado pelo esclarecimento… eu realmente acreditava que as conexões HTTP e HTTPS saiam via proxy.... bom.. isso explica bastante... agora vou ver aqui como eu posso fazer para direcionar o trafego vindo da porta 443 para o squid (porta 3128) para que essa solicitação seja feita como o proxy transparente. Seguindo essa logica posso direcionar o trafego da porta 995...110... e por ai vai para que "tudo" saia via proxy de maneira transparente para o usuario.

    Muito obrigado.



  • Jack obrigado pelo esclarecimento… eu realmente acreditava que as conexões HTTP e HTTPS saiam via proxy.... bom.. isso explica bastante... agora vou ver aqui como eu posso fazer para direcionar o trafego vindo da porta 443 para o squid (porta 3128) para que essa solicitação seja feita como o proxy transparente. Seguindo essa logica posso direcionar o trafego da porta 995...110... e por ai vai para que "tudo" saia via proxy de maneira transparente para o usuario.

    @Thiago L Oliveira,

    Não é bem assim… O SQUID é fundamentalmente um webproxy. O objetivo dele é trabalhar com conexões HTTP e, conforme debatido neste post, com possibilidade de trabalhar também com HTTPS. A principal meta do SQUID é fornecer cache para agilizar e otimizar a navegação na web para redes de computadores e trabalhar com ACLs (listas de acesso => O que pode ou não ser acessado na web).

    No entanto, o SQUID não tem por competência trabalhar com protocolos como o POP3 (TCP 110), IMAP (TCP 143), SMTP (TCP 25), etc... Não aconselho você forçar um redirect deste tipo de protocolo para o SQUID (TCP 3128). ;)

    Abraços!
    Jack


Log in to reply