[Resolvido]HTTPS passando pelo SQUID e não sendo bloqueado na Regras de Firewall



  • Estou com uma situação inusitada, pelo menos para mim.
    Mesmo bloqueando todo o acesso HTTPS na RULES, a navegação HTTPS é realizada, pelo PROXY. Ao desabilitar o proxy no navegador, o acesso HTTP é realizado normalmente, porque não há bloqueio, mas a HTTPS é bloqueada.
    Habilitando o PROXY, novamente no navegador, os acessos HTTPS são realizados normalmente.
    Dúvida: Não é dito que o tráfego HTTPS não é realizado pelo SQUID. Ao analisar os ESTADOS não vejo conexão HTTPS entre a origem e o destino. Vejo apenas a conexão da "origem >> pFsense(3128)" e outra "pFsense(porta alta) >> IP_Desntino(443)". Nesse caso HTTPS a conexão não deveria ser "origem>>pFsense>>IP_destino(443)" ?

    Resumo: Com essa situação, não consigo permitir apenas os acessos HTTPS que desejo.



  • Primeira mente… Bem vindo a Comunidade Brasileira do PFSense :D

    Sobre sua dúvida:

    Primeiro ponto é saber como estão suas regras de Firewall. Pois se você possui uma regra que libere a porta, a regra padrão para LAN por exemplo, o PFSense bloqueia a conexão. Diga-nos como configurou a porta.

    Sobre o proxy transmitir HTTPS. O Squid não capta automaticamente o trafego pela porta 443(HTTPS), apenas da 80(HTTP). Quando você configura o navegador para utilizar um proxy, este encaminhará todas as suas conexões para este proxy.

    Por isso na maioria dos casos é melhor que o proxy seja configurado como "Não transparente" e os navegadores tenham o endereço de proxy configurado. Em modo transparente é muito mais dificil controlar.



  • Boa tarde, consegui resolver. Observando que as conexões eram finalizadas dentro do proxy e a partir dele, criada uma nova conexão. Verifiquei que não adiantava crias os bloqueios de HTTPS nem na LAN nem na WAN. Consegui êxito criando o bloqueio na opção "Floating". Testado e concluído com sucesso.

    Obrigado



  • @juniordamasceno:

    Consegui êxito criando o bloqueio na opção "Floating".

    Isso porque o squid inicia o trafego no proprio servidor, onde as regras de lan e wan não tem efeito  :)



  • Pode mostrar em print a sua regra de Floating?


Log in to reply