Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Bloqueio https Pfsense com Squid Autenticado

    Scheduled Pinned Locked Moved Portuguese
    11 Posts 7 Posters 5.7k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • W
      wilsonfr
      last edited by

      Boa tarde!
      Pessoal esse é meu primeiro post, já fiz muita leitura sobre o tema bloqueio Https (Facebook), mas não estou tendo sucesso.
      Meu cenário é o seguinte:
      Cisco appliance ASA5505(onde estão meus links de Internet)
      Servidor Pfsense 2.1(Lan /Wan) com
      Squid com autenticação openLdap (funcionando OK)
      SquidGuard

      Portas liberadas(lan)
      DNS(53),LDAP(389),PROXY(3128)

      Portas bloqueadas(lan)
      http,https e range ips Facebook

      Se eu tirar o proxy (navegador) e liberar as portas http e https eu aplicar as regras de bloqueios Facebook e consigo bloquear certinho. O problema que eu preciso do proxy autenticado. Se eu colocar no proxy novamente mesmo com as regras de bloqueio o https(facebook) passa batido.
      Pelo log dá para perceber que o squid é quem faz esse redicionamento, pois todas as requisições vão pela porta 3128 e não pela 443.
      Tentei fazer a seguinte regra já que tenho que liberar a porta do squid,mas não funcionou para bloquear o Facebook:

      Proto  Source  Port  Destination  Port  Gateway  Action
      Ipv4  LAN net  *    !Facebook    3128      *        Pass

      Pelo que percebi pelo proxy transparente é fácil ,mas estou apanhando feio com o proxy autenticado.

      Alguém já conseguiu implementar algo do tipo com proxy autenticado??

      Abraços

      1 Reply Last reply Reply Quote 0
      • ?
        A Former User
        last edited by

        você pode ativar o ssl (man in the middle) do squid. aí ele vai pegar tudo de https.

        1 Reply Last reply Reply Quote 0
        • L
          LFCavalcanti
          last edited by

          Meu caro, proxy autenticado é "não transparente" por natureza, então conexões HTTPS deveriam passar por ele e serem filtrados normalmente.

          Ou a configuração de filtragem do SquidGuard abre brechas para os usuários ou há nos navegadores onde não há proxy para portas HTTPS, e como você deixou a porta liberada…

          Use os dois recursos, crie um ALIAS no Firewall e adicione todas as redes do Facebook, depois crie uma regra na LAN bloqueanto TUDO que tenha como destino esse ALIAS. Pronto.

          –

          Luiz Fernando Cavalcanti
          IT Manager
          Arriviera Technology Group

          1 Reply Last reply Reply Quote 0
          • J
            johnnybe
            last edited by

            @UnDr3aD:

            você pode ativar o ssl (man in the middle) do squid. aí ele vai pegar tudo de https.

            Se for o squid3-dev (uso ele transparente), bloqueia inclusive o Ultrasurf e o Tor sem precisar de qualquer regra adicional ou mesmo blacklist no Proxy. Muito bom!
            Apenas algumas observações das minhas dificuldades até aqui:
            1- Smartphone com alguns apps, como o facebook: Não encontrei como instalar o certificado, portanto bloqueia acesso. Tive que usar Bypass Proxy.
            2- Dropbox sync, instalado nas estações: Tive que criar regra na LAN. Não funcionava com whitelist, Bypass proxy for these destination IPs ou source.

            you would not believe the view up here

            1 Reply Last reply Reply Quote 0
            • marcellocM
              marcelloc
              last edited by

              Johnnybe, este foi o feedback mais completo e funcional que já recebi sobre o squid3-dev.

              O funcionamento é esse mesmo.
              Se meter no ssl não é tão trivial assim. :)

              Treinamentos de Elite: http://sys-squad.com

              Help a community developer! ;D

              1 Reply Last reply Reply Quote 0
              • J
                johnnybe
                last edited by

                @marcelloc:

                Johnnybe, este foi o feedback mais completo e funcional que já recebi sobre o squid3-dev.

                O funcionamento é esse mesmo.
                Se meter no ssl não é tão trivial assim. :)

                Obrigado, Marcello.
                Estou testando ele com interceptação SSL no meu escritório há alguns dias justamente para verificar as eventuais dificuldades.
                Fiquei agradavelmente surpreso com o bloqueio do Ultrasurf/Tor, conforme já informei.
                Estou muito propenso a colocar uma Nota a respeito do Squid3-dev no blog, destacando as observações que fiz até aqui e, sem dúvida alguma, citá-lo como o desenvolvedor do pacote. Pretendo também nesta Nota, alertar sobre a instalação das dependências.

                you would not believe the view up here

                1 Reply Last reply Reply Quote 0
                • M
                  mantunespb
                  last edited by

                  Johnmybe

                  Parabéns pelo feedback, ainda não tive como testar, porem aguardo sua nota para fazer.

                  1 Reply Last reply Reply Quote 0
                  • _
                    _elohin_
                    last edited by

                    @johnnybe:

                    @UnDr3aD:

                    você pode ativar o ssl (man in the middle) do squid. aí ele vai pegar tudo de https.

                    Se for o squid3-dev (uso ele transparente), bloqueia inclusive o Ultrasurf e o Tor sem precisar de qualquer regra adicional ou mesmo blacklist no Proxy. Muito bom!
                    Apenas algumas observações das minhas dificuldades até aqui:
                    1- Smartphone com alguns apps, como o facebook: Não encontrei como instalar o certificado, portanto bloqueia acesso. Tive que usar Bypass Proxy.
                    2- Dropbox sync, instalado nas estações: Tive que criar regra na LAN. Não funcionava com whitelist, Bypass proxy for these destination IPs ou source.

                    Perguntinha meio besta (sou novo no pfsense): Devo instalar o squid3-dev sozinho ou primeiro o squid3? Ou o squid-dev instala o squid3?

                    1 Reply Last reply Reply Quote 0
                    • ?
                      A Former User
                      last edited by

                      squid3-dev. caso você use o pfsense 2.1 e queira instalar o filtro de proxy, instale o squidguard-squid3 também!

                      1 Reply Last reply Reply Quote 0
                      • _
                        _elohin_
                        last edited by

                        @UnDr3aD:

                        squid3-dev. caso você use o pfsense 2.1 e queira instalar o filtro de proxy, instale o squidguard-squid3 também!

                        Anotado! Obrigado!

                        Atualização:  Amigo instalei o negócio aqui, simplesmente inacreditável, filtra tudo!!!!!
                        Só avisando os novatos como eu é que após instalar o squid3-dev, tem que fazer os downloads das bibliotecas! Mais informações: http://forum.pfsense.org/index.php?topic=62263.0

                        To besta!!!!! kkkk

                        1 Reply Last reply Reply Quote 0
                        • marcellocM
                          marcelloc
                          last edited by

                          @_elohin_:

                          To besta!!!!! kkkk

                          Este é o resultado de várias horas de pesquisa, codificação e testes.

                          Treinamentos de Elite: http://sys-squad.com

                          Help a community developer! ;D

                          1 Reply Last reply Reply Quote 0
                          • First post
                            Last post
                          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.