Squid3 + squidGuard Прокси фильтр не запрещает https


  • Приветствую.
    Установлен Pfsense 2.1, squid3 3.1.20, squidGuard-squid3 1.4_4 pkg v.1.9.5 Включен "Transparent HTTP proxy"

    Почему при действии правила Times в Proxy filter, трафик https не запрещается, а вот если включить в настройках браузера прокси то все ок. У меня на части клиентов прокси включен, но они научились его отключать и лазить по https. Как запретить https через прозрачный прокси, чтоб он работал только при включении в свойствах клиента прокси.
    Нашел тут куча тем что https не работает через прозрачный прокси, а почему у меня он работает и как его отключить?
    Можно конешно выключить галку Transparent, но нельзя т.к. часть компов должны ходить мимо прокси т.е. их ip забиты в "Bypass proxy for these source IPs" и при снятии галочки Transparent это поле становится недоступным.

    Т.е. по сути я включаю Transparent лишь для того чтобы некоторые компы ходили мимо прокси, остальные должны ходить только через прокси.


  • Правила Transprent ловят только HTTP.
    Переведите прокси в обычный режим
    Запретите прямой доступ в интернет по HTTP/HTTPS
    Настройте WPAD файл
    Включите у всех пользователей автоконфигурацию прокси в браузерах


  • @dvserg:

    Правила Transprent ловят только HTTP.
    Переведите прокси в обычный режим
    Запретите прямой доступ в интернет по HTTP/HTTPS
    Настройте WPAD файл
    Включите у всех пользователей автоконфигурацию прокси в браузерах

    Так если я переведу прокси в обычный режим, компы которые должны ходить мимо прокси, они будут ходить?


  • Будьте добры уточните что хотите закрыть по HTTPS(определенные ресурсы или весь спектр?)


  • @ZLoBNbIY:

    Будьте добры уточните что хотите закрыть по HTTPS(определенные ресурсы или весь спектр?)

    Я хочу чтобы https вообще не работал когда у клиента в свойствах обозревателя отключен прокси, но при этом  в настройках нужно чтобы Transparent HTTP proxy был включен т.к. некоторые компы должны ходить полностью минуя прокси.


  • @D_Sergeevich:

    @dvserg:

    Правила Transprent ловят только HTTP.
    Переведите прокси в обычный режим
    Запретите прямой доступ в интернет по HTTP/HTTPS
    Настройте WPAD файл
    Включите у всех пользователей автоконфигурацию прокси в браузерах

    Так если я переведу прокси в обычный режим, компы которые должны ходить мимо прокси, они будут ходить?

    Мимо прокси Вы сможете пропускать компы правилами файрвола + соотв настройкой WPAD.


  • @dvserg:

    @D_Sergeevich:

    @dvserg:

    Правила Transprent ловят только HTTP.
    Переведите прокси в обычный режим
    Запретите прямой доступ в интернет по HTTP/HTTPS
    Настройте WPAD файл
    Включите у всех пользователей автоконфигурацию прокси в браузерах

    Так если я переведу прокси в обычный режим, компы которые должны ходить мимо прокси, они будут ходить?

    Мимо прокси Вы сможете пропускать компы правилами файрвола + соотв настройкой WPAD.

    А как настроить файрвол чтоб компы ходили мимо прокси при отключении Transprent ?


  • @D_Sergeevich:

    @dvserg:

    @D_Sergeevich:

    @dvserg:

    Правила Transprent ловят только HTTP.
    Переведите прокси в обычный режим
    Запретите прямой доступ в интернет по HTTP/HTTPS
    Настройте WPAD файл
    Включите у всех пользователей автоконфигурацию прокси в браузерах

    Так если я переведу прокси в обычный режим, компы которые должны ходить мимо прокси, они будут ходить?

    Мимо прокси Вы сможете пропускать компы правилами файрвола + соотв настройкой WPAD.

    А как настроить файрвол чтоб компы ходили мимо прокси при отключении Transprent ?

    Протокол TCP
    Разрешающее правило HTTP  для компьютера1 Src=ip1 port=any Dest=any port=80
    Разрешающее правило HTTPs для компьютера1 Src=ip1 port=any Dest=any port=443
    Разрешающее правило HTTP  для компьютера2 Src=ip2 port=any Dest=any port=80
    Разрешающее правило HTTPs для компьютера2 Src=ip2 port=any Dest=any port=443
    Разрешающее правило HTTP  для компьютера3 Src=ip3 port=any Dest=any port=80
    Разрешающее правило HTTPs для компьютера3 Src=ip3 port=any Dest=any port=443
    Запретить HTTP Src=any port=any Dest=any port=80
    Запретить HTTPS Src=any port=any Dest=any port=443

    Для сокращения количества правил можно использовать алиасы портов и IP адресов.