Bloqueio https proxy transparente por horario



  • BBoa tarde a todos, sou novo no fórum e estou começando agora no mundo do Pfsense.

    Seguindo vários tópicos consegui bloquear os sites pelo squidguard, mas não consegui bloquear o https, eu tenho a regra do  bloquei https do facebook criada em alises, mas não me resolve porque preciso bloquear por horário então ela está desabilitada, também fiz a regra para bloquear as portas 80 e 443 em rules, mas ai todos os https não funcionam.

    minha intenção é: bloquear as redes sociais durante o horário de trabalho,

    Alguém pode me ajudar :x

    a versão é: 2.1.3-RELEASE (amd64



  • Olá, bem vindo.
    Eu uso Squid (ativo) com WPAD + SquidGuard, sem interceptar trafego HTTS, somente fazendo o bloqueio criando uma Target no SquidGuard, lá também você pode definir os horários.



  • @Tomas:

    Olá, bem vindo.
    Eu uso Squid (ativo) com WPAD + SquidGuard, sem interceptar trafego HTTS, somente fazendo o bloqueio criando uma Target no SquidGuard, lá também você pode definir os horários.

    Obrigado pela ajuda amigo,

    mas infelizmente não sei o que é o WPAD, teria um tutorial ou algo falando sobre ?
    e se eu ativar isso, minha blacklist do squidguard vai conseguir bloquear os HTTPS é isso?



  • Cria uma schedule, nas regras do firewall, do horário que você quer bloquear. Simples.

    O ruim é que vai ter que fazer no SquidGuard e no firewall, mas funciona.

    Olha os prints que eu anexei, é bem o que tu precisa.

    ![firewall - schedule.png](/public/imported_attachments/1/firewall - schedule.png)
    ![firewall - schedule.png_thumb](/public/imported_attachments/1/firewall - schedule.png_thumb)
    ![firewall - rules.png](/public/imported_attachments/1/firewall - rules.png)
    ![firewall - rules.png_thumb](/public/imported_attachments/1/firewall - rules.png_thumb)



  • @epboeira:

    Cria uma schedule, nas regras do firewall, do horário que você quer bloquear. Simples.

    O ruim é que vai ter que fazer no SquidGuard e no firewall, mas funciona.

    Olha os prints que eu anexei, é bem o que tu precisa.

    VLWW manoo, é bem isso ai…

    mas ai vou ter que criar regras pra todos os sites https, por exemplo o twitter.

    vc teria algum site que descobre os hosts ?



  • Fazer todas estas regras por firewall para mim não compensa. Melhor trabalhar com Proxy Ativo que todos os bloqueios que precisa podem ser feitos no SquidGuard usando as categorias que existem nas BlackLists ou criar uma categoria e colocar os dominios.

    WPAD é um forma simples e automática de entregar aos navegadores as configurações de proxy sem ter a necessidade de configurar manualmente em cada estação.
    http://www.pfsense-br.org/blog/2013/12/configuracao-wpad-no-pfsense-2-1/

    Obviamente que é necessário somente liberar o trafego das portas necessárias, desligar a regra padrão que habilita todo tráfego, uma regra para cada serviço: DNS, NTP, Proxy, etc…



  • Sempre implementei proxy transparente justamente pra não me incomodar configurando proxy manual. Já conhecia o WPAD, porém, ainda não testei.

    Vou fazer em um ambiente de teste aqui.

    Mas aí vc precisa usar o squid3, com ssl pra bloquear os https, né?



  • @VitorRuan:

    VLWW manoo, é bem isso ai…

    mas ai vou ter que criar regras pra todos os sites https, por exemplo o twitter.

    vc teria algum site que descobre os hosts ?

    Sim, vai ter que incluir as redes dos serviços que você quer bloquear. Essa é a parte chata e que exige mais tempo e também uma manutenção eventual, já que tem horas que os ips mudam e começa a bloquear outros sites que vc não queria.

    Também atente pra não colocar uma máscara muito baixa. Por preguiça, já fiz isso. Ex.: a rede que precisava bloquear era x.y.z.0/24, depois outra x.y.w.0/24 aí eu fazia uma regra bloqueando a rede x.y.0.0/16. E muitos sites dentro desse range eram bloqueados também.

    Tem aqui no forum alguns range de ips do Facebook e do Whatsapp. Twitter não lembro de ter visto.

    Mas esses ips volta e meia estão mudando, ainda mais por causa da maioria dos serviços estar em clouds que são dinâmicas.

    Uma outra dica pra 'garimpar' por onde os usuários estão 'escapando' nas regras é usar o TCP View¹. Abre ele em uma máquina da rede e vai abrindo os sites que você quer bloquear, ele mostra em qual ip e porta está conectando, aí você faz a regra, aplica e testa novamente. E por aí vai…. são horas de 'pura diversão'... hehehe

    ¹ http://technet.microsoft.com/en-us/sysinternals/bb897437.aspx



  • @epboeira:

    Mas aí vc precisa usar o squid3, com ssl pra bloquear os https, né?

    Uso sim o Squid3-dev por achar melhor e mais rapido, mas não faço interceptação de SSL, o Squid + SquidGuard vão bloquear pela URL e não precisa ter acesso ao conteúdo. O único ponto que não fica, digamos estiticamente bom é que as paginas em HTTPS não vão apresentar a tela de bloqueio, vai aparecer que o site não está disponível, na pratica o resultado é o mesmo.



  • @Tomas:

    @epboeira:

    Mas aí vc precisa usar o squid3, com ssl pra bloquear os https, né?

    Uso sim o Squid3-dev por achar melhor e mais rapido, mas não faço interceptação de SSL, o Squid + SquidGuard vão bloquear pela URL e não precisa ter acesso ao conteúdo. O único ponto que não fica, digamos estiticamente bom é que as paginas em HTTPS não vão apresentar a tela de bloqueio, vai aparecer que o site não está disponível, na pratica o resultado é o mesmo.

    Entendi, mas esse bloqueio de https você faz pelo squidGuard ou pelo firewall?



  • SquidGuard normalmente, pois como te falei vai pegar a URL não o conteúdo.



  • @Tomas:

    SquidGuard normalmente, pois como te falei vai pegar a URL não o conteúdo.

    Estou fazendo uns testes aqui e vi o bloqueio. Bem interessante. O problema é instalar o certificado nas máquinas.



  • @epboeira:

    Estou fazendo uns testes aqui e vi o bloqueio. Bem interessante. O problema é instalar o certificado nas máquinas.

    Mas que certificado? Não precisa de certificado.



  • @Tomas:

    Fazer todas estas regras por firewall para mim não compensa. Melhor trabalhar com Proxy Ativo que todos os bloqueios que precisa podem ser feitos no SquidGuard usando as categorias que existem nas BlackLists ou criar uma categoria e colocar os dominios.

    WPAD é um forma simples e automática de entregar aos navegadores as configurações de proxy sem ter a necessidade de configurar manualmente em cada estação.
    http://www.pfsense-br.org/blog/2013/12/configuracao-wpad-no-pfsense-2-1/

    Obviamente que é necessário somente liberar o trafego das portas necessárias, desligar a regra padrão que habilita todo tráfego, uma regra para cada serviço: DNS, NTP, Proxy, etc…

    Estou tentando seguir o tutorial, entrei via ssh, entrei no shell, mas quando do o comando aparece a mensagem: /usr/local/www/wpad.dat  command not found.

    entrei na pasta www dei um ls e realmente não criou os arquivos

    e em relação a excluir a regra que libera o tráfego todo, quais serviços eu teria que libera para liberar a navegação, teria um print dessas regras =x



  • @VitorRuan:

    @Tomas:

    Fazer todas estas regras por firewall para mim não compensa. Melhor trabalhar com Proxy Ativo que todos os bloqueios que precisa podem ser feitos no SquidGuard usando as categorias que existem nas BlackLists ou criar uma categoria e colocar os dominios.

    WPAD é um forma simples e automática de entregar aos navegadores as configurações de proxy sem ter a necessidade de configurar manualmente em cada estação.
    http://www.pfsense-br.org/blog/2013/12/configuracao-wpad-no-pfsense-2-1/

    Obviamente que é necessário somente liberar o trafego das portas necessárias, desligar a regra padrão que habilita todo tráfego, uma regra para cada serviço: DNS, NTP, Proxy, etc…

    Estou tentando seguir o tutorial, entrei via ssh, entrei no shell, mas quando do o comando aparece a mensagem: /usr/local/www/wpad.dat  command not found.

    entrei na pasta www dei um ls e realmente não criou os arquivos

    e em relação a excluir a regra que libera o tráfego todo, quais serviços eu teria que libera para liberar a navegação, teria um print dessas regras =x

    Você pode primeiro criar um arquivo, editar o conteúdo, depois duplicar ele, modificando o nome. É o básico na parte de lidar com arquivos.
    Receita de bolo:

    Vai no diretório /usr/local/www, cria o arquivo:
    Pra criar pode usar touch wpad.dat.
    Depois edita com ee wpad.dat
    Joga o conteúdo pra dentro do arquivo observando pra ver se não apareceu nenhum caractere estranho junto (comigo aconteceu na 1ª vez). Salva.
    Depois copia esse arquivo, renomeando para os outros nomes:
    cp wpad.dat wpad.da
    cp wpad.dat proxy.pac

    OBS.:
    Até ontem, não tinha conseguido fazer funcionar. Pingava no wpad mas não pegava o script.
    Hoje consegui fazer funcionar porque desconfiei daquele apontamento no dns, que no tutorial dizia wpad.empresa.local. Já que meu host não é este.
    Alterei pra wpad.nome.do.meu.host e aí começou a funcionar.
    #ficadica



  • @epboeira:

    @VitorRuan:

    @Tomas:

    Fazer todas estas regras por firewall para mim não compensa. Melhor trabalhar com Proxy Ativo que todos os bloqueios que precisa podem ser feitos no SquidGuard usando as categorias que existem nas BlackLists ou criar uma categoria e colocar os dominios.

    WPAD é um forma simples e automática de entregar aos navegadores as configurações de proxy sem ter a necessidade de configurar manualmente em cada estação.
    http://www.pfsense-br.org/blog/2013/12/configuracao-wpad-no-pfsense-2-1/

    Obviamente que é necessário somente liberar o trafego das portas necessárias, desligar a regra padrão que habilita todo tráfego, uma regra para cada serviço: DNS, NTP, Proxy, etc…

    Estou tentando seguir o tutorial, entrei via ssh, entrei no shell, mas quando do o comando aparece a mensagem: /usr/local/www/wpad.dat  command not found.

    entrei na pasta www dei um ls e realmente não criou os arquivos

    e em relação a excluir a regra que libera o tráfego todo, quais serviços eu teria que libera para liberar a navegação, teria um print dessas regras =x

    Você pode primeiro criar um arquivo, editar o conteúdo, depois duplicar ele, modificando o nome. É o básico na parte de lidar com arquivos.
    Receita de bolo:

    Vai no diretório /usr/local/www, cria o arquivo:
    Pra criar pode usar touch wpad.dat.
    Depois edita com ee wpad.dat
    Joga o conteúdo pra dentro do arquivo observando pra ver se não apareceu nenhum caractere estranho junto (comigo aconteceu na 1ª vez). Salva.
    Depois copia esse arquivo, renomeando para os outros nomes:
    cp wpad.dat wpad.da
    cp wpad.dat proxy.pac

    OBS.:
    Até ontem, não tinha conseguido fazer funcionar. Pingava no wpad mas não pegava o script.
    Hoje consegui fazer funcionar porque desconfiei daquele apontamento no dns, que no tutorial dizia wpad.empresa.local. Já que meu host não é este.
    Alterei pra wpad.nome.do.meu.host e aí começou a funcionar.
    #ficadica

    consegui pingar wpad.meuhost.com.br, e joguei o ip do meu firewall/wpad.dat e baixou um arquivo.

    acho que deu certo né?

    oque mais tenho que fazer agora?

    preciso de uma força na parte de liberação dos serviços na lan
    ficaria grato se alguém poder me ajudar



  • pass * * * LAN Address 443 80 22 * * Anti-Lockout Rule

    IPv4 TCP/UDP LAN net * LAN address 53 (DNS) * none

    IPv4 TCP LAN net * LAN address 3128 * none

    IPv4 TCP LAN net * LAN address 3129 * none

    IPv4 TCP LAN net * * 21 (FTP) * none

    essas são as regras que criei pra teste, mas quando eu ativo elas e desativo as que libera tudo, alguns sites http funcionam tipo: globo.com, youtube.com,

    os sites https não funcionaram nenhum.

    eu desabilitei todas as regras do squid pra teste.



  • Fez as configurações no dns server também?

    As estações estão com dhcp ativado, ou é manual?



  • @epboeira:

    Fez as configurações no dns server também?

    As estações estão com dhcp ativado, ou é manual?

    fiz o dns forwader e o boot/DHCP adicional

    as maquinhas estão com DHCP ativo



  • @VitorRuan:

    @epboeira:

    Cria uma schedule, nas regras do firewall, do horário que você quer bloquear. Simples.

    O ruim é que vai ter que fazer no SquidGuard e no firewall, mas funciona.

    Olha os prints que eu anexei, é bem o que tu precisa.

    VLWW manoo, é bem isso ai…

    mas ai vou ter que criar regras pra todos os sites https, por exemplo o twitter.

    vc teria algum site que descobre os hosts ?

    Eu tenho uma regra de horários no Schedules para liberar acesso ao facebook e twitter.

    12h - 14h - liberado
    17:30 - 9h(outro dia) - liberado

    Fora disso permanece bloqueado.

    Você pode usar esse site aqui http://bgp.he.net/ para descobrir quais ip's de determinados sites você quer, pois você irá precisar deles para criar seu ALIASES para aplicar na regra do schedules.

    ;)



  • @Ducarmo:

    @VitorRuan:

    @epboeira:

    Cria uma schedule, nas regras do firewall, do horário que você quer bloquear. Simples.

    O ruim é que vai ter que fazer no SquidGuard e no firewall, mas funciona.

    Olha os prints que eu anexei, é bem o que tu precisa.

    VLWW manoo, é bem isso ai…

    mas ai vou ter que criar regras pra todos os sites https, por exemplo o twitter.

    vc teria algum site que descobre os hosts ?

    Eu tenho uma regra de horários no Schedules para liberar acesso ao facebook e twitter.

    12h - 14h - liberado
    17:30 - 9h(outro dia) - liberado

    Fora disso permanece bloqueado.

    Você pode usar esse site aqui http://bgp.he.net/ para descobrir quais ip's de determinados sites você quer, pois você irá precisar deles para criar seu ALIASES para aplicar na regra do schedules.

    ;)

    Vlw pela ajuda ai mano, mas agora estou tentando bloquear pelo proxy transparente, pq quando eu bloqueio pelo firewall ele só diz que a pagina está fora, e eu quero redirecionar ou deixar uma mensagem quando a pagina for bloqueada.



  • O proxy transparente não intercepta https. Ou tira do transparente ou vai ter que fazer pelo firewall.

    Tô testando um servidor com proxy não transparente e wpad. Está funcionando bem. Bloqueia tudo que eu marco no squidguard, http e https. Os bloqueios https não aparece a mensagem, mas ao meu ver, o que importa é o bloqueio, não a mensagem.



  • @epboeira:

    O proxy transparente não intercepta https. Ou tira do transparente ou vai ter que fazer pelo firewall.

    Tô testando um servidor com proxy não transparente e wpad. Está funcionando bem. Bloqueia tudo que eu marco no squidguard, http e https. Os bloqueios https não aparece a mensagem, mas ao meu ver, o que importa é o bloqueio, não a mensagem.

    Exatamente o que tento dizer em vários posts e o pessoal não entende.
    Não precisa interceptar o trafego HTTPS para bloquear sites, basta ter proxy ativo e não permitir as portas 80 e 443 e pronto.



  • Tomas, uma dúvida me surgiu agora:

    Qual a maneira mais prática pra fazer o pessoal que acessa por wifi em celular acessar a Internet?
    Estou ativando um proxy não transparente, com wpad.



  • Nos celulares vai ter que informar o proxy manualmente, não encontrei forma de fazer funcionar por WPAD.
    Parece que tem alguma cosia com os navegadores móveis.



  • Pessoal, agora está acontecendo uma coisa muito estranha.

    ativei o loadbalance, tenho duas internet aqui, quando retiro a principal (wan2) a secundaria assume (wan1)
    mas quando a wan1 assume todos os sites http estão bloqueados, e os https funcionam, desativei tudo na black list já, e quando ta na wan2 funciona normal.