Bloqueio de trafego HTTPS utilizando o SquidGuard sem Certificado Digital
-
Ola galera!
Alguem tem alguma dica para bloqueio de WhatsApp e Facebook pelo SquidGuard "ProxyFilter".
Ja encontrei algumas solucoes utilizando o Firewall com Rules/Aliases (bloqueio por CIDR "Range de IP's").
Tentei este mesmo metodo incluindo no SquidGuard "ProxyFilter" (Bloqueio por "CIDR" e tambem "URL's") consegui no trafego (HTTP) ja com o trafego (HTTPS) somente utilizando o Certificado Digital, mais nao gostaria que no lado do cliente seja necessario utilizar/instalar Certificado Digital.
O ambiente é liberar o acesso por autenticacao e por nivel.
"Contas nivel Master (Full Acesso)" "Contas nivel Users (Acesso Restrito)"
Alguem tem alguma sugestao/dica/solucao??! Agradeco desde ja!
8) ;)derikdk@gmail.com -
Whastapp pode fazer via firewall mesmo usando essa lista: https://www.whatsapp.com/cidr.txt
Facebook eu tenho uma regra personalizada no Squidguard bloqueando o dominio: facebook.com, está funcionando normal.
-
Ola Tomas Waldow!
Poderia compartilhar essa regra personalizada no SquidGuard? -
A categoria está em anexo, depois de criada ela aparece nas Targets Rules em Common ACL.
Aí só definir como Deny, ela deve aparecer no início da lista;
-
Não adianta bloquear domínio, porque o pfs não enxerga 443.
Faz como eu fiz, bloqueia a porta 443, e desbloqueia so o que precisam e solicitam, não tem controle melhor (ninguem mais compra online na empresa, nem fica em rede social, nem youtube :P)… Depois é só criar aliaises com a exceção.. bj vlw flws -
Não adianta bloquear domínio, porque o pfs não enxerga 443.
Claro que adianta! Eu tenho funcionando dessa forma, e não é questão do PFSense, pois quem faz esse bloqueio é o Squid/SquidGuard;
O bloqueio é feito pela url não pelo conteúdo. Se precisar ter uma pagina com mensagem de bloqueio, aí sim precisa fazer a interceptação do tráfego.Use proxy ativo (não transparente) que faz o bloqueio e se tiver duvidas posso te mostrar funcionando.
-
Boa noite!
Tomas, você esta usando proxy não transparente? -
Boa noite!
Tomas, você esta usando proxy não transparente?Sim, eles chamam de "Ativo", uso com WPAD para não precisar ajustar o proxy em cada computador da rede.
-
Olá tomas poderia mostrar suas configurações para o proxy ativo qual a versão do squid que você usa e a configuração do wpad, eu usava antes em outro firewall mais no pfSense não consegui configurar ele com wpad.
Obrigado
-
Olá tomas poderia mostrar suas configurações para o proxy ativo qual a versão do squid que você usa e a configuração do wpad, eu usava antes em outro firewall mais no pfSense não consegui configurar ele com wpad.
Obrigado
TreeDark, siga os procedimentos abaixo, não tem erro. [Tem no google :P]
http://www.pfsense-br.org/blog/2013/12/configuracao-wpad-no-pfsense-2-1/
-
Olá fiz essas configs o http passa redondo ja o https ele não abre
o que será que está acontecendo.
-
Olá fiz essas configs o http passa redondo ja o https ele não abre
o que será que está acontecendo.
Como assim https?
a Web-gui de seu pfsense está rodando em https?
o WPAD tem que ser http
-
Olá desculpe me expressei mal.
quanto ao wpad funcionou ok
quando vou acessar os sites que está o problema.
sites em http funciona beleza ja em https não vai.
eu coloquei regra no firewall para passar somente pela porta do proxy 3128.
Mais https não vai so http.
-
Se puder passar as suas configurações do Squid e Firewall para eu comparar se tem algo diferente do que eu uso;
-
Se puder passar as suas configurações do Squid e Firewall para eu comparar se tem algo diferente do que eu uso;
Eu utilizo proxy Ativo, acho que você está utilizando proxy transparente não? O Wpad é para configurar automaticamente o navegador dos usuários para se autenticarem no squid.
-
Se puder passar as suas configurações do Squid e Firewall para eu comparar se tem algo diferente do que eu uso;
Minhas regras estão assim.
está desativada agora mais quando uso só deixo as 2 primeiras ativas.
Segue as regras abaixo
-
PessoALL, primeiramente agraço a participação de todos e as informações compartilhada. Vai ser de grande HELP!
Levando em considerações essas informações surgiu algumas duvidas:No meu ambiente tenho o DNS e o DHCP em Windows e para ter sucesso necessito destes requisitos?
DNS (http://technet.microsoft.com/en-us/library/cc995158.aspx)
DHCP (http://technet.microsoft.com/pt-br/library/cc940962(v=ws.10).aspx) "Para criar uma entrada WPAD no serviço de Servidor DHCP"Ja no PFSense devo executar somente o 1 passo?
1 Passo (http://www.pfsense-br.org/blog/2013/12/configuracao-wpad-no-pfsense-2-1/)1 - Este procedimento sera para conseguir efetuar bloqueio com o uso das configurações do ProxyFilter/ProxyServer do PFSense no trafego HTTP e HTTPS sem o uso de Certificado Digital?
2 - Todo o trafego exemplo (RDP/SSH/SMTP/etc) do equipamento sera redirecionado para a porta do PROXY ("3129")?
3 - E se o cliente utilizar um smartphone/tablet/notebook, quando ele sair deste ambiente tera que alterar alguma configuração para conseguir se conectar em outras REDES. (EX: em casa, em hotel, tera que alterar a opção de proxy?)
4 - Onde verifico se a estação foi configurado o WPAD corretamente?
5 - Posso deixar do PFSense no Proxy/Server a opção Transparent HTTP proxy marcada?
6 - E as estações que estao no meu parque posso deixar fora dessa alteração de proxy, estao todas no mesmo range de IP 192.168.0.1/24?Agradeço desde já!
Para complementar achei esses links muito bom:
http://pt.wikipedia.org/wiki/WPAD
http://guiadoti.blogspot.com.br/2012/12/proxy-com-wpad-pelo-dhcp.html
-
-
Se puder passar as suas configurações do Squid e Firewall para eu comparar se tem algo diferente do que eu uso;
Eu utilizo proxy Ativo, acho que você está utilizando proxy transparente não? O Wpad é para configurar automaticamente o navegador dos usuários para se autenticarem no squid.
Tomas
Nestes clientes tem algum que utiliza equipamento proprio, ou que utiliza outra rede Ex: smartphone/notebook que o usuario vai utilizar na sua casa.
Pergunto para saber quando esse cliente sair da empresa e tenta utilizar em outra rede ele tem que alterar a configuracao do proxy em seu equipamento?? Ex vou ter que retirar o proxy que meu WPAD configurou automatico neste equipamento.
Vai ser de grande ajuda sua resposta! -
Não precisa configurar nada nas máquinas, só estar habilitado o "Detectar automaticamente as configurações" nos ajustes de proxy.
Nos smartphones na própria configuração da rede sem no aparelho você informa o proxy somente para aquela rede, cada rede tem a sua configuração.
Sem nenhum problema.