Bypass domínios .gov.br usando proxy transparente filtrando ssl

hugoteleco

Fiz a instalação do Squid3+squidguard em modo transparente, filtrando ssl ok…Funcionando! Para efeito de teste, deixei as rules abertas sem bloqueio de nada.

Sites que solicitam acesso com certificado digital, como receita, sefaz e etc... apresentam erro ao reconhecer os certificados digitais, não autenticam e passam para a próxima tela informando que não foi possível reconhecer o certificado e bla bla bla.

• Liberei no squidguard a acl sites governamentais
• Adicionei na whitelist do squid: .gov.br, .receita.fazenda.gov.br, .sefaz.am.gov.br e etc...
• Tentei usar a opção de bypass destinations ip, porém tenho que ficar levantando quais ips ou range que mudam com frequência.

Acredito que o ideal nestes casos é fazer um bypass nos domínios, para que não passem via proxy. A questão é como fazer isso usando proxy transparente? Pergunto, pois vi em alguns posts que via wpad funfa legal adicionando as exceções (DIRECT). No meu caso é diferente.

pfsense 2.2.6
squid3
squidguard

Desde já agradeço,

hugoteleco

Pessoal, perdão!

Acabei encontrando uma dica aqui neste link: https://forum.pfsense.org/index.php?topic=96331.msg536370#msg536370

Não sei se é a melhor solução, mas vou testar e o resultado eu posto aqui.

Valeu

hugoteleco

Pessoal, fazendo o procedimento desta forma https://forum.pfsense.org/index.php?topic=96331.msg536370#msg536370 funciona, mas tenho que ficar adicionando os sites na mão. Tem alguma forma de deixar todos os domínios tipo .gov.br não passando pelo proxy?

Lembrando que usando proxy transparente com filtro ssl.

help!

marcelloc

@hugoteleco:

Tem alguma forma de deixar todos os domínios tipo .gov.br não passando pelo proxy?

Sem passar pelo proxy ou qualquer outra coisa que suba até a camada de aplicação não.

hugoteleco

Entendi! Obrigado Marcello.

Então a melhor opção neste caso, seria usar wpad, deixando o domínio nas exceção, certo? Ficaria mais ou menos assim…

function FindProxyForURL(url, host) {

// If the hostname matches, send direct.
    if (dnsDomainIs(host, "intranet.domain.com") ||
        shExpMatch(host, "(*.gov.br|gov.br)"))
        return "DIRECT";

marcelloc

Isso. Mas não se esqueça que vai ter que liberar acesso direto no firewall também.

hugoteleco

Beleza Marcello, valeu!

Agora pergunto, só para efeito de dúvida mesmo…se com Wpad tudo funciona, qual a desvantagem de usá-lo? (saindo um pouco do assunto principal).

Pelo que entendi atende as seguintes dificuldades:

• Não necessário setar manualmente nos navegadores.
• Filtros ssl do squid3 e squidguard continuam funcionando.
• Em caso de autenticação por grupos do AD funciona.
• Bypass pelo proxy de algum domínio critico
• Posso informar quais redes lan, passam pelo proxy X , Y ou não passam.

Reforço a pergunta: Em que cenário não é recomendado utilizar wpad?

Desde já agradeço é que já pesquisei em diversos locais, e as vezes tem tanta informação publicada de forma diferente que dá um nó na cabeça.

Obrigado mais uma vez!

andr3.ribeiro

Até onde precisei dele, pra mim, o wpad é um remédio sem contra indicações.

marcelloc

Celulares,  tables, java ignoram/não interpretam o wpad.