Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Bypass domínios .gov.br usando proxy transparente filtrando ssl

    Scheduled Pinned Locked Moved Portuguese
    9 Posts 3 Posters 1.9k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • H
      hugoteleco
      last edited by

      Fiz a instalação do Squid3+squidguard em modo transparente, filtrando ssl ok…Funcionando! Para efeito de teste, deixei as rules abertas sem bloqueio de nada.

      Sites que solicitam acesso com certificado digital, como receita, sefaz e etc... apresentam erro ao reconhecer os certificados digitais, não autenticam e passam para a próxima tela informando que não foi possível reconhecer o certificado e bla bla bla.

      • Liberei no squidguard a acl sites governamentais
      • Adicionei na whitelist do squid: .gov.br, .receita.fazenda.gov.br, .sefaz.am.gov.br e etc...
      • Tentei usar a opção de bypass destinations ip, porém tenho que ficar levantando quais ips ou range que mudam com frequência.

      Acredito que o ideal nestes casos é fazer um bypass nos domínios, para que não passem via proxy. A questão é como fazer isso usando proxy transparente? Pergunto, pois vi em alguns posts que via wpad funfa legal adicionando as exceções (DIRECT). No meu caso é diferente.

      pfsense 2.2.6
      squid3
      squidguard

      Desde já agradeço,

      1 Reply Last reply Reply Quote 0
      • H
        hugoteleco
        last edited by

        Pessoal, perdão!

        Acabei encontrando uma dica aqui neste link: https://forum.pfsense.org/index.php?topic=96331.msg536370#msg536370

        Não sei se é a melhor solução, mas vou testar e o resultado eu posto aqui.

        Valeu

        1 Reply Last reply Reply Quote 0
        • H
          hugoteleco
          last edited by

          Pessoal, fazendo o procedimento desta forma https://forum.pfsense.org/index.php?topic=96331.msg536370#msg536370 funciona, mas tenho que ficar adicionando os sites na mão. Tem alguma forma de deixar todos os domínios tipo .gov.br não passando pelo proxy?

          Lembrando que usando proxy transparente com filtro ssl.

          help!

          1 Reply Last reply Reply Quote 0
          • marcellocM
            marcelloc
            last edited by

            @hugoteleco:

            Tem alguma forma de deixar todos os domínios tipo .gov.br não passando pelo proxy?

            Sem passar pelo proxy ou qualquer outra coisa que suba até a camada de aplicação não.

            Treinamentos de Elite: http://sys-squad.com

            Help a community developer! ;D

            1 Reply Last reply Reply Quote 0
            • H
              hugoteleco
              last edited by

              Entendi! Obrigado Marcello.

              Então a melhor opção neste caso, seria usar wpad, deixando o domínio nas exceção, certo? Ficaria mais ou menos assim…

              function FindProxyForURL(url, host) {

              // If the hostname matches, send direct.
                  if (dnsDomainIs(host, "intranet.domain.com") ||
                      shExpMatch(host, "(*.gov.br|gov.br)"))
                      return "DIRECT";

              1 Reply Last reply Reply Quote 0
              • marcellocM
                marcelloc
                last edited by

                Isso. Mas não se esqueça que vai ter que liberar acesso direto no firewall também.

                Treinamentos de Elite: http://sys-squad.com

                Help a community developer! ;D

                1 Reply Last reply Reply Quote 0
                • H
                  hugoteleco
                  last edited by

                  Beleza Marcello, valeu!

                  Agora pergunto, só para efeito de dúvida mesmo…se com Wpad tudo funciona, qual a desvantagem de usá-lo? (saindo um pouco do assunto principal).

                  Pelo que entendi atende as seguintes dificuldades:

                  • Não necessário setar manualmente nos navegadores.
                  • Filtros ssl do squid3 e squidguard continuam funcionando.
                  • Em caso de autenticação por grupos do AD funciona.
                  • Bypass pelo proxy de algum domínio critico
                  • Posso informar quais redes lan, passam pelo proxy X , Y ou não passam.

                  Reforço a pergunta: Em que cenário não é recomendado utilizar wpad?

                  Desde já agradeço é que já pesquisei em diversos locais, e as vezes tem tanta informação publicada de forma diferente que dá um nó na cabeça.

                  Obrigado mais uma vez!

                  1 Reply Last reply Reply Quote 0
                  • A
                    andr3.ribeiro
                    last edited by

                    Até onde precisei dele, pra mim, o wpad é um remédio sem contra indicações.

                    1 Reply Last reply Reply Quote 0
                    • marcellocM
                      marcelloc
                      last edited by

                      Celulares,  tables, java ignoram/não interpretam o wpad.

                      Treinamentos de Elite: http://sys-squad.com

                      Help a community developer! ;D

                      1 Reply Last reply Reply Quote 0
                      • First post
                        Last post
                      Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.