Eu uso squid+ssl_bump, e redireciono todo trafego 80 e 443 para portas especificas configurada no proxy. http://wiki.squid-cache.org/ConfigExamples/Intercept/SslBumpExplicit
Outra forma de fazer, mas não acho muito interessante, é configurar servidor de dns interno, e criar views com as zonas do endereços que desejar "bloqueiar" e apontar, por exemplo youtube.com, e direcionar para seu servidor local, ou pra lugar nenhum. On 06-01-2016 15:58, Paulo wrote: > J., Boa Tarde. > > Já tive dores de cabeça como esta que está passando. > Mas é simples de se resolver. > > No navegador tudo (http e https irá para o ip-do-proxy e porta-do-proxy). > > No proxy basta colocar uma regra que a porta 443 e 80 que rejeite. > Exemplos: > IPTABLES -A INPUT -p tcp -s ip-da-maquina_ou_range --dport 80 -j REJECT > IPTABLES -A INPUT -p tcp -s ip-da-maquina_ou_range --dport 443 -j REJECT Não vejo como isso pode funcionar, pois o trafego que passa pelo firewall, não passa pela INPUT, e sim por FORWARD. > > Para bloquear a todos da rede vai usar o range (Exemplo: > 192.168.0.0/24) = [ de 192.168.0.1 até 192.168.0.254 ]. > > Para bloquear por máquina vai usar o ip-da-maquina (Exemplo: 192.168.0.1) > > Para liberar uma máquina não coloque o ip da mesma nas regras de > rejeição, contanto que ela não faça parte do range de ip, ou libere o > ip da mesma antes da regra de rejeição trocando o REJECT por ACCEPT. > > Consulte se as regras ficaram na ordem desejada com o comando IPTABLES > -S ou IPTABLES -n -L > > As máquinas terão que ter IP fixo, ou o TTL (Tempo de vida do DHCP) > será maior que 30 dias. > > Assim se um usuário tirar o proxy do navegador ele não navegará para > fora. > > Espero ter ajudado, > > Paulo. > > > Em 06/01/2016 16:26, Keppler escreveu: >> Boa tarde pessoal. >> Estou procurando há um tempão na internet como bloquear sites "https" >> e não estou conseguindo, por exemplo, o que está me dando dor de >> cabeça é o YOUTUBE!! >> >> Vou tentar explicar o que já fiz e como é minha estrutura: >> >> 1) Estrutura: Squid/Proxy autenticando por usuários: >> Se o usuários desmarca a solicitação do proxy nos browsers e depois >> colocar: https://www.youtube.com aí já era!...eles conseguem navegar. >> >> 2) Já tentei, via iptables, o seguinte: >> >> for ips_liberados in `cat /root/Firewall/IPS_LIBERADOS_YOUTUBE` ; do >> $iptables -I FORWARD -i $LAN -m string --algo bm --string >> "youtube.com" -j DROP ! -s $ips_liberados >> $iptables -I FORWARD -i $LAN -m string --algo bm --string >> "twitter.com" -j DROP ! -s $ips_liberados >> done >> >> Nas regras acima estou tentando bloquear o YOUTUBE para a rede toda, >> com exceção de alguns IPs que estão no arquivo >> "/root/Firewall/IPS_LIBERADOS_YOUTUBE" >> >> >> Na verdade, este é umas das tentativas minha, pois tentei diversas >> variações dessas regras e não deu certo. O maximo que consegui foi >> bloquear todo o acesso, inclusive bloqueando o Google. E na melhor >> das vezes, quando consegui liberar para os IPs que eu queria mas >> ficar para lenta a navegação, principalmente quando os sites >> "mencionam" ou usam algumas APIs do Google. >> >> >> Enfim, o que vocês estão fazendo para solucionar este problema, ou >> seja, bloquear o Youtube e somente liberar para algumas máquinas da >> rede. isto, claro, de forma eficiente! >> >> grato, >> J. >> >
