Você pode bloquear o acesso direto á porta 443 no seu firewall e obrigar a todos usarem o squid manualmente no navegador para HTTPS, seja via Police(se for uma rede com AD) ou via script de configuração automática. Conforme já foi dito, o Proxy transparente não aceita HTTPS porque isto seria um ataque 'man in the middle', no caso o squid interferindo na conexão HTTPS, autenticada e autorizada fim a fim. Na verdade o rdr por si só não aceita nem http, você tem que ir no squid e falar que ele está rodando como transparente(HTTP port 3128 transparent), para aí sim funcionar 100%. E tomar cuidado com programas que não tratam isto corretamente, como os famosos aplicativos da Caixa econômica(conectividade social e outros).
> -----Mensagem original----- > De: [email protected] [mailto:[email protected]] Em > nome de Renato Botelho > Enviada em: terça-feira, 16 de dezembro de 2008 14:23 > Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) > Assunto: Re: [FUG-BR] RES: bloquear https com squid > > 2008/12/16 Ricardo Augusto de Souza <[email protected]>: > > Renato, > > > > eu utilizo proxy transparant sim e o https funciona na boa. > > Porem eu nao redireciono a porta 443. > > > > Veja as regras: > > > > # squid trasparente > > no rdr on $int_if inet proto tcp from $sem_proxy to any port 80 > > rdr pass on $int_if inet proto tcp from $lan to any port 80 -> > $int_if port 128 > > > > Entao é isso: se utilizar transparent nao consigo bloquear sites > https? > > Exato, pode fazer o teste, o transparente não consegue bloquear > https, é impossível por conta da implementação. > > -- > Renato Botelho > ------------------------- > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
