Pegando o gancho do assunto, Nunca filtrávamos o HTTPS por nunca ter necessidade de filtrar sites sérios. Todos os sites "maléficos" eu filtrava por palavra na URL (ex: msn, messenger, orkut, etc). Porém, o site: https://imo.im/ é um gateway em HTTPS para o MSN! Assim, o que antes estava fácil bloquear por URL e por portas no IPFW, agora se transformou num terror! (hehe).
Na tentativa inicial de apenas redirecionar o tráfego da porta 443 para o squid, os sites de bancos pararam de funcionar, e os webmails pessoais da galera também. Alguma dica aí? Valeu Daniel ----- Mensagem original ---- De: Renato Frederick <[email protected]> Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) <[email protected]> Enviadas: Terça-feira, 16 de Dezembro de 2008 14:34:00 Assunto: [FUG-BR] RES: RES: bloquear https com squid Você pode bloquear o acesso direto á porta 443 no seu firewall e obrigar a todos usarem o squid manualmente no navegador para HTTPS, seja via Police(se for uma rede com AD) ou via script de configuração automática. Conforme já foi dito, o Proxy transparente não aceita HTTPS porque isto seria um ataque 'man in the middle', no caso o squid interferindo na conexão HTTPS, autenticada e autorizada fim a fim. Na verdade o rdr por si só não aceita nem http, você tem que ir no squid e falar que ele está rodando como transparente(HTTP port 3128 transparent), para aí sim funcionar 100%. E tomar cuidado com programas que não tratam isto corretamente, como os famosos aplicativos da Caixa econômica(conectividade social e outros). > -----Mensagem original----- > De: [email protected] [mailto:[email protected]] Em > nome de Renato Botelho > Enviada em: terça-feira, 16 de dezembro de 2008 14:23 > Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) > Assunto: Re: [FUG-BR] RES: bloquear https com squid > > 2008/12/16 Ricardo Augusto de Souza <[email protected]>: > > Renato, > > > > eu utilizo proxy transparant sim e o https funciona na boa. > > Porem eu nao redireciono a porta 443. > > > > Veja as regras: > > > > # squid trasparente > > no rdr on $int_if inet proto tcp from $sem_proxy to any port 80 > > rdr pass on $int_if inet proto tcp from $lan to any port 80 -> > $int_if port 128 > > > > Entao é isso: se utilizar transparent nao consigo bloquear sites > https? > > Exato, pode fazer o teste, o transparente não consegue bloquear > https, é impossível por conta da implementação. > > -- > Renato Botelho > ------------------------- > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Veja quais são os assuntos do momento no Yahoo! +Buscados http://br.maisbuscados.yahoo.com ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
