squid não transparent e https

rootroot
(usa Ubuntu)

Enviado em 12/03/2013 - 17:52h

Senhores,
Preciso de uma LUZ com o squid e iptables, configurei o squid com as regras de acesso bloqueando por palavras e url e liberando por Mac, como manda o figurino.
acl liberamac arp "/etc/squid/macliberado"
acl sites_proibidos url_regex -i "/etc/squid/sites_proibidos"
# Bloqueio por palavras
acl palavras dstdom_regex "/etc/squid/palavras"
As regras funcionam beleza La no firewall fiz o redirecionamento da 80 para 3128 assim
iptables -t nat -A PREROUTING -i $INT -p tcp --dport 80 -j REDIRECT --to-port 3128
Agora é que vem a duvida, tenho que fazer mais algua coisa para bloquear o htts?
Porque se o usuário não setar o Proxy não navega mas se não informar e usar HTTPS passa normal.
Tipo HTTPS://www.facebook.com e é só correr pro abraço.
Desde já agradeço ...

exercitobr
(usa Debian)

Enviado em 12/03/2013 - 19:24h

Rapaz, existem inúmeras soluções e ficaria enorme postar aqui... mas vamos por partes.
Se no seu squid você bloquear a porta 443 (HTTPS), tudo bem, mas aí você vai encontrar outros problemas, por exemplo, acesso a banco...
No seu caso, tentaria via IPTABLES... basta criar a regra (você vai encontrar milhões no google) e setar o ip e porta a ser bloqueado.
Lógico que tudo com paciência e estudo, para saber exatamente oque está fazendo.
Por fim, deixo a seguinte dica: Impossível bloquear tudo, pois se o fizer estará prejudicando outros em sua rede.
Procure ver os logs e ao perceber que alguém está burlando, chame ele e converse ou se é regra da empresa, informe ao chefe do esperto e pronto.
Falo isso por experiência própria. Ficar noites configurando squid/iptables para depois alguém chegar e falar pra você que não está baixando e-mails pelo outlook, não acessa banco etc... cara é triste demais.
Então, vá para o squid/iptables e faça o serviço e passe a acompanhar os logs e seja feliz!

Carlos_Cunha
(usa Linux Mint)

Enviado em 12/03/2013 - 20:02h

Amigo so lembrando squid e HTTPS em proxy transparente não funciona bem... Agora se for proxy marcado(o correto), ira funcionar normal, vc so faz assim bloqueia a 443 vai iptables assim quem não tiver proxy não navega, e a 80 direciona para 3128..
Pronto....