Bloquear HTTPS Liberando para bancos

igorsantana2005
(usa Debian)

Enviado em 29/10/2012 - 12:24h

Comunidade bom dia!!!

Estou numa batalha com os usuários no qual preetendo ganhar!

Após pesquisar por dias no Google eu não consegui atingir o que queria e estou vindo humildemente pedir a ajuda de vocês, é o seguinte:

Eu tenho um squid + iptables onde eu quero bloquear Todo acesso a HTTPS, liberando apenas para os sites de banco e um do MEC.

Adoto esta medida para impedir que usuários espertos coloquem https:// na frente da url de um site de proxy qualquer e tenha acesso a ele.

Eu uso o SQUID transparente.

Ja tentei redirecionar a porta 443 pra 3128 mas não funciona e pelo que pesquisei realmente não funciona...

A regra para bloquear a porta 443 eu já tenho, quero agora liberar para os bancos...

Depois de fazer algumas pesquisas eu notei que os bancos utilizam variados range de IPs...

O Santander por exemplo tem mais de 60 no dominio www.santander.com.br e mais 60 no dominio www.santandernet.com

Então gostaria da ajuda dos senhores!!! desde já grato!

igorsantana2005
(usa Debian)

Enviado em 29/10/2012 - 12:27h

Ae galera só lembrando que os range de ips dos bancos eu pego no site:

http://bgp.he.net/

E um exemplo que eu tentei fazer no iptables foi o seguinte (arquivo firewall.sh):

#################################################

#Bloqueia a porta 443

REDEINTERNA="10.1.0.0/16"
$IPT -N HTTPS
$IPT -I FORWARD -s $REDEINTERNA -j HTTPS
for libera in `cat /etc/liberahttps.txt`;do
$IPT -A HTTPS -d $libera -j ACCEPT
$IPT -I FORWARD -s $REDEINTERNA -p tcp --dport 443 -d $libera -j ACCEPT
$IPT -I OUTPUT -s $REDEINTERNA -p tcp --dport 443 -d $libera -j ACCEPT

$IPT -t filter -I FORWARD -p tcp --dport 443 -j DROP
$IPT -t filter -I OUTPUT -p tcp --dport 443 -j DROP

done


#################################################

no aguardo galera! :)

phrich
(usa Slackware)

Enviado em 01/11/2012 - 13:40h

Cara, vou lhe dar uma dica, não é legal trabalhar com proxy transparente, isso é uma fantasia...

É melhor ter um pouco de trabalho e definir manualmente as confs de proxy nos navegadores, ou até mesmo se vc tiver um AD na sua rede, vai ser "mole mole", eu sei q vc deve imaginar, mas se o usuário tirar a opção de proxy do navegador ele vai usar normalmente... errado! só se vc deixar...

Vou deixar um link para vc:

http://www.vivaolinux.com.br/artigo/Squid-+-Iptables-Combinacao-Infalivel/


Proxy autenticado é melhor, mais seguro e vc não vai ter esses problemas com https.