Controlando porta 443 com o Squid [RESOLVIDO]

removido
(usa Nenhuma)

Enviado em 01/07/2011 - 16:35h

Olá pessoal. Estou com um problema em minha rede, é um clássico. Estou utilizando o Squid + Iptables em meu servidor para controlar os acessos. Como o proxy é transparente, não estou conseguindo controlar os acessos da porta 443 pelo Squid, sei que tenho que configurá-lo no navegador. O que faço atualmente, é bloquear a porta 443 no firewall, e liberar os sites que preciso, mas não consigo controlar o sites https por horário no iptables, então eis a questão! Já verifiquei alguns tópicos e não encontrei resposta, enfim, como posso controlar a porta 443 no Squid deste modo?E como libero os sites?
Desde já agradeço!

Obs: Já cheguei a redirecionar a porta 443 para 3128 do Squid, mas quando faço isso, perco a conectividade com qualquer outro site https.

renato_pacheco
(usa Debian)

Enviado em 01/07/2011 - 16:44h

Vc é um caboco d sorte (ou azar). Olhando no manual do iptables, achei um módulo chamado time. Nele vc pode fazer o bloqueio/liberação d uma determinada regra por horário. Ex.:

# iptables -A FORWARD -d orkut.com -p tcp --dport 443 -m time --weekdays Mon,Tue,Wed,Thu,Fri --timestart 12:00 --timestop 14:00 -j ACCEPT

Mais informações:

# man iptables

removido
(usa Nenhuma)

Enviado em 01/07/2011 - 16:50h

Muito obrigado Renato!Por enquanto isso irá me ajudar muito, eu desconhecia este parâmetro. Mas veja, na minha rede há mais de 50 computadores, alguns acessam sites integralmente, já outros só após determinado horário podem acessar alguns sites definidos pela diretoria. Se eu for fazer isso para cada computador, levarei muito tempo. Mas a dica é ótima, obrigado mesmo!

renato_pacheco
(usa Debian)

Enviado em 01/07/2011 - 16:57h

Como sou bãozim, vou facilitar a sua vida. Basta utilizar um laço d repetição (for) em um arquivo txt, dessa forma:

for i in `cat /etc/regras/ips.txt`
do
iptables -A FORWARD -d orkut.com -s $i -p tcp --dport 443 -m time --weekdays Mon,Tue,Wed,Thu,Fri --timestart 12:00 --timestop 14:00 -j ACCEPT
done

Dae, dentro do arquivo ips.txt, coloque os IP's linha por linha. Assim vc consegue controlar numa boa.

removido
(usa Nenhuma)

Enviado em 01/07/2011 - 17:05h

Rsrs, obrigado pela força! Vou testar a sua dica na próxima segunda feira, e posto o resultado aqui. Uma confirmação: Esse laço de repetição deve ficar dentro do script do iptables?

renato_pacheco
(usa Debian)

Enviado em 01/07/2011 - 17:09h

Sim.

removido
(usa Nenhuma)

Enviado em 06/07/2011 - 08:11h

Renato, muito obrigado pela ajuda, consegui resolver este problema.
Entretanto, não foi com a sua sugestão. Testei o laço de repetição e também mudei a sintaxe da regra para se adequar no meu cenário e me aprofundei mais no manual do iptables, mas não funcionou por algum motivo. A solução foi esta: Redirecionei a porta 443 para o Squid (porta 3128), como é impossível controlar a porta 443 em um proxy transparente porque o navegador deve quebrar a criptografia do site https atuando como 'homem-do-meio', configurei o proxy em minhas estações que são Windows. Como há em minha rede um Active Directory, defini uma GPO no servidor para aplicar as configurações de proxy em cada estação, e então agora consigo controlar o acesso aos sites https pelo Squid.
Espero ajudar muitas pessoas que estão enfrentando este mesmo problema. Fica então a dica. Obrigado!

renato_pacheco
(usa Debian)

Enviado em 06/07/2011 - 09:16h

Em questão d funcionalidade, é uma boa solução, porém, falando em questão d segurança, não recomendaria. Redirecionar o tráfego 443 para o proxy pode falhar certos certificados, pois pode ser considerado como ataque "man-in-the-middle". Vai testando ae e depois nos informe se houve algum problema com essa técnica.