Liberar porta 443 para determinados sites

edsoncarlos
(usa Ubuntu)

Enviado em 25/11/2011 - 18:25h

Boa tarde, gostaria de uma ajuda no seguinte, criei um servidor com ubuntu-server com script iptables e proxy transparente squid, onde utilizo no meu script o seguinte código para bloquear ultrasurf entre outros na porta 443:
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 443 -j REDIRECT --to-port 3128
para todos os sites que requer a porta 443 direcionar para meu proxy(squid), agora eu queria liberar alguns sites que utilizam a mesma porta por exemplo de email(hotmail, gmail, etc...) e bancos, já li vários tópicos e utilizei o código abaixo para tentar fazer isso no squid:
acl libera_site url_regex -i "/etc/squid/libera"
http_access allow libera_site
Mais até o momento não consigo liberar estes sites, alguém pode me ajudar?

renato_pacheco
(usa Debian)

Enviado em 26/11/2011 - 15:24h

Essa prática d redirecionar sites seguros (443) para o proxy não é recomendada em todos os aspectos. Além da falha de certos certificados, é considerado um ataque do tipo homem-do-meio (man-in-the-middle). Se eu fosse vc, utilizaria proxy autenticado pra evitar o redirecionamento e, ao mesmo tempo, vc controlaria o seu tráfego tranquilamente.

edsoncarlos
(usa Ubuntu)

Enviado em 26/11/2011 - 22:51h

Como devo fazer isso?

renato_pacheco
(usa Debian)

Enviado em 26/11/2011 - 23:42h

- Remova, do seu squid.conf, a opção "transparent" da linha "http_port";
- Configure, em cada navegador d cada estação, o proxy manualmente.

Isso é o mínimo. A partir disto, vc deve criar acl's d autenticação do squid. Dae basta procurar no VOL artigos explicando isso.