Bloqueando Facebook, Youtube, Twitter (HTTPs) + Proxy Transparente + Squid3

[zekkerj]

Não bloqueia pq não passa por vc. Pra passar, vc tem que direcionar o tráfego da porta 443, o que faz com que o HTTPS pare de funcionar (todos os certificados falham); ou então... configurar o proxy no navegador.

A melhor alternativa é usar a auto-detecção de proxy (WPAD).

[righteous]

Não funciona com HTTPS e FTP;
Não funciona com sites que não operam na porta 80;
É facilmente burlável;
A autenticação *não funciona*;
Podem haver problemas com refresh de páginas.

http://www.vivaolinux.com.br/artigo/Configuracao-automatica-(mesmo)-de-proxy-com-WPAD

Uso IP estático. A grande questão é acabar com facebook, youtube, twitter e Ultrasurf. Pelo que diz esse post não vai dar certo.

[zekkerj]

Acho que você não entendeu direito... o post só confirma o que eu disse. Esses defeitos que você elencou são do proxy transparente, e o WPAD é a solução para isso.

[righteous]

Opps! Verdade! Lendo agora, reporto o resultado.

Obrigado!

[novaisjp]

righteous, desiste amigo. Bloquear https só com proxy transparente, qualquer outra forma é além de amadora ineficaz no médio e longo prazo.

Eu trabalho com firewalls e proxies há alguns anos e posso te dizer que todas as opções que exijam controle do lado cliente são fracas e lhe trarão muito mais trabalho que reconfigurar um proxy.

Resumindo... Faça o transparente na porta 80 e 443, daí quem não tiver proxy configurado ao menos conseguirá ver o e-mail, na maioria dos provedores, e quem precisar de https que chame o suporte de TI.

iptables -t nat -I PREROUTING -s ipredeinterna -p tcp --dport 80 -j DNAT --to ipservidorproxy
iptables -t nat -I PREROUTING -s ipredeinterna -p tcp --dport 443 -j DNAT --to ipservidorproxy

Isso vai resolver seu problema além de garantir profissionalismo no seu trabalho.

[zekkerj]

OK, você faz proxy transparente na porta 443. Mas como faz os certificados dos sites funcionarem?

[novaisjp]

zekkerj a tansparência na porta 443 tem o mesmo resultado que o bloqueio, eu não quero ninguém navegando https via transparência. Quando o usuário, sem proxy configurado, chama o endereço ele recebe erro de conexão. Só há navegação transparente por http. O objetivo é bloquear a porta 443 e permitir transparencia na porta 80.

[Arthur Bernardes]

• https://www.facebook.com/l.php?u=https%3A%2F%2Fthejimmahknows.com%2Fsquid-3-1-caching-proxy-with-ssl%2F&h=FAQHaYI82

[zekkerj]

zekkerj a tansparência na porta 443 tem o mesmo resultado que o bloqueio, eu não quero ninguém navegando https via transparência. Quando o usuário, sem proxy configurado, chama o endereço ele recebe erro de conexão. Só há navegação transparente por http. O objetivo é bloquear a porta 443 e permitir transparencia na porta 80.

Ah, então vc admite que não funciona. Mas e se eu te disser que tem como fazer funcionar, sem ser transparente, e sem exigir que o usuário configure o proxy no navegador?

[righteous]

Opa! A discussão renasce! (risos)! Então moçada, essa regra eu coloco no firewall e faço mais alguma coisa? Explica melhor novaisjp... Faço um proxy autenticado e implemento essa regra no firewall? Mais o autenticado já não filtra o trafego https?

Eu não parei ainda para seguir a dica do zekkerj. A real é que não queria colocar proxy autenticado, nada nas máquinas dos usuários era a minha vontade. Agora deixar o facebook passando pela https não posso deixar isso continuar.

[righteous]

Eu poderia obrigar o usuário a usar o facebook somente pela porta 80, bloqueando somente o acesso via https no Firewall, daí o proxy resolveria o resto.

Vejam:

iptables -I FORWARD -d pt-br.facebook.com -p tcp --dport 443 -j DROP

Porém fiz isso acessou normal! :/

[righteous]

Eu poderia obrigar o usuário a usar o facebook somente pela porta 80, bloqueando somente o acesso via https no Firewall, daí o proxy resolveria o resto.

Vejam:

iptables -I FORWARD -d pt-br.facebook.com -p tcp --dport 443 -j DROP

Porém fiz isso acessou normal! :/

Eu coloquei: iptables -I FORWARD -m string --algo bm --string "facebook.com" -j DROP

Daí bloqueou legal, mas é aí que tá! Quero que passa o facebook pelo http. Porque daí o squid faz os devidos bloqueios.

[zekkerj]

Mas o facebook não usa HTTP, usa HTTPS, você não pode (e não deve) obrigá-lo a usar um protocolo menos seguro.