https com squid

pessoal queria saber como faço para usar o squid para bloquear a porta 443 e liberar apenas para sites especifico, tipo: Gmail, Hotmail e bancos em geral?

detalhe - não estou usando o squid em modo transparente!

IPTABLES rulez...!

#iptables -A FORWARD -j ACCEPT -d www.gmail.com
#iptables -A INPUT -j ACCEPT -d www.gmail.com
#iptables -A OUTPUT -j ACCEPT -d www.gmail.com

#iptables -A FORWARD -j ACCEPT -d www.hotmail.com
#iptables -A INPUT -j ACCEPT -d www.hotmail.com
#iptables -A OUTPUT -j ACCEPT -d www.hotmail.com

#iptables -A FORWARD -p tcp --dport 443 -j DROP
#iptables -A INPUT -p tcp --dport 443 -j DROP
#iptables -A OUTPUT -p tcp --dport 443 -j DROP

Quando faço uso destes comandos, ele bloqueia, toda e qualquer conexão https, será que não teria como fazer o bloqueio pelo o próprio squid?


detalhe - digitei os comando seguindo a mesma ordem que me foi repassado.

o que vc precisa é criar acls de sites bloqueados; uma leitura atenta aqui: http://www.squid-cache.org.br/index.php?option=com_content&task=view&id=91&Itemid=27 vai ajudar vc a criar suas acls de restrição.

aqui mesmom no VOL temos alguns bons artigos que podem ajuda-lo nisso:

http://www.squid-cache.org.br/index.php?option=com_content&task=view&id=91&Itemid=27

divirta-se.

nota: eu mesmo NÃO gosto de usar iptables pra isso (rs).

######Direcionamento porta 443#####
/sbin/iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 443 -j REDIRECT --to-port 3128
/sbin/iptables -t nat -A PREROUTING -i eth1 -p udp --dport 443 -j REDIRECT --to-port 3128
####################################

Coloque no lugar da eth1 a sua placa de conexao com os clientes

E bloqueie pelo squid os sites desejados

se eu usar estas acl que encontrei na net, conseguirei bloquear a porta 443 pelo o squid?

acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_Ports port 443 563
acl Safe_ports port 80 #http
acl Safe_ports port 21 #ftp
acl Safe_ports port 443 563 #https, snews
acl Safe_ports port 70 #gopher
acl Safe_ports port 210 #wais
acl Safe_ports port 1025-65535 #portas altas
acl Safe_ports port 280 #http-mgmt
acl Safe_ports port 488 #gss-http
acl Safe_ports port 591 #filemaker
acl Safe_ports port 777 #multiling http
acl Safe_ports port 901 #swat
acl Safe_ports port 403 387

acl purge method PURGE
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_Ports

duas informações:

se vc usar a informação do luivilela o https vai parar de funcionar - risos - porque https não aceita squid transparente.

em segundo lugar: o que vc postou não tem a menor relação com acls, o que indica que vc NÃO LEU, sequer teve a curiosidade de OLHAR os links que passei e que ajudariam vc a resolver o seu problema. No meu entender, a unica razão que impediu vc de avaliar uma solução chama-se "preguiça galopante".

Pois bem, aqui NINGUÉM oferece consultoria de graça, oferece ORIENTAÇÃO, que é algo inteiramente diferente. Estou caindo fora, mas sugiro FORTEMENTE: vá aos links e ESTUDE um pouco, para resolver seu problema. E pare de chutar porque aqui não é quadra/campo e não etamos no futebol.

Ele esta correto, minha regra obriga o usuario a configurar o proxy no navegador. Se vc colocar vai travar. Desculpe!!!Tbm sou novo na area.
Mas cara de uma olhada nas configuracoes de proxy do navegador. Posta ai.
Irado cara da um desconto meu velho errar eh humano. Entendo que vc manja bem mais que o pessoal aqui mais cara nao precisa esculacha.

O Irado, acho que vc não entendeu a minha pergunda, a que deu origem a este tópico!

eu queria saber como que eu faço para fazer o bloqueio da porta https, usando o squid, e esta muito visível no post que eu não uso proxy transparente ou seja(pareçe que quem não leu foi vc), precisa colocar manualmente o proxy no navegador.

com relação ao link que vc me passou, lí e até me ajudou em outros problemas que eu tinha aqui no meu squid!


mas com relação ao bloqueio da porta 443 com o squid não ajudou em nada!

então ajuda do tipo da sua, para o meu caso não foi bem vinda.


vou tentar ajuda como o pessoal que realmente esta disposto a ajudar e não a criticar!

reformulando a pergunta:


alguem sabe como eu faço o bloqueio da porta 443(https) usando as ACLs do squid.

pois se eu não me engano tem acls especificas para estes tipos de porta.

Seguinte posta sua configuracao do navegador, tipo o irado tem razao se vc colocar minha regra vai travar mesmo, vai travar se nao tiver configurado no navegador.
seguinte:
http://www.vivaolinux.com.br/artigo/Squid-passo-a-passo-para-iniciantes/

Olha neste link, tipo tem extamente como declarar as ACLs e depois bloquealas, quando vc bloqueia um site se tiver configurado o navegador tipo nao importa 443 ou 80 bloqueia do mesmo jeito, a unica coisa que da pra fazer eh, colocar aquela regra que passei que obriga o usuario a configurar corretamente as configuracoes de proxy.

Para bloquear a porta 443:

# Todos validam
acl autenticados proxy_auth REQUIRED

# toda a rede
acl all 0.0.0.0/0.0.0.0

# Regras de portas
acl SSL_Ports port 443 563
acl CONNECT method CONNECT

#Regra de sites autorizados, que podem usar a porta 443
acl auth_443 url_regex -i .google.com .bradesco.com.br

# Autorizamos ao grupo AUT_443
## Bloqueamos os acessos a outras portas que não sejam as autorizadas
http_access deny autenticados CONNECT !SSL_ports all
## Autorizamos o uso das portas autorizadas só aos sites registrados na acl auth_443
http_access allow autenticados CONNECT SSL_ports auth_443 all
http_access allow autenticados auth_443 all
## Bloqueamos o acesso à porta 443 para qualquer outra URL
http_access deny CONNECT SSL_ports all