Bloqueio de https e proxy

Pessoal, me deem um help aqui.

Montei um servidor Debian com iptables, squid 3 e samba como pdc...

o squid estava rodando transparente com apenas uma lista de sites permitidos, no caso o restante todos bloqueados. Porém os usuários começaram a acessar facebook utilizando https. Fiz então um bloqueio no iptables através de string. Por ora deu certo, mas percebi que ainda continuam utilizando, pelo que percebi, estão utilizando algum programa para alteração de proxy. Minha dúvida é... Como barrar isso? Se eu passar o squid para autenticado ao invés de transparente, eles conseguem parar de acessar outro proxy com programas ou não?

1. coloque o proxy autenticado no squid
2. cria regras iptables tudo DROP, liberando apenas o serviços necessários, e jamais libere as portas 80 e 443 no FORWARD, forçando assim todo tráfego passar pelo proxy, e se tentar retirar as configurações no navegador, deixa de navegar, obrigando assim o uso do proxy.

Se for feito o item 2 conforme descrito o Ultrasurf deixa de funcionar...

Mas o TOR ainda conecta, mas tem um "meio"
[3]
echo "0" > /proc/sys/net/ipv4/ip_forward

Desabilitando o ip_forward o TOR não conecta mais...

Howto proxy autenticado no Squid - http://mundodacomputacaointegral.blogspot.com.br/2011/12/configurando-servidor-proxy-autenticado.htm...

Marcelo,

caso queira fazer um teste em modo transparente instale o squidGuard, e faça o bloqueio por ele.

Ele faz bloqueio e liberação da mesma forma que o squid? Ele faz tratamento SSL?

ele trabalha com listas, ai vai verificar se consta o domínio na lista ou não para fazer o bloqueio do site.

Bloqueia por nomes.

http://www.vivaolinux.com.br/artigo/A-verdade-sobre-as-ACLs-do-Squid

O mais simples a ser feito e o drop com o iptables da porta 443.
mas alguns sites que possam ser liberados como de banco não irão funcionar também.

O SquidGuard é uma ferramenta que se liga ao squid que consulta uma lista de sites(2 milhões de sites por lista) divididos por categoria. sexo, drogas, violência entre outros e também bloqueia por nome. Também existe DansGuard que bloqueia com lista mas também tem leitura do site onde é feita validações de conteúdo de acordo com parâmetros definidos na configuração.


Lembrando que bloqueios 100% não existem!

Acredito que, dependendo da configuração, se o IP_FORWARD for setado para '0' o trafego não ira passar de uma porta para outra e o proxy deixará de funcionar.

Só lembrando, sempre ira existir uma forma!

Testei com ip_forward para '0' forçando navegar pelo proxy, ou seja, se retirar as configurações do navegador deixa de navegar, obrigando assim usar o proxy. Esta funcionando...

Assim testei com o TOR e nem conectou (timeout)...
Ultrasurf mesma coisa...
Jamais liberar porta 80 e 443 no FORWARD, forçando assim todo tráfego passar pelo proxy.

iptables -t filter -I INPUT -p tcp --dport 443 -j DROP
$iptables -t filter -I FORWARD -p tcp --dport 443 -j DROP
$iptables -t filter -I OUTPUT -p tcp --dport 443 -j DROP

Q as regras irão pro começo da linha.

iptables -i FORWARD -p TCP --dport 443 -j DROP

Só faz isso

Mas fazendo isso eu não perco acesso aos bancos?

Não, libere apenas portas 80 e 443 no OUTPUT e o tráfego força utilizar o proxy...