Porta 443 [RESOLVIDO]

Verdinho
(usa Debian)

Enviado em 12/06/2009 - 12:52h

Ola pessoal!! Um dia alguem me disse que o Linux tudo pode, bom eu acredito nesse ditado, precisso fazer com que a porta 443 seja monitorado pelo squid, mais isso usando o proxy transparente. pois quero bloquear os sites https://www.meebo.com e https://www.imo.im pelo squid e nao pelo firewall, ja tentei redirecionar todas as requisicoes da 443 para a 3128 ate que funciona mais ai tenho que setar o proxy no dedo!!! ai mano nao da, pois o proxy aqui da emprasa tem que ser transparente. sei que existe um jeito alguem pode me ajudar?

klebrr
(usa Linux Mint)

Enviado em 12/06/2009 - 13:19h

Olha aqui uso proxy tranparente e o firewall redireciona somente a porta 80.

A diferença é que o gateway da rede é o proxy
ex: 192.168.0/24 gw 192.168.1.250

E o compartilhamento de internet está desativado no firewall

echo 0 > /proc/sys/net/ipv4/ip_forward

Ah e tem uma ACL que gerencia as palavras na URL
ai basta adicionar a palavra meebo imo messenger em cada linh a para bloquear o que quiser.

acl blockedsites url_regex -i "/usr/local/squid/etc/denysites.txt"


http_access deny blockedsites
coloquei essa regra como primeira na hierarquia das ACL
qualquer palavra colocada no arquivo é verificada logo no começo.
Mesmo que use http ou https vai bloquear.

removido
(usa Nenhuma)

Enviado em 12/06/2009 - 13:40h

klebrr,

conforme sua dica, eu aprendi fazer aqui pelo vivaolinux esse esquema que vc está indicando,
que é a criação de um arquivo dentro do /etc com o nome de denysites.txt;

aqui eu usei o editor de textos VI, dentro do diretorio /etc para poder bloquear URL'S e por palavras também.

a dica do -i também é excelente pois, não diferencia se está maiuscula ou minuscula.


Show de bola a dica,

Verdinho
(usa Debian)

Enviado em 12/06/2009 - 15:39h

Caro colega, se vc observar eu nao uso regras de bloqueios mais sim de desbloqueios, por natureza qual quer site quer existir ja esta bloqueado pra min, caso esse site seja utio para min e so desbloquear, eu so adciono o dominio em sites liberados e pronto, Observer que eu so uso 3 ACLs que sao: Sites_Liberados, Liberados_total e Almoco.

entao pela logica os sites https://www.meebo.com e https://www.imo.im , nao deveriam esta desbloqueados, mais eu observei que esses sites sao https e nem passao pelo squid pois eles usao a porta 443 se vcs derem um tail -f /var/log/squid/acesses.log |grep seu ip , vai ver que nem passa no squid, e por isso que quero fazer com que passe todas as requisicoes da porta 443 para 3128 mais isso nao funciona com proxy transparente, o que eu quero e que funcione com proxy transparente.

cache_mem 98 MB
maximum_object_size_in_memory 64 KB
maximum_object_size 512 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir aufs /cache/spool/squid 100 16 256
error_directory /usr/share/squid/errors/Portuguese
access_log /var/log/squid/access.log squid


icp_port 0
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
cache deny QUERY
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
hosts_file /etc/hosts
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320

acl all src 0.0.0.0/0.0.0.0

## CONFIGURACAO LAN

acl lan_net src 10.7.4.0/255.255.252.0


#### Declaração das Acls das Maquinas ou grupos de Usuarios ####
#--------------------------------------------------------------
acl liberados_total src "/etc/squid/acls/liberados_total"


############# ACLS de Dominio e Expressoes ###############
#--------------------------------------------------------
acl sites_liberados dstdomain "/etc/squid/acls/sites_liberados"


acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 # https
acl SSL_ports port 563 # snews
acl SSL_ports port 873 # rsync
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWAT
acl msn_ports port 1863-1864 # msn
acl msn_ports port 6891-6900 # msn
acl purge method PURGE
acl CONNECT method CONNECT


### Permicao de internet ####

http_access allow liberados_total
http_access allow lan_net sites_liberados

####Libera Alguns Sites no Almoco#####
acl almocos time 11:30-14:30
acl almoco url_regex -i "/etc/squid/acls/almoco"
http_access allow almoco almocos
http_access deny almoco


http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports


http_access allow localhost

http_reply_access allow all

icp_access allow all

cache_effective_group proxy

coredump_dir /var/spool/squid

http_access deny all

signout
(usa Slackware)

Enviado em 12/06/2009 - 16:00h

Apesar de bloquear tudo, o squid possui ACL's padrões e uma delas é referente a porta 443, conforme pode ser visto no seu .conf

acl Safe_ports port 443 # https
http_access deny !Safe_ports

Creio que criar um arquivo para bloquear estes sites específicos seja a melhor alternativa (opinião minha), ja que bloquear a porta 443 (todos os sites) pode te causar inconvenientes, como cadastrar todos os sites de banco, e-commerce e qualquer outro que utilize a porta 443...

Espero que ajude.

riesdra
(usa Debian)

Enviado em 14/06/2009 - 22:06h

Olha é como o elgio disse proxy transparente com HTTPS e FTP não tem como, pois o proxy ele atende as requisições da porta 80, pois ele atende o redirecionamento da porta 80 para 3128 as demais ele não controla nada.
O que dá para fazer ai é implementar o que tem neste texto abaixo;
http://www.gdhpress.com.br/servidores/leia/index.php?p=cap2-18
espero ter ajudado.

Verdinho
(usa Debian)

Enviado em 15/06/2009 - 13:32h

Acho que o Colega elgio tem razao, seria possivel eu usar meu servidor de AD para setar o proxy sem eu ter que ir de maquina em maquina isso por meio de GPO, e desabilitar as opcoes de internet para que o usuario nao possa alterar as configuracoes do proxy? isso seria uma forma viavel de se resolver este problema?

renantimanager
(usa FreeBSD)

Enviado em 24/10/2010 - 20:37h

Olá,

O problema é simples. Crie uma ACL SSL_Permitidos coloque os domínios que serão permitidos o https.

Quando você informa ao squid
#http_access deny CONNECT !SSL_ports
você permite que seja fechada a conexão SSL então depois disso o squid sai fora, então se você criando uma ACL permita somente os sites que você deseja isso será chato pelo fato de ter que cadastrar porém pelo visto você já sabe como é fazer isso.
#http_access deny CONNECT SSL_ports !SSL_Permitidos

neison
(usa Debian)

Enviado em 18/12/2011 - 15:45h

Para fazer o bloqueio de paginas https pelo squid (google hotmail etc) você deve redirecionar as entradas Nat da porta 443 para porta 3128 (padrão do squid) via regra iptables do seu firewall.
No meu caso uso o tuxfrw e fiz da seguinte forma:

if [ "$PROXY_PORT" != "" -a "$INT_IFACE" != "" -a "$PROXY_T" -eq 1 ]; then
$IPTABLES -A PREROUTING -t nat -p tcp --dport 80 -i $INT_IFACE -j REDIRECT --to-ports $PROXY_PORT
$IPTABLES -A PREROUTING -t nat -p tcp --dport 443 -i $INT_IFACE -j REDIRECT --to-ports $PROXY_PORT
fi

Sucesso e boa sorte!

elgio
(usa OpenSuSE)

Enviado em 18/12/2011 - 15:52h

Isto não funciona, conforme expliquei no tópico marcado como melhor resposta.

[]'s

removido
(usa Nenhuma)

Enviado em 27/04/2012 - 14:31h

Segue um link com uma possível "solução"...


http://www.rahulpahade.com/content/squid-transparent-proxy-over-ssl-https