Amigo, aqui fiz um gato
Resolvi meu problema redirecionando as requisições do IP 64.13.161.61 porta 443 para um ip qualquer
um gato, mas funciona
Olá colegas,
Também tive problemas com esse site https://imo.im.
Não havia notado que outros sites bloqueados, outrora acessados por https://, faziam apenas algumas requisições de comunicação por https e o restante por http, onde o Squid acabava bloqueando.
Fiquei pasmo ao ver a quantidade de acessos ao imo.im aqui na empresa e saí à corrida para saber o que se passa.
Não tenho muito conhecimento em Linux e seus serviços, mas tenho que dar meus pulos aqui na empresa.
Li esse tópico todo e achei muito interessante a abordagem, principalmente as explicações dadas de formas simples porém muito abrangente! Parabéns à todos.
Mas quero levantar uma questão interessante e não sei se vale abrir um novo tópico para isso:
Nas buscas anteriores que fiz para encontrar uma solução de como bloquear https em proxy transparente Squid, achei essa sugestão no link abaixo, testei, funcionou, E, me deixou com um pulga e tanto atrás da orelha:
[FUG-BR] RES: Squid transparente e Https
Nele, há uma sugestão de alterar, no navegador do usuário, as confiugrações de conexão com a rede, bastando dizer ao browser o IP e porta do servidor que será utilizado para conexões https.
Fiz isso: tanto no IE como no FireFox, modifiquei a conexão de rede, comumente setada para AUTOMATICA, para manual. Para conexões HTTP as configurações de IP e porta ficaram em branco. Para conexões HTTPS coloquei o IP do servidor onde está o squid/iptables, e, porta 3128. Em seguida, coloquei o texto 'imo.im' juntamente com o arquivo .txt com as palavras bloqueadas que o squid usa. Fiz o reload e ZAZ:
- Sites de banco acessam normalmente;
- O site https://imo.im não abre nem que a vaca tussa;
- Nenhuma configuração anterior foi afetada;
- O log do squid registra os acessos às URLs dos bancos bem como as DENIED do imo.im
- Não precisei mexer com o iptables, ou seja, no que diz respeito à squid, o iptables redireciona apenas as requisições da porta 80 para a 3128. Alías, as únicas coisas que o iptables está fazendo é compartilhar a internet (eth0) com a rede interna (eth1) e redirecionar as requisições
Porém ficou a dúvida: Navegando dessa forma, estaria eu fazendo com que a conexão com os bancos ou outro site que use https se torne vulnerável ou menos segura?
Ah, sim, quanto à possibilidade do usuário alterar a configuração de rede no browser, não é preocupação. As estações aqui na empresa TODAS são MS e usamos AD para autenticá-las. Há script de login que não permite execução de programas não autorizados, além de configurações padrão de desktop, inclusive o browser. No caso, as telas dessas configurações estão inoperantes para os usuários.
Mas segue esse dúvida. Como fica a segurança da navegação quando eu faço essa alteração no borwser?
Abraços,
Amigo, aqui eu também utilizo proxy transparente por se tratar de uma instituição de ensino com grande movimento e vários pontos wi-fi...
Enfim, bloqueio esses sites via iptables mesmo, da seguinte forma.
iptables -A FORWARD -p tcp -m tcp -d imo.im -j REJECT
100% funcional, é só voce colocar o dominio ou url que quer bloquear, independe de porta, se quiser pode colocar a porta ou bloquear também qualquer protocolo.
Abraço,
Galera,
Andei lendo um pouco a documentação do squid no próprio site deles, e realmente, para proxy transparente é ilógico tratar as requisições que não sejam http. Se quisermos que https sejam tratadas, não devemos usar o proxy transparante.
É que estamos mau habituados por causa da MS, fazer coisas com apenas um único software, onde por traz disso trata-se de um pacote deles (no caso, o ISA server). O ISA é fw E proxy. Para o linux também precisamos de um fw e de um proxy, são pacotes separados. Isso é 'comuflado na MS'.
Dessa forma estou mais que convencido do motivo de fazer bloqueios HTTPS por iptables e não por Squid. Definitivamente este tópico pode ser encerrado bem como outros que falam sobre proxy transparente versus https.
PORÉM, ainda não entendi o que acontece quando modifico as configurações do browser para trabalhar na situação que mencionei anteriormente.
Abraços,
Daniel.