+ Responder ao Tópico



  1. Citação Postado originalmente por aprendiz_ce Ver Post
    Olá,

    Gostei dos seus esclarecimento. Isso é que se pode chamar de EXPLICAÇÃO.

    Outras dúvidas:

    1) Não tem como eu mudar o modo do meu proxy/squid? E caso eu possa, terei mais problemas com essa mudança?

    2) Se eu BLOQUEAR a porta 443 os sites de bancos que são liberados para todos ficaram bloqueados da mesma forma. E aí, como posso contornar isso? Acho que cairei na mesma situação atual.

    Obrigado pela atenção e se puder comentar, ficarei agradecido.

    Abraço.

    1) Pelo que eu li, o único modo que suporta https é em Reverseproxy, que não serve para prover navegação a uma rede interna, e sim para com um único ip real divulgar na internet sites Hospedados em diferentes servidores na rede interna.
    Ex hipotetico:
    Na empresa temos um servidor que roda squid em mode Reverse proxy e esse tem o ip 200.200.200.200 como seu ip de internet e o ip 192.168.3.1 como seu ip lan.
    Na rede interna temos 3 sites em 3 servidores distintos, site1, site1 e site 3 com os respectivos ips 192.168.3.11, 192.168.3.12 e 192.168.3.13
    O host name "www.reverseproxy.com.br" aponta para o ip 200.200.200.200
    Quando alguém na internet tentar entrar no site www.reverseproxy.com.br/site1 o servidor com squid(200.200.200.200) que receberá esse pedido, por sua vês baseando-se no "/site1" irá pedir o index do site1 para o ip 192.168.3.11 de sua rede interna e devolver sua saida para quem o requisitou na internet, e assim para os outros sites site2 e site3.
    O proprio apache também também tem um modulo para configurar reverse proxy.
    Isso não serve para seu caso, mas já vale conhecer essa solução pois é muito útil tbm.

    2)Não cairá não, vc tem de colocar regras no seu iptables dando um ACCEPT da sua rede interna à internet para todos os ips dos sites de bancos e outros sites autorizados que utilizam https(443), e logo em seguida colocar uma regra DROP ou REJECT em todo o trafego https(443) da sua rede interna com destino a internet.

    O iptables funciona por pilha, em oredem de cima para baixo, então em uma politica restritiva voce tem de colocar os ACCEPTS antes, que são as exceções e em seguida um DROP geral na 443, que será a politica, ou seja, se um pedido não se encaixar nas exceções ele vai cair na politica e será dropado. sacou?
    Dessa forma só os sites que vc quer serão acessados, os outros vão cair na plitica drop.

    Abraços e se precisar de mais ajuda não hesite em pedir.

    Abraços!

  2. Citação Postado originalmente por landrower Ver Post
    1) Pelo que eu li, o único modo que suporta https é em Reverseproxy, que não serve para prover navegação a uma rede interna, e sim para com um único ip real divulgar na internet sites Hospedados em diferentes servidores na rede interna.
    Ex hipotetico:
    Na empresa temos um servidor que roda squid em mode Reverse proxy e esse tem o ip 200.200.200.200 como seu ip de internet e o ip 192.168.3.1 como seu ip lan.
    Na rede interna temos 3 sites em 3 servidores distintos, site1, site1 e site 3 com os respectivos ips 192.168.3.11, 192.168.3.12 e 192.168.3.13
    O host name "www.reverseproxy.com.br" aponta para o ip 200.200.200.200
    Quando alguém na internet tentar entrar no site www.reverseproxy.com.br/site1 o servidor com squid(200.200.200.200) que receberá esse pedido, por sua vês baseando-se no "/site1" irá pedir o index do site1 para o ip 192.168.3.11 de sua rede interna e devolver sua saida para quem o requisitou na internet, e assim para os outros sites site2 e site3.
    O proprio apache também também tem um modulo para configurar reverse proxy.
    Isso não serve para seu caso, mas já vale conhecer essa solução pois é muito útil tbm.

    2)Não cairá não, vc tem de colocar regras no seu iptables dando um ACCEPT da sua rede interna à internet para todos os ips dos sites de bancos e outros sites autorizados que utilizam https(443), e logo em seguida colocar uma regra DROP ou REJECT em todo o trafego https(443) da sua rede interna com destino a internet.

    O iptables funciona por pilha, em oredem de cima para baixo, então em uma politica restritiva voce tem de colocar os ACCEPTS antes, que são as exceções e em seguida um DROP geral na 443, que será a politica, ou seja, se um pedido não se encaixar nas exceções ele vai cair na politica e será dropado. sacou?
    Dessa forma só os sites que vc quer serão acessados, os outros vão cair na plitica drop.

    Abraços e se precisar de mais ajuda não hesite em pedir.

    Abraços!

    Entendido!

    Seria tão legal se o meu SQUID pudesse trabalhar com o HTTPS... Me pouparia um monte de trabalho! (rs)

    Só pra não restar dúividas:

    Então terei que liberar a porta 443 no firewall e junto com ela os repectivos IPs dos sites dos bancos ou sites semelhantes que utilizem HTTPS. É isso, né?

    Muito obrigado pela sua pronta atenção.

    Um forte abraço.
    Última edição por aprendiz_ce; 27-04-2009 às 13:39.



  3. Citação Postado originalmente por aprendiz_ce Ver Post
    Entendido!

    Seria tão legal se o meu SQUID pudesse trabalhar com o HTTPS... Me pouparia um monte de trabalho! (rs)

    Só pra não restar dúividas:

    Então terei que liberar a porta 443 no firewall e junto com ela os repectivos IPs dos sites dos bancos ou sites semelhantes que utilizem HTTPS. É isso, né?

    Muito obrigado pela sua pronta atenção.

    Um forte abraço.
    É isso mesmo amigo, libera a porta 443 para os ips que vc quer e depois bloqueia a porta 443 para qualquer outro destino.


    Abraços!

  4. Citação Postado originalmente por landrower Ver Post
    É isso mesmo amigo, libera a porta 443 para os ips que vc quer e depois bloqueia a porta 443 para qualquer outro destino.


    Abraços!

    Isso poderá parar os serviços de autenticação de sites como Gmail, BB, etc ...



  5. Citação Postado originalmente por orionstation Ver Post
    Isso poderá parar os serviços de autenticação de sites como Gmail, BB, etc ...
    Certo, mas ai é só adicionar os respectivos ips dos sites que vc citou como sendo exceções

    Nâo vejo uma outra maneira de contornar com eficiencia esse problema ai, a não ser liberar o necessario e barrar qualquer outra coisa, quando alguém reclamar que precisa acessar algum site https é só pegar e adicionar mais uma exceção.






Tópicos Similares

  1. Bloqueando o site https://imo.im no MK
    Por techneto no fórum Redes
    Respostas: 2
    Último Post: 06-01-2011, 17:30
  2. bloquear HTTPS://imo.im (proxy msn)
    Por Abutre69 no fórum Redes
    Respostas: 8
    Último Post: 01-11-2008, 14:48
  3. Bloquear ares por horário, tem como?
    Por faieppi no fórum Redes
    Respostas: 3
    Último Post: 09-11-2007, 11:51
  4. bloquear o https://orkut.com
    Por Flor-de-Liz no fórum Servidores de Rede
    Respostas: 9
    Último Post: 27-10-2006, 10:40
  5. Bloquear sites HTTPS com url_regx
    Por fred_m no fórum Servidores de Rede
    Respostas: 18
    Último Post: 21-06-2005, 09:21

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L