Squid tem algum jeito de funcionar para bloqueio de https?

[Edilmar]

Ola,

Tenho o Squid em servidores Fedora 4 e 5.
Ele esta configurado para bloqueio de http (porta 80), via redirect de 80 para 3128.
Agora, varios sites estao disponibilizando suas paginas por https (porta 443).
Mas a ultima vez que eu redirecionei a porta 443 para 3128, varios sites, principalmente de bancos, pararam de funcionar.
Ja existe alguma forma 100% de fazer o Squid filtrar https tambem?

[thiagomlx]

para filtrar https vc não precisa apenas redirecionar a porta 443 para a porta 3128, como o nome diz ele é um protocolo q utiliza segurança, ele deve usar algum tipo de autenticação.
Então eu acho que para acessá-lo a partir de um proxy, vc precisaria liberar o acesso na porta 443, mas não tenho certeza pq nunca passei por esse problema. Vou dar uma pesquisada, daí eu te falo.
Ab's

[Edilmar]

O acesso na porta 443 esta liberado, passa direto, sem redirecionar para o proxy 3128.
Por isso que funciona 100%.
Ao redirecionar, o que ocorre é que ao digitar o endereco de um site, o navegador fica "pensando" ate dar timeout, nao consegue estabelecer a conexao com o servidor https remoto. Acontece alguma coisa "dentro" do Squid que ele nao processa os pacotes direito.

[xstefanox]

Até onde eu sei, no way. =/

[netosdr]

Até onde eu sei, no way. =/

Tb nunca ouvi falar que tem jeito com proxy transparente.
Já se o proxy não for transparente é possível filtrar todos os sites inclusive os https.

Um abraço!

[mhp]

HTTPS e autenticação não funcionam em proxy transparente (redirect). Para rolar legal tem que desativar qualquer função de aceleração do Squid.

[Edilmar]

Mas vale entao uma critica ao Squid. Se o esquema de proxy transparente é tao importante para evitar que usuarios tentem burlar o sistema, desativando o proxy do seu navegador, eles deveriam melhorar a ferramenta para dar suporte a filtros nao menos importantes, como autenticacao e https. Hoje em dia, sao 3 recursos vitais para a administracao de uma rede. Sera que eles estao mexendo nisso para ativar em novas versoes? E existem outras opcoes de proxy no Linux que dao suporte para isso?

[mhp]

Não tenho certeza se o problema é específico do Squid ou se acontece também com outros proxies em modo transparente.
De qualquer forma, para evitar que os espertinhos naveguem sem proxy é só filtrar nas regras de forward as portas 21(ftp),70(gopher),80(http) e 443(https).

[Edilmar]

Neste caso eu tenho que fazer um DROP desta 4 portas e o Squid vai passar a gerenciar todos estes protocolos? Pois eu nunca redirecionei as portas 21 e 70 para ele.

Fiz o teste de bloquear estas portas e o MSN parou de funcionar. Como os usuarios precisam ter acesso ao MSN, se eu bloqueio a porta 443, o MSN para.

[mhp]

Que estranho, pelo que eu sei o MSN não usa a porta 443. Abaixo estão as portas padrão do MSN:

389 : TCP MSN NetMeeting
522 : TCP MSN NetMeeting
1024 : UDP MSN NetMeeting (ports 1024 - 65535)
1503 : TCP MSN NetMeeting Whitebord and Application Sharing
1720 : TCP MSN NetMeeting
1731 : TCP MSN NetMeeting
1838 : TCP MSN Messenger (Gamevoice)
1863 : TCP/UDP MSN Messenger primary (incoming)
2300 : TCP/UDP MSN Gaming Zone DX (incoming) - ports 2300-2400
2880 : TCP MSN Gaming Zone (ports 2880-29000).
3389 : TCP MSN/Microsoft RDP (Remote Desktop Protocol) for Remote assistance
5004 : UDP MSN Messenger, ports 5004-65535. Used for AUDIO and VIDEO.
5190 : UDP MSN Messenger (incoming)
6667 : TCP MSN Gaming Zone (incoming)
6891 : TCP MSN Messenger Filetransfer (incoming) - ports 6891 - 6900, one port per file transfer
6901 : TCP/UDP MSN Messenger Voice Telephony (incoming)
28800 : TCP MSN Gaming Zone (incoming) - ports 28800 to 29000
47624 : TCP MSN Gaming Zone DX (incoming)

[doliveira]

Olá, como nosso colega MHP disse, o squid não funciona direito com https e autenticação se vc estiver usando proxy transparente. Vc tem passar a usar proxy revelado (ex.: colocarndo o endereço do proxy no ie e outros programas para acessarem a net).
Bem, sobre o q o Edimar disse:
"Se o esquema de proxy transparente é tao importante para evitar que usuarios tentem burlar o sistema, desativando o proxy do seu navegador, eles deveriam melhorar a ferramenta para dar suporte a filtros nao menos importantes, como autenticacao e https"
Parece q o pessoal do squid ja esta vendo isso.

Agora isso naõ é o fim do mundo nao. Basta o administrador de redes, ser realmente um administrador e nao so falar q é.
Para utilizar o proxy revelado vc tem q configurar o seu fw para q toda sua rede passe por ele caso contrario ninguem navega, ou seja, se algum cliente + espertinho mudar o proxy para um publico ou instalar um software q procura proxys nas internet ele nao ira conseguir navegar, entao ele tera q voltar a colocar o proxy da empresa para poder usar a net.

Aki tive q deixar de usar o proxy transparente divido ao mesmo problema so Edimar, mas não tenho nada a reclamar, aki quem reclam sao os uauários pois eles nao conseguem mais burlar o proxy.

Espero ter ajudado...

T+