Home › Comunidade Brasileira Endian Firewall › Endian Firewall › Endian Firewall – Suporte › Bloqueios de sites protocolo https
Marcado: https
- Este tópico contém 16 respostas, 7 vozes e foi atualizado pela última vez 10 anos, 7 meses atrás por mcardosoti.
-
AutorPosts
-
-
abril 17, 2012 às 10:47 pm #1777raquelParticipante
Olá pessoal, pra iniciar eu gostaria de agradecer pelo suporte que me foi dado nos momentos em que precisei de ajuda, os posts de vcs foram muito úteis!
Endian Instalado: 2.5.1
Utilizo proxy não transparente.
3 filtros de conteúdo estão configurados.
4 políticas de acesso estão configuradas baseada em grupo e informando o devido perfil.
É o seguinte,tenho 2 meses que estou usando o Endian e tenho algumas dúvidas, gostaria que na medida do possível vcs me ajudassem.
Sei que desabilitando a porta 443 nas configuração do firewall de saída, vai bloquear o acesso aos sites https. Minha dúvida é como proceder para que os usuários nao consigam mais acessar os sites bloqueados usando a porta 443 https tipo https://pt-br.facebook.com e mantendo o acesso aos sites que são necessários acessar, como por exemplo os sites de bancos?
Outra pergunta, no Endian 2.5.1 a conexão a internet é lenta mesmo quando utilizado proxy? Aqui no TI mesmo, como medida paleativa estamos usando sem proxy porque fica muito lento… Nos filtros de conteúdo eu até tirei os filtros por palavra e categoria, deixando mesmo só as blacklists mas não surtiu efeito…
Desde já agradeço.
Wireguard_webadmin
Sistema gratuito (Open Source) para gestão de VPN's WireGuard com uma Web interface intuitiva e fácil de usar.
Principais funcionalidades:
- Sistema de Firewall completo e flexível.
- Encaminhamento de portas
- Suporte a multi usuário com níveis diferentes de acesso
- Múltiplas instâncias do Wireguard
- Crypto key routing para configuração de VPN site-to-site
O projeto é Open Source, fácil de instalar e está disponível em wireguard_webadmin
-
abril 18, 2012 às 2:40 pm #11176Diego PontesParticipante
1 – Se você usa proxy no browser você tem que desativar as regras de saída da porta 80 e 443, se não o usuário tira o proxy e navega livremente, estando com essas regras ativas.
2 – Retirando as regras o usuário tem que passar pelo proxy e todo o trafego http ou https será filtrado, então você conseguirá bloquear tanto http como https.
3 – O Endian 2.5.1, várias pessoas relataram lentidão na navegação, eu sou uma delas, é horrível de lento, pra funcionar eu instalei o 2.4.1 e está funcionando perfeitamente.
Essa semana vou colher todos os logs dos acessos com o 2.5.1 e abrir um tópico na bug tracker do Endian, pra ver o que pode ser, só não sei se serei atendido, lá só está permitindo até a versão 2.5, a 2.5.1 ainda não aparece como opção.
-
abril 18, 2012 às 7:11 pm #11177JefersonParticipante
Boa tarde,
Diego Pontes vamos tentar descobrir essa lentidão ai nos Endian alheios, minha internet aqui é digitou o endereço [ENTER] abriu.
houve melhora de 1 ou 2 segundos na abertura de pagina quando parei de usar filtro por palavra chave e só usando url blacklist.
Uso QoS e proxy autenticado integrado com AD não Transparente.
raquel conforme o Diego Pontes ja postou
1 – Se você usa proxy no browser você tem que desativar as regras de saída da porta 80 e 443, se não o usuário tira o proxy e navega livremente, estando com essas regras ativas.
2 – Retirando as regras o usuário tem que passar pelo proxy e todo o trafego http ou https será filtrado, então você conseguirá bloquear tanto http como https.
A partir daí vc configura como melhor lhe atende (bloqueios. liberações)
3 – O Endian 2.5.1, várias pessoas relataram lentidão na navegação, eu sou uma delas, é horrível de lento, pra funcionar eu instalei o 2.4.1 e está funcionando perfeitamente.
Vc usa QoS? quantos links de internet? Qual a velocidade? quantos computadores? Quais serviços ativos?
Jeferson.
Endian Community 2.5.1
-
abril 18, 2012 às 7:40 pm #11178Diego PontesParticipante
1 link de 15Mb – Navegação
1 link de 1Mb full – Usado somente para vpn entre as sedes
Autenticação local, com média de 5 content filters e 8 políticas de acessos.
Média de 70 usuários por sede.
Não uso QOS, já desativei todos os serviços e deixei somente o proxy http e mesmo assim não funciona, mas uso IDS, Proxy Http, Firewall, Vpn Ipsec, Ntop e os Registros.
Máquina:
Processador: i3
Memória: 2Gb
Hd: 500gb Sata 3
Não é problema de dns, nem de rede, ping dentro da rede é de 0.4ms e a resolução de nomes fica sempre rápida, dentro ou fora do servidor (da minha máquina consultando no servidor e do servidor consultando nos dns que eu cadastrei).
[diego@redes ~]$ ping 10.0.0.253 -c 10
PING 10.0.0.253 (10.0.0.253) 56(84) bytes of data.
64 bytes from 10.0.0.253: icmp_req=1 ttl=64 time=0.326 ms
64 bytes from 10.0.0.253: icmp_req=2 ttl=64 time=0.631 ms
64 bytes from 10.0.0.253: icmp_req=3 ttl=64 time=0.470 ms
64 bytes from 10.0.0.253: icmp_req=4 ttl=64 time=0.257 ms
64 bytes from 10.0.0.253: icmp_req=5 ttl=64 time=0.577 ms
64 bytes from 10.0.0.253: icmp_req=6 ttl=64 time=0.468 ms
64 bytes from 10.0.0.253: icmp_req=7 ttl=64 time=0.367 ms
64 bytes from 10.0.0.253: icmp_req=8 ttl=64 time=0.471 ms
64 bytes from 10.0.0.253: icmp_req=9 ttl=64 time=0.462 ms
64 bytes from 10.0.0.253: icmp_req=10 ttl=64 time=0.589 ms
— 10.0.0.253 ping statistics —
10 packets transmitted, 10 received, 0% packet loss, time 8999ms
rtt min/avg/max/mdev = 0.257/0.461/0.631/0.116 ms
[diego@redes ~]$ dig +trace http://www.globo.com @10.0.0.253
; <<>> DiG 9.8.2rc2-RedHat-9.8.2-0.4.rc2.fc16 <<>> +trace http://www.globo.com @10.0.0.253
;; global options: +cmd
. 29284 IN NS h.root-servers.net.
. 29284 IN NS l.root-servers.net.
. 29284 IN NS m.root-servers.net.
. 29284 IN NS g.root-servers.net.
. 29284 IN NS j.root-servers.net.
. 29284 IN NS f.root-servers.net.
. 29284 IN NS c.root-servers.net.
. 29284 IN NS k.root-servers.net.
. 29284 IN NS a.root-servers.net.
. 29284 IN NS b.root-servers.net.
. 29284 IN NS i.root-servers.net.
. 29284 IN NS d.root-servers.net.
. 29284 IN NS e.root-servers.net.
;; Received 228 bytes from 10.0.0.253#53(10.0.0.253) in 114 ms
com. 172800 IN NS c.gtld-servers.net.
com. 172800 IN NS f.gtld-servers.net.
com. 172800 IN NS h.gtld-servers.net.
com. 172800 IN NS k.gtld-servers.net.
com. 172800 IN NS e.gtld-servers.net.
com. 172800 IN NS a.gtld-servers.net.
com. 172800 IN NS l.gtld-servers.net.
com. 172800 IN NS d.gtld-servers.net.
com. 172800 IN NS m.gtld-servers.net.
com. 172800 IN NS j.gtld-servers.net.
com. 172800 IN NS b.gtld-servers.net.
com. 172800 IN NS i.gtld-servers.net.
com. 172800 IN NS g.gtld-servers.net.
;; Received 491 bytes from 192.5.5.241#53(192.5.5.241) in 75 ms
globo.com. 172800 IN NS ns01.globo.com.
globo.com. 172800 IN NS ns02.globo.com.
globo.com. 172800 IN NS ns03.globo.com.
;; Received 192 bytes from 192.26.92.30#53(192.26.92.30) in 96 ms
http://www.globo.com. 10800 IN A 186.192.82.163
globo.com. 10800 IN NS ns03.globo.com.
globo.com. 10800 IN NS ns01.globo.com.
globo.com. 10800 IN NS ns02.globo.com.
;; Received 208 bytes from 186.192.89.5#53(186.192.89.5) in 60 ms
Como disse acima, com o 2.5.1 a navegação fica horrível, carniça total mesmo, mas com o 2.4.1 fica perfeito, extremamente rápido. Não há nenhuma diferença entre regras ou qualquer outra coisa no servidor, já fiz recuperando backup e sem recuperar backup.
Se tiver alguma ídeia agradeço, pois quero usar o kernel mais novo.
-
abril 18, 2012 às 8:33 pm #11179raquelParticipante
Gente, estou passando muita raiva aqui com o 2.5.1, vou configurar outro Endian 2.4.1 pra melhorar a situação aqui por enquanto.
-
abril 19, 2012 às 10:59 am #11180Renato AlvesParticipante
O meu endian aqui é o 2.5.1. Instalei ele usando um link oi de 2 MB. Ele está em teste e só suportou 3 clientes nele até hoje e não deu lentidão, ao contrário, posso dizer que o meu link principal que é de 10 MB com o firewall antigo não é tão rápido quanto o meu Link de 2 MB com o Endian. É um dual core 2160 com hd sata de 80 GB, 2 GB ram e placa-mãe gigabyte. Oque eu tenho rodando nele é o proxy, o cron, o servidor web, ssh, syslog, e proxy DNS. Está com as portas 80 e 443 fechadas, e é autenticado no AD. Até agora não deu um problema de lentidão ou performace que seja. Dos 2 GB de memória eu deixei 1 GB pra cache de RAM e 2 GB pra cache de disco.
-
abril 19, 2012 às 5:34 pm #11181JefersonParticipante
Diego Pontes
1 link de 15Mb – Navegação
1 link de 1Mb full – Usado somente para vpn entre as sedes
Autenticação local, com média de 5 content filters e 8 políticas de acessos.
Média de 70 usuários por sede.
Não uso QOS, já desativei todos os serviços e deixei somente o proxy http e mesmo assim não funciona, mas uso IDS, Proxy Http, Firewall, Vpn Ipsec, Ntop e os Registros.
Máquina:
Processador: i3
Memória: 2Gb
Hd: 500gb Sata 3
Realmente 2GB de RAM é pouco para 70 usuarios mais IDS, proxy e VPN.
Como está a configuração do seu proxy? (gerenciamento de cache)
Minha configuração
Servidor HP Proliant ML110 G7
4GB RAM
RAID 1 (2×250)
Intel Xeon E3 1220 3.1GHz
Computadores 20 a 30.
gerenciamento de cache:
Tamanho 1024MB
Memoria 640MB
Portas 53,80,443 desabilitados em firewall.
Serviços: Proxy autenticado não transarente integrado no AD, 8 politicas de acesso ativas, 2 filtros de conteúdo ativos (somente url blacklist e antivirus), Prevenção de intrusão, failover com dois uplinks, Qos, Firewall, monitoramento de trafego e DHCP.
Sugestão:
Crie um dispositivo para cada Uplink em QoS.
Sugestão reduzir o percentual criado automaticamente pelo Endian,(julgando que seja um link compartilhado, não dedicado), exemplo, tenho um uplink de 10/1MB ADSL2+
Conexão main – Prioridade Alta UPLINK:main 20% 100% 10
Conexão main – Prioridade Média UPLINK:main 25% 100% 7
Conexão main – Prioridade Baixa UPLINK:main 5% 80% 5
Conexão main – Tráfego Bruto UPLINK:main 5% 100% 2
onde a regras:
RED 192.168.254.0/24 tcp Web SSL Minimize-Delay Prioridade Alta
RED 192.168.254.0/24 tcp Web Minimize-Delay Prioridade Média
RED 192.168.254.0/24 tcp Email Minimize-Delay Tráfego Bruto
Quando implementei fiz teste, deixei torrent (media de 6 a 8 simultaneos) durante um mês,
não foi perceptível redução de velocidade com e sem torrent com o QoS ativo, nem mesmo nos serviços remotos.
Somente um leve aumento da latencia quando os torrents ativos de 25ms (média) para 34ms (media). ping contra registro.br
OBS: a navegação na empresa (Endian com Proxy não transparente) é mais rapida que a de minha residencia, sendo de mesma velocidade.
Fica a sugestão.
Jeferson.
Endian Community 2.5.1
-
abril 19, 2012 às 10:09 pm #11182raquelParticipante
Olá pessoal, não sei se fiz algo errado, desabilitei a porta 443 no firewall e criei um política de acesso que libera vários dominios de sites de bancos.
Porém ao acessar alguma página tipo conta no bradesco, fica um bom tempo tentando carregar e dá erro tipo: “O servidor wwwss.bradesco.com.br demorou muito para responder”. Isso acontece com todos os https que tentei.
Segue um print da política que criei: http://www.4shared.com/photo/71mx54j6/pa_online.html
-
abril 19, 2012 às 10:22 pm #11183JefersonParticipante
Boa noite raquel,
Tem certeza que seu proxy está como não transparente?
Proxy não transparente necessita de configurar o proxy no browser.
Verifique em portas permitidas na configuração do proxy se esta porta está lista.
para lhe ajudar precisamos de mais detalhes.
Jerferson.
Endian Community 2.5.1
-
abril 19, 2012 às 11:58 pm #11184Diego PontesParticipante
Jeferson, cara o problema não é máquina, nem link, nem dns, o problema é o dansguardian, só fica lento quando ele é utilizado.
Me fala uma coisa, quantos contents você tem criado e sendo usados por acls?
-
abril 20, 2012 às 1:05 pm #11185JefersonParticipante
Bom dia,
Minha configuração
Servidor HP Proliant ML110 G7
4GB RAM
RAID 1 (2×250)
Intel Xeon E3 1220 3.1GHz
Computadores 20 a 30.
gerenciamento de cache:
Tamanho 1024MB
Memoria 640MB
Portas 53,80,443 desabilitados em firewall.
Serviços: Proxy autenticado não transparente integrado no AD, 8 politicas de acesso ativas, 2 filtros de conteúdo ativos (somente url blacklist e antivirus), Prevenção de intrusão, failover com dois uplinks, Qos, Firewall, monitoramento de trafego e DHCP.
retificando 3 filtros de conteudo ativos.
Jeferson.
Endian Community 2.5.1
-
abril 20, 2012 às 4:29 pm #11186Diego PontesParticipante
Eu ainda acredito que tenha haver com a quantidade de filtros ativos, mas durante o período de hoje a navegação aqui na empresa está normal, olha ai embaixo o que fiz.
-
abril 20, 2012 às 5:33 pm #11187raquelParticipante
Olá Jeferson, boa tarde,
Então, o proxy está como não transparente e está configurado manualmente proxy em todos os navegadores.
Segue um print das config. de proxy:
-
junho 20, 2012 às 4:57 pm #11188JefersonParticipante
Boa tarde,
Desculpe raquel, estava viajando.
Teria como postar sua configuração completa do proxy.
OBS: não estou usando filtro de conteúdo por palavras, somente por url.
Jeferson.
Endian Community 2.5.1
-
julho 19, 2012 às 5:22 pm #11189alexandre-fariasParticipante
Boa tarde a todos. Fiz o mesmo sistema de não liberar a porta 443 (https) mas os sites normais estao abrindo, pena que o proprio google parou de abrir. Alguma dica para esses sites que estao liberados até mesmo via https funcionarem sem ser necessario criar uma regra no firewall?
-
setembro 10, 2013 às 4:33 pm #11190kurekeParticipante
Boa Tarde.
Eu estou tendo o mesmo problema com sites HTTPS.
Utilizo o Endian 2.5.1.
Os proxy faz o filtro das páginas HTTP, porém, não faz os filtros das páginas HTTPS.
Alguém possui a solução?
Obrigado.
-
setembro 10, 2013 às 8:45 pm #11191mcardosotiParticipante
Aqui na empresa eu configurei o servidor da seguinte forme.
Se você não colocar o domínio que quer bloquear no filtro de conteúdo vai passar mesmo.
Minha infra aqui.
Proxy não transparente.
porta 80 e 443 Bloqueadas
Politica de acesso por horário.
Regras de Filtro.
https://twitter.com – Com acesso, não está na lista de bloqueados no FILTRO DE CONTEÚDO.
https://facebook.com – Sem acesso, adicionado ao grupo de bloqueados no FILTRO DE CONTEÚDO.
Aqui pra mim funciona numa boa.
Façam o teste e voltem aqui pra contar se deu certo.
-
-
AutorPosts
- O tópico ‘Bloqueios de sites protocolo https’ está fechado para novas respostas.