Home › Comunidade Brasileira Endian Firewall › Endian Firewall › NON-TRANSPARENT Proxy não bloqueia HTTPS
Marcado: proxy transparente https bloqueio
- Este tópico contém 6 respostas, 4 vozes e foi atualizado pela última vez 9 anos, 10 meses atrás por rpoloni.
-
AutorPosts
-
-
maio 8, 2014 às 2:52 pm #18737khainParticipante
Olá, estamos implantando o proxy não transparante com o Endian na empresa.
No Firewall, na saída, portas 80 e 443 estão fechadas.
O proxy HTTP está setado para Não-Transparente na porta 8080.
Com relação a autenticação e configuração nas máquinas, está tudo OK.
Existe uma regra no content filter para bloquear o facebook conforme o exemplo:Block the following sites
facebook.com.br
facebook.comEsta regra está associada a uma Access Policy, que está vinculada a um grupo de usuários.
Porém os clientes ainda conseguem através do https acesso ao Facebook.
Minha dúvida é, por estamos utilizando o proxy não transparente, com autenticação e as regras no filtro de acesso, juntamente com bloqueio das portas 443 e 80 no firewall de saída, não era para o Facebook estar bloqueado?
Wireguard_webadmin
Sistema gratuito (Open Source) para gestão de VPN's WireGuard com uma Web interface intuitiva e fácil de usar.
Principais funcionalidades:
- Sistema de Firewall completo e flexível.
- Encaminhamento de portas
- Suporte a multi usuário com níveis diferentes de acesso
- Múltiplas instâncias do Wireguard
- Crypto key routing para configuração de VPN site-to-site
O projeto é Open Source, fácil de instalar e está disponível em wireguard_webadmin
-
junho 10, 2014 às 9:15 pm #18881Luciano DonatoParticipante
EU também estou com mesmo problema.
Bloqueei a porta 80 e 443, se acessar http://www.facebook.com, bloqueia normal, porém se usar o https, o site abre, o mais estranho é que aparece nos logs. -
junho 11, 2014 às 11:33 am #18888Luciano DonatoParticipante
O mais estranho é isto, ele mostra no log como negado e abre normalmente.
Vi vários post que a versão 2.5 funciona corretamente, isto é verdade?
e outra coisa não consegui usar o certificado do “Proxy https”, eu gerei o certificado e fiz download, fiz a instalação padrão, mas o IE bloqueio a navegação.
-
junho 11, 2014 às 11:57 am #18891persiopcoParticipante
Quando eu instalei o certificado, tive que instalá-lo com duplo clique no arquivo de certificado e depois disso tive que instalar no internet explorer e no google chrome (mesmo o google chrome pegando as informações de conexão do internet explorer, que é o padrão do windows.).
Quando for instalar no navegador, instale o certificado como AUTORIDADES DE CERTIFICAÇÃO RAIZ CONFIAVEIS, pois se o certificado for instalado em outro padrao, a navegação nao ocorrera.
No Firefox é só importar.
Uma vez tive um bug no certificado recem gerado. Nao Navegava. Dai gerei outro certificado e instalei denovo, removendo o antigo da maquinas clientes e voltou a funcionar normalmente.
Testa ai e post o resultado.
Pérsio
-
junho 11, 2014 às 4:42 pm #18892Luciano DonatoParticipante
Deu certo, mas ter que instalar o certificado em 50 maquinas fica complicado.
eu só preciso bloquear o facebook para algumas pessoas.
-
junho 11, 2014 às 5:17 pm #18895rpoloniParticipante
Eu utilizo o endian 2.5.1 e fiz o seguinte:
– Em FIREWALL – Trafego de Saída – Desabilitar o HTTP e o HTTPS para que não navegue sem proxy.
– Depois em PROXY – Política de Acesso – Crie uma regra da seguinte maneira: Tipo de origem, deixe Qualquer, Tipo de destino: Rede/IP e coloque os endereços que necessita, no meu caso eu utilizei apenas do facebook que são os:69.171.224.0/19
66.220.144.0/20
69.63.0.0/16
173.252.64.0/18
204.15.0.0/16
31.13.64.0/18
74.119.76.0/22
103.4.96.0/22
31.13.24.0/21Em autenticação, no meu caso utilizo baseada em grupos (do AD)
Nos navegadores, no meu caso selecionei todos, pois se deixa-se sem marcar alguns navegadores conseguiam a navegação.
Política de Acesso: Proibir acesso
Marque habilitar e coloque em primeira posição.
Acredito que irá funcionar…
-
junho 11, 2014 às 9:15 am #18885persiopcoParticipante
Olá.
Eu não sei a versão do Endian que vocês estão utilizando, mas eu tive o mesmo problema usando o 3.0. Fazia o webfilter e a politica de acesso bloqueando o facebook, negava acesso na porta 80 e 443 no firewall e mesmo assim navegava.
Consegui resolver utilizando proxy transparente e https proxy. O proxy não transparente não bloqueia o HTTPS sabe-se lá por qual motivo (bug talvez na nova release).
Bom, aqui resolvi da seguinte forma:
Setei o proxy para TRANSPARENTE e habilitei o HTTPS Proxy. A partir dai gerei um novo certificado no Endian e fiz o download deste certificado para poder instalá-lo nas máquinas clientes.
Feita todas as regras de acesso e habilitado o HTTPS Proxy, teste o acesso ao facebook em um cliente via https para ver se a página de bloqueio aparece. Se o certificado não for instalado, qualquer página HTTPS será encarada pelo navegador como não confiável e o conteúdo da mesma não será exibido ou será exibido parcialmente.
Caso o bloqueio não aconteça imediatamente após o Endian aplicar as configurações de proxy, reinicie o serviço i-cap: /etc/init.d/i-cap restart, ou reinicie o servidor.
Dé uma olhada nesse post para ver se ajuda também: http://endian.eth0.com.br/forums/topic/bloqueio-https-youtube-443/
Mas, já avisando,na versão 3.0 já encontrei um problema de certificados. Se o site requer certificado próprio (como o módulo Sindec no site do procon), você não conseguirá estabelecer conexão com o site, visto que o certificado Endian é passado para o site do procon e não o certificado correto sindec, ocasionando em erro de SSL_Handshake). Ainda estou procurando solução para este probleminha, mas no resto funciona bloqueio HTTPS na versão 3.0 que é uma beleza.
Qualquer dúvida grita ae.
Pérsio
- Esta resposta foi modificada 9 anos, 10 meses atrás por persiopco.
-
-
AutorPosts
- O tópico ‘NON-TRANSPARENT Proxy não bloqueia HTTPS’ está fechado para novas respostas.