Re: Squid3 y Dominios https
Así es, los navegadores no permiten el uso de proxy transparente con
https debido a que puede ser usado para ataques Men-in-midle, por tanto
rechazan las conexiones.
Por eso el cliente debe estar notificado de que su gateway para https
está en X puerto y servidor, ya sea configurandolo manualmente en el
navegador o distribuido a través de un wpad.
Además Squid deberá tener un certificado intermedio para validar el
encriptado entre el cliente y el sitio web.
Por eso lo más sencillo es un periódico enrollado con el cual golpear a
los usuarios que ingresen a páginas prohibidas jajajja.
--
----
_________________________________________
/ Amor se llama el juego en el que un par \
| de ciegos juegan a hacerse daño. |
| |
\ -- Joaquin Sabina. Cantautor español. /
-----------------------------------------
\ ^__^
\ (oo)\_______
(__)\ )\/\
||----w |
|| ||
El jue, 08-09-2016 a las 15:27 -0300, OddieX escribió:
> Oswaldo, fijate la documentacion de Squid... Por ahi lei que no lo
> configuras en los clientes no podes manejar https...
>
>
> El 8 de septiembre de 2016, 10:52, Matias Mucciolo
> <mmucciolo@suteba.org.ar> escribió:
>
> claro si denegas el dominio con un acl
> deberia bloquearlo el squid ya sea http o
> https(si es que el https pasa por el squid).
>
> ejemplo del log que deberias encontrar:
>
> TCP_DENIED/403 1454 CONNECT webmessenger.msn.com:443 - NONE/-
> text/html
>
> ese dominio(que ya no existe mas en si) lo tengo bloqueado en
> una acl.
>
> saludos
>
>
> --
>
> Matias Mucciolo
>
> Area de Infraestructura.
> Piedras 737 C.A.B.A
> SUTEBA
>
> On Thursday 08 September 2016 08:55:12 Oswaldo Franco wrote:
> > No lo tengo transparente por ese mismo caso.
> > Osea mientras no deniego el dominio de la página https
> siempre podrán
> > acceder a ella?
> > Porque si la deniego no pueden abrirla.
> >
> >
> >
> >
> > El 8 de septiembre de 2016, 8:48, Matias Mucciolo
> <mmucciolo@suteba.org.ar>
> > escribió:
> >
> > >
> > > No hay problema
> > > creo que lo que esta pasando(o me imagino)
> > > es que el https sale directamente sin pasar
> > > por el proxy por eso no lo filtra.
> > >
> > > no se si usas un proxy trasparente pero
> > > https no funciona con proxy transparete,
> > >
> > > suerte
> > >
> > >
> > > --
> > >
> > > Matias Mucciolo
> > >
> > > Area de Infraestructura.
> > > Piedras 737 C.A.B.A
> > > SUTEBA
> > >
> > > On Thursday 08 September 2016 08:43:13 Oswaldo Franco
> wrote:
> > > > Gracias por tu recomendación Matias Mucciolo, pero tengo
> configurado un
> > > > firewall sencillo con Firestarter y los servicios de
> DHCP y DNS en
> > > Windows.
> > > > Estoy migrando poco a poco los servicios
> > > >
> > > >
> > > >
> > > >
> > > > El 8 de septiembre de 2016, 8:13, Matias Mucciolo <
> > > mmucciolo@suteba.org.ar>
> > > > escribió:
> > > >
> > > > >
> > > > > Buenas
> > > > >
> > > > > lo que yo haría en este caso
> > > > > es bloquear el puerto 443 en el firewall
> > > > > y configurar el proxy en cada maquina.
> > > > > Tambien te recomiendo el "auto-detect proxy"(wpad)
> > > > >
> > > > > saludos
> > > > >
> > > > >
> > > > > --
> > > > >
> > > > > Matias Mucciolo
> > > > >
> > > > > Area de Infraestructura.
> > > > > Piedras 737 C.A.B.A
> > > > > SUTEBA
> > > > >
> > > > > On Thursday 08 September 2016 07:33:22 Oswaldo Franco
> wrote:
> > > > > > Hola listeros, saludos.
> > > > > >
> > > > > > Utilizo squid3 (3.1.6-1.2+squeeze3) en una máquina
> con Debian
> > > GNU/Linux
> > > > > > 6.0.8 (squeeze).
> > > > > >
> > > > > > Tengo el squid configurado para bloquear TODO y
> permitir lo que le
> > > diga
> > > > > > mediante las ACL. Pero los dominios con https se
> pueden abrir
> > > > > normalmente a
> > > > > > menos que las deniegue específicamente.
> > > > > >
> > > > > > Quiero saber si podrían darme una ayuda para que
> esto no suceda.
> > > > > >
> > > > > > Qué es lo que quiero, que deniegue todo (inclyendo
> https) y yo poder
> > > > > > permitir mediante ACL's los dominios que desee.
> > > > > >
> > > > > > Gracias de antemano.
> > > > > >
> > > > > >
> > > > > > --
> > > > > > OSWALDO FRANCO
> > > > > > Cumaná, Sucre -Venezuela
> > > > > > GNU/Linux User # 508524
> > > > >
> > > >
> > > >
> > > >
> > > > --
> > > > OSWALDO FRANCO
> > > > Cumaná, Sucre -Venezuela
> > > > GNU/Linux User # 508524
> > > >
> > > >
> > > >
> > > > Enviado con Mailtrack
> > > > <https://mailtrack.io/install?source=signature&lang=es&
> > > referral=franco.oswaldo@gmail.com&idSignature=23>
> > >
> >
> >
> >
> > --
> > OSWALDO FRANCO
> > Cumaná, Sucre -Venezuela
> > GNU/Linux User # 508524
>
>
>
>
Reply to: