[FUG-BR] bloquear ultrasurf
Renato Frederick
renato em frederick.eti.br
Quinta Novembro 3 20:20:02 BRST 2011
Sim e não. Porque um redirect apenas, seria um man-in-the-middle, coisa
que o SSL não vai permitir. Mas você pode usar soluções no proxy, que
vão negociar a página original com SSl com o servidor original,
empacotar de novo e entregar pro cliente, algo como um "man in the
middle consentido. Veja esta[1] discussão da GTER, tem muito conteúdo
sobre isto.
Eu também apoio a maneira do Enio, sem NAT e porta 80 e 443 com proxy no
navegador. E ACL no squid(squidguard) fazendo o "grosso" de bloquio.
Relatórios do squid(lighsquid) analisados periodicamente para fazer um
pente fino(tanto de bloqueios quanto de possíveis sites que podem ser
liberados, como portais de notícias, etc, afinal o colaborador não
precisa ficar cego/surdo/mudo do mundo lá fora).
[]s
[1] http://eng.registro.br/pipermail/gter/2007-March/013648.html
Em 03/11/11 20:10, Enio Marconcini escreveu:
> é... aqui na empresa não fazemos nat (na realidade só é feito para
> algumas portas ou ips de destino, tipo, caixa federal etc), tudo tem
> que passar pelo squid, neste caso conseguimos tranquilamente... mas no
> caso de proxy transparente, usa-se o firewall para fazer um redir da
> porta 80 para a porta do proxy, por acaso se ajustasse um outro redir
> da porta 443 não resolveria?
Mais detalhes sobre a lista de discussão freebsd