Boa noite. Andei pesquisando na internet sobre bloqueio de https com o squid, mas me deparei com uma série de informações controversas. Então se alguém puder me ajudar a esclarecer as minhas dúvidas eu agradeço.
* Por favor, só respondam se tiverem certeza da resposta.
1 - O squid3 (versão atual) consegue trabalhar com https?
Sim, perfeitamente, assim como todas as versões anteriores, e todas as versões futuras.
2 - O squid3 (versão atual) pode ser usado com essa diretiva para trabalhar com https?
http_port 3128 trasnparent
Não, assim como todas as versões anteriores, e todas as versões futuras.
E sim, eu tenho certeza absoluta disso.
3 - Essa regra funciona para redirecionar o tráfego https para o squid?
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 443 -j REDIRECT --to-port 3128
Não, essa regra não funciona para tráfego HTTPS, e não é um problema do Squid, aliás não é nem um problema, faz parte do projeto do HTTPS que esse tipo de regra não funcione.
Resumo: HTTPS não funciona com proxy transparente. Ponto. Se você precisa de tráfego HTTPS, libere-o diretamente ou configure o proxy nas estações. Ponto.
4 - Se eu bloquear a palavra facebook por exemplo, vai bloquear o site https://facebook.com.br ?
Sim, e também vai bloquear o site "
http://www.google.com?q=como+bloquear+o+facebook", pq vc está bloqueando a palavra, mas não disse em que parte do url está bloqueando. Por sorte, há como controlar em que parte do URL vc quer bloquear, e assim bloquear apenas no endereço.
5 - Qual a solução para bloquear https em um servidor firewall + proxy transparente? (O proxy é transparente, pois os usuários da rede são dinâmicos e desconhecidos)
Não há solução para HTTPS em proxy transparente. Ou você usa HTTPS, ou usa proxy transparente.
É a mesma situação de autenticação com proxy transparente: ou um, ou outro.
6 - A única maneira é fazer pelo iptables?
Não.
Há uma solução muito prática, que substitui com vantagens o proxy transparente (que é uma forma de ataque MiTM). Use WPAD (Web Proxy Auto Discovery). Com isso, você pode ativar a opção "Detectar automaticamente as opções de proxy" dos seus navegadores.
Agradeço a todos.
De nada.