El 8 de agosto de 2014, 13:13, William Romero <wromer...@hotmail.com>
escribió:
> Gracias por sus respuesta , no me queda otra que trabajar en las reglas de
> iptables.
>
> saludos
>
>
> WRC
> >
>
Hola,
La verdad es que no se puede hacer filtrado de https con proxy
transparente de forma simple en linux, pero es algo que tenes que descubrir
(comprender) por vos mismo, la solución de filtrar https por iptables no
te va a servir, porque para hacerlo tenes que cargar todas las ip posibles
por cada dominio https://dominio.com, y todas las ip de cada link que tiene
la pagina.
Diras eso es fácil, pero muchos dominios ahora cambian su ip durante
el tiempo (puede ser minutos), esto lo hacen por diversas razones (carga,
de lugar, etc). Es decir el dominio googlehosted.l.googleusercontent.com
hoy me devuelve 173.194.42.106, 173.194.42.107, 173.194.42.108 pero dentro
de 10min van a ser otras ip. (fijate hay un mail de hace meses con el
mismo tema y tiene el mismo dominio como ejemplo y vas a ver que son otras
ips)
Con todo esto vas a tener que estar actualizando tus filtros de https
cada cierto intervalos para tener las nuevas ip, esto hace que filtrar
https con iptables no sea una solución, aunque vos le dediques todo el
tiempo, solo te va a dar dolores de cabeza y mas parches sobre parches.
Hay router-firewal que lo hacen, como fortigate que filtra https con nat
(proxy traspararente), no se como lo hacen, pero una opción es que el
router se combierta en Man in the Middle de una forma similar a
http://www.rahulpahade.com/content/squid-transparent-proxy-over-ssl-https
(si lo implementas comenta como va)
Saludos.
