fs.schmidt
(usa CentOS)
Enviado em 03/08/2011 - 11:56h
Olá bonder, se colocar a regra como voce falou ele simplesmente resolve o nome para o ip q responder no momento. Vi aqui no vol alguns scripts interessantes, q de tempo em tempo pega o ip que o facebook responder e bloqueia.
Montei um squid para laborátorio, justamente para bloquear sites https quando se utiliza proxy transparente. A conclusão que cheguei é que é muito mais vantajoso utilizar WPAD, que é configurado de forma muito fácil no dhcp/dns:
http://pt.wikipedia.org/wiki/WPAD
MAS também é necessário nas estações que esteja marcada a opção "detectar automaticamente a configuração" nos browsers, e se você não tiver um serviço de diretório ou um domínio para estações windows para definir como politica fica ruim pois se desmarcar ele passa fora do proxy.
Resumindo, o squid possui a diretiva https_port, que é para requisições https, mas não vem habilitado por padrão nos pacotes das distros que testei, para isso tem que recompilar com --enable-ssl.
Obs.: A parte ruim é que tem que utilizar um certificado que não seja auto assinado no servidor proxy, senão os sites acessados rejeitam a conexão.