Bloqueo de proxies (ultrasurf, tor,...)

[luckas]

Buenas,
soy de un centro educativo y estamos pensando en implantar ebox.
Pero tenemos un problema, tenemos activado el proxy transparente, pero los usuarios lo traspasan utilizando programas como ultrasurf, tor,...etc.
Viendo que es muy difícil bloquearlos porque van por el puerto 443, había pensado que una opción sería denegar todo el tránsito https (443) excepto aquellas páginas a las que sería interesante dar acceso. Es decir hacer una whitelist (con los nombres de los dominios aceptados, bloqueando la resta).
Hay alguna manera de hacerlo con ebox? O sabéis de alguna otra solución?
Gracias!

PD: por cierto veo que no funciona el traffic shapping (qos) con el proxy transparente activado. Es esto normal?

[jsalamero]

No existe ninguna manera de blockear ultrasurf correctamente sin una política muy restrictiva. Prueba a bloquear la conexión directa a las IPs, utilizar una lista de urls para bloquear la categoría proxy, si esto no es suficiente, tendrás que permitir el acceso al puerto https 443 sólo a determinados hosts, así ultrasurf no tendrá otra forma de conectarse a internet.

Hay varios posts en el foro sobre qos con proxy transparente, echa un vistazo y si tienes alguna cuestión no dudes en preguntar.

Saludos.

[luckas]

No, si me parece bien (si no hay más remedio).
El problema es que cuando quiero bloquearlo todo menos unos dominios no me deja.
Los objetos permiten definir ip's y los servicios puertos y protrocolos; pero no hay manera de definir dominios.
Por ejemplo gmail.com tiene muchísimas ip's y no las sé todas (ya que internamente trabajan con un pool de ip's).
Otra manera seria utilizar el traffic shapping, pero como con proxy transparente no se puede...
Saludos!

[davidp]

Hola,

Claro que se pueden bloquear dominios:

Proxy HTTP -> Filtrado de perfiles -> Default (o el que tengas) -> Filtrado de dominios -> Reglas de dominios y URLs

Ya contarás

Saludos

[luckas]

Sí, tienes razón, port HTTP funciona (puerto 80), pero por HTTPS (puerto 443) no.

[luckas]

He investigado un poco y parece que hay una aplicación que bloquea los proxies anónimos.
Se llama ufdbGuard (http://www.urlfilterdb.com) y trabaja conjuntamente con squid.
Tendré que investigar un poco y a ver si se puede integrar con ebox.