Hola!, en una de las empresas que colaboro a administrar se utiliza un zentyal 2.2, rápidamente después de intalar el proxy http nos dimos cuenta que los usuarios ya conocían la puerta abierta que tenían con el protocolo https así que se me asignó la tarea de solucionar este problema. Después de mucho batallar cómo ustedes me tope con algunos inconvenientes cómo por ejemplo:
-Si en el firewall crean una regla que contenga por ejemplo origen:cualquiera, destino:cualquiera, servicio:any>>accept entonces sin importar que por encima pusiera una regla para negar acceso a algún puerto desde cualquier objeto esa regla no se veía aplicada ya que la anterior daba acceso a todo sin importar que existieran otras para denegar acceso.
-Si se creaba una regla con origen:usuarioslimitados, destino:ipdepaginablqueada, servicio:https>>deny si no existía una regla cómo la mencionada en el punto anterior entonces efectivamente bloqueaba el acceso por el servicio https pero también caulquier acceso a direcciones ip que no estuvieran incluidas dentro el objeto destino bloqueado lo causaba problemas con páginas de bancos, mail etc.
Después de mucho pelear finalmente termine con un método algo complicado que funciona pero es tardado:
-Primero creo el servicio https en el puerto 443
-luego creo 2 objetos uno llamado Bloqueado y Otro Acceso, en acceso puse las direcciones de bancos, servidores webmail y páginas conocidas que utilizan el servicio https para funcionar y que estan permitidas, en Bloqueado las ips de facebook, twitter...
(NOTA: *por petición de la empresa debo permitir todos los servicios adicionales y para evitar problemas antes de crear esta regla generé otra con los valores: Objeto origen:usuarioslimitados, destino:cualquiera, servicio:todos menos https>>accept; esto último se hace seleccionando https y Inverse match para que no se meta con ese servicio)
-Creo la regla: origen:Usuarioslimitados, destino:bloqueado, servicio:https>>deny; y otro encima de este con: origen:Usuarioslimitados, destino:Acceso, Servicio:https>>accept
Todo esto claro sobre el filtrado de paquetes de redes internas del Firewall. En caso de que alguna página no funcione (ya que todas las páginas no incluidas en Acceso son bloqueadas por el Zentyal) se nos envía una solicitud y al ser autorizado se incluye en el objeto Acces y fin.
Espero les sirva de algo