Se você trabalha com proxy transparente, logo logo irá se deparar com usuários que burlam todos os bloqueios, por utilizarem a porta 443 (que normalmente não é filtrada), seja por acesso a uma página de proxy como o the-cloak ou programas que fazem o serviço mais automatizado como o TOR e o UltraSurf.
O interessante do UltraSurf é que ele não requer instalação e ele usa uma base imensa de possíveis proxys para liberar o acesso a tudo (orkut, youtube, pagina pornô e etc.) pela porta 443! =(
Fazer bloqueio de conteúdo na porta 443 com proxy transparente, não funciona.

A solução é mudar para o proxy não-transparente e bloquear as portas 80 e 443. Mas como fazer isso em uma rede com trocentos computadores? Tem que ir de computador em computador mudando a conf dos navegadores? Como fazer isso da forma mais indolor (sem ter que ir obrigatoriamente em TODOS os computadores)? Como não punir os bons usuários pelo mal uso dos que se utilizam do UltraSurf?

Utilizaremos o seguinte cenário: Rede de uma instituição de ensino que preza a pesquisa, ensino e tudo o que não tenha a ver com orkut, youtube e pornografia. A rede conta com DMZ, DNS, servidor Web, DHCP, firewall e os usuários do UltraSurf.

PREPARANDO O TERRENO (o que precisa)
- Prepare uma página que descreva o motivo a qual a pessoa foi bloqueada. (Dizendo que houve uma tentativa de burlar o proxy, que houve a tentativa de burlar a política de segurança (se houver) e etc. Deve explicar na página como configurar o navegador para detectar as configurações de proxy automaticamente.)
- Instale o snort ou outro IPS no firewall.
- Configurar o WPAD no DNS e no DHCP para passar as configurações de proxy de forma dinâmica (detectar as configurações de proxy) no navegador.
- Preparar, no servidor web, um espaço para colocar o arquivo wpad.dat
-

========
continua...
========