Die Firewall kann nicht steuern, auf welche HTTPS-URLs der Client zugreifen möchte, da die URL verschlüsselt ist. Die Firewall kann nur mithilfe von IP-Adressen steuern, zu welchen Sites der Client eine Verbindung herstellt. Dies hilft jedoch nicht, wenn sich die HTTP- und HTTPS-Versionen der Site unter derselben URL befinden (und selbst wenn dies nicht der Fall ist) eine riesige Liste von IP-Adressen zu führen).
Die einzig realistische Möglichkeit, HTTPS zu blockieren, besteht darin, es insgesamt zu blockieren. Bestehen Sie darauf, dass alle Verbindungen gültiges HTTP sein müssen (dh der Client beginnt mit dem Senden einer HTTP
Leitung usw.). Dies kann nicht nur mit IPtables durchgeführt werden. Sie benötigen einen tatsächlichen protokollfähigen Proxy wie Squid. (Ich weiß nicht, wozu Untangle Lite fähig ist.)
Sie können den größten Teil des HTTPS-Verkehrs blockieren, indem Sie den ausgehenden Verkehr zu Port 443 blockieren, da sich fast alle HTTPS-Server an diesem Port befinden. Oder lassen Sie nach einem Whitelist-Ansatz nur ausgehenden Datenverkehr zu Port 80 (dem normalen HTTP-Port) zu.
Ein anderer Ansatz wäre das Proxy aller HTTP- und HTTPS-Verbindungen. Dann können Sie nach URLs abgleichen. Dies erfordert einen Man-in-the-Middle-Angriff auf die Clients. Sie können dies tun, wenn Sie Ihre eigene Zertifizierungsstelle auf allen Clientcomputern bereitstellen und dort als Vertrauensbasis registrieren. Dies kann als unethisch angesehen werden.
Unabhängig davon, was Sie tun, richten bestimmte Benutzer einen Proxy außerhalb Ihrer Umgebung ein und führen IP über HTTP oder ähnliches aus.
Sie scheinen entweder zu versuchen, ein soziales Problem mit technischen Mitteln zu beheben, was kaum jemals funktioniert, oder Sie tun Ihr Bestes, um eine dumme Anforderung des Managements umzusetzen (in diesem Fall würde ich Port 443 blockieren, vielleicht nur für bestimmte IPs, mit denen Sie melden können, dass Sie Ihre Arbeit erledigt haben, egal wie nutzlos).