#  > Servidores >  > Servidores de Rede >  >  Problema com Bloqueio de sites ( HTTPS ) via Proxy / Firewall

## Rodolpho Amorim

Opa
belezinha pessoal.

estou com um pequeno problema aqui e gostaria de uma ajuda... se possivel é claro.

eu tenho um servidor em minha rede onde o mesmo possue o FIREWALL IpTables e o PROXY Squid.

no Squid criei as regras de bloqueio ao orkut onde apos isso niguem mais conseguia acessa-lo pela porta 80 ( HTTP ) porem conseguem acesso pelo porta 443 ( HTTPS ).

Criei as regras de bloqueio ao orkut na porta 443 ( HTTPS ) no Firewall " IPTABLES " onde o mesmo funcionou perfeitamente.

porem agora estou com o seguinte problema... neste momento estou com o Orkut bloqueado na porta 80 e 443 ( HTTP e HTTPS ). porem tenho um grupo em meu Proxy " Squid " onde este grupo deve ter acesso ao site Orkut na porta 80 ( HTTP ).

Porem se os usuarios deste grupo tentão acessar o site o mesmo não carrega.

Minha duvida é.

Como posso bloquear o site orkut para todos na porta 80 e 443 e conseguir liberar o mesmo na porta 80 para um grupo no Proxy " Squid ".

Desde já agradeço pela atenção.

Grato.
Rodolpho Amorim
Analista de Sistema.

----------


## Rodolpho Amorim

ninguem tem ideia ???? :|

----------


## rodriguesoline

Faço da seguinte forma na empresa, no squid tudo é bloqueado, porém no firewall libero da seguinte forma.

iptables -A FORWARD -s 192.168.1.101/32 -d www.orkut.com -j ACCEPT # libero p/ esse ip
iptables -A FORWARD -d www.orkut.com -j DROP bloqueio p/ os demais 

Se precisar libere também no squid somente p/ os ips especificos

obs: não mexo na porta 443, pois ela é usada para fazer conexões seguras.

----------


## Rodolpho Amorim

Então...
mais meu problema é o seguinte...
eu tenho o orkut totalmente bloqueado no squid.

sendo assim se alguem tentar http://www.orkut.com Nâo acessa... até ai blz.

só que se algum infeliz colocar https://www.orkut.com acessa. pois o orkut tem uma parte de ( HTTPS ) e o squid não bloqueia esse acesso.

sendo assim eu crio uma regra no firewall bloqueando acessos ao site do orkut na porta 443 ( HTTPS ).

Blz ?? estando assim eu tenho o " http://www.orkut.com " e " https://www.orkut.com " bloqueados para todos.

PERFEITO.

porem tenho um grupo diretoria no squid que tem como Regra o filtro do orkut liberado.

sendo assim quem estiver nesse grupo e tentar acessar " http://www.orkut.com " deverá acessar normalmente.

porem não acessa.

eu creio que a regra de bloqueio do orkut criado no Firewall bloqueando toda minha rede com destino ao orkut na porta 443 esteja tendo algum tipo de conflito ou sei lá eu com as regras do squid de bloqueio e liberação da 80.

:|

----------


## spyderlinux

Tenho o mesmo problema. Vou acompanhar esse tópico. 

Abraço

----------


## Newton_Pasqualini

Oba pessoal,

Estava com este problema também, visto que tamanha é a necessidade de solucionar este, fiz alguns testes e cheguei a um concenso:
No site oficial do Squid, diz que o Squid faz proxy para SSL, sendo assim:
*iptables -t nat -A PREROUTING -p tcp --dport 443 -j REDIRECT --to-ports 3128*
Assim o Squid controla as URLs no protocolo SSL também.
Eu testei o acesso aos bancos Itaú e Bradesco, se for possível testem os outros e o acesso aos serviços da Caixa.

De resto está tudo Ok...

Abs
Newton

----------


## spyderlinux

Mas fazendo o redirecionamento ele conecta o msn se quiser ? 
Porque aqui na minha rede quando eu direcionei a 443 para o squi dnão conectava nenhum. 
Ele começava a autenticar e parava no meio. 

Dando um tcpdump pra ver isso postei aqui no forum anteriormente e houve mol discussão que isso não d'certo que a porta 443 não pode ser direcionada. 

Vc tem o trecho onde fala disso ? 
Do squid poder redirecionar a 443 pro proxy ? 

Abraço

----------


## doliveira

Pessoal, tinha o mesmo problema q vcs, bloqueava o orkut pelo squid, mas via 443 ele acessava. Pasei a bloquear o orkut no iptables na porta 443, inclusive fazia uma coisa não muito aconselhavem pq eu ao inves de bloquear o ip do orkut, eu bloqueava o nome "orkut.com", entaõ meu fw ficava um pouco mais lento pois ele tinha que resolver nomes (mas como o orkut cada dia tem um numero maior de ips, era a melhor solução) .
Isso resolveu durante um tempo, so q o pessoal aki começou a acessar o orkut através de images.orkut.com, images3.orkut.com .... e assim foi.

Ai começou a me dar mais trabalho ficar configurando o fw do que se eu configurasse um proxy revelado ao inves do transparente e ter que configurar o proxy em todas as máquinas. Pois isso fiz uma vez so. E resolveu o meu problema. So q vcs não podem deixar de dar uma guaribada no fw para evitar q usem proxy externo, aki fiz isso se colocarem outro proxy a não ser o o que eu cadastrei, nem o word funciona (tá bom, o word funciona sim, mas os pcs não navegam, não sem da rede interna) portanto se quiserem usar a net eles teram q manter o proxy q cadastrei ou então ficaram sem usar.

Sobre o squid, ele trabalha com na porta 443 sim, mas não com proxy transparente (isso até a ultima vez que liz, não sei se de um tempo p/ cá tem um versão mais nova que faça isso) pois ele não consegue redirecionar corretamente os certificados digitais "se não me engano" mas usando proxy revelado, ele funfa blz.

Aki agora so tenho problemas com webproxy, tenho q estar sempre de olho para atualizar a lista.

Bem, espero ter colaborado...

&#91;]'s

----------


## Newton_Pasqualini

Continuo sem ter problemas com navegação e MSN, para quem não sabe, o MSN tenta conectar na porta 1863 TCP, 80 HTTP e 443 para fazer a autenticação.

Gostaria de testar a conexão com a conectividade social da caixa mais não tenho certificado para testar.

De eresto está tudo Ok.

----------


## neonx

Eu não sei quanto a vc's mas aqui fiz uma regra no squid chamada orkut (por exemplo)

criando um txt para o orkut... coloquei alguns IP's do mesmo nome e inclusive o endereço 

https://www.orkut.com
https://orkut.com

e assim vai... a principio está funcionando e orkut está bloqueado

----------


## neonx

desculpe falha minha esqueci de mensionar que tenho a seguinte regra também no meu IPTABLES

/usr/sbin/iptables -t nat -A PREROUTING -d www.orkut.com -p tcp --dport 443 -j DROP
/usr/sbin/iptables -t nat -A PREROUTING -d orkut.com -p tcp --dport 443 -j DROP
/usr/sbin/iptables -t nat -A PREROUTING -d images.orkut.com -p tcp --dport 443 -j DROP

----------

