Como Bloquear Orkut, Msn, FaceBook e Twiter de todas as formas possiveis?

Ola sou novo no forum estou precisando de uma ajuda para resolver a seguinte situação, tenho uma lan-house com 15 PCs clientes 1 servidor que gerencia a Lan e mais 2 PCs pessoas, Utilizo o Mikrotik 3.30 para fazer o Loadbalance PCC e o gerenciamento de banda por micro, meu problema é os meus funcionarios passão o dia inteiro em twiter msn facebook e orkut e estou querendo bloquear estes serviços apenas na maquina servidor para q os funcionarios prestem atenção no serviço e atendam melhor os clientes, pesquisei no google e achei algumas soluções porem nada 100% sempre depois de algum tempo acabam achando um jeito de driblar o bloqueio, atualmente to usando esta dica aki https://under-linux.org/f212/bloquei...google-123738/ adicionei Orkut Twitter FaceBook e Ebuddy mais não sei se esta funcionando 100% pois ainda vejo os funcionarios digitando muito estão acho que ainda estão conseguindo burlar de alguma forma o bloqueio tbm preciso bloquear o msn, espero que alguem aki posso me ajuda desde ja agradeço.

Seu servidor é LINUX ou Windows ? poderia usar um proxy com uma lista negra com os sites que não podem ser acessados por determinados usuários.

Meu servidor onde quero bloquear estes serviços é Windows XP, minha rede tem 1 servidor Mikrotik que faz o balanceamento de 2 links adsl 4mb e estou tentando implantar um servidor debian Squeze com os serviços Samba ja OK Servidor DNS OK e Squid3 ainda com dificuldades para implantar junto ao mikrotik como proxy paralelo e transparente mas ainda não fui feliz nesta tentativa por isso quero fazer o bloqueio atravez do Mikrotik 3.30

Cara existe o Proxylizer da Mikrotik, nunca usei mas você pode pedir ajuda aqui neste tópico, não sei se no seu cenário seria mais interessante do que o Squid3.

Cite as dificuldades que você esta tento com o Squid .

Bom, meu problema com o Squid é os Seguinte segue diagrama da minha rede http://www.net4fun.com.br/download/diagraman4f.png tenho um servidor mikrotik com 4 placas de rede 2 para os 2 modens adsl 1 para a rede e 1 para o servidor Debian, no Mikrotik ja configurei o WebProxy e ja fiz o redirecionamento por NAT das requisições na porta 80 para a porta 3128 (porta do proxy do Mikrotik) no Proxy eu Redireciono para o IP 10.10.10.1 (IP do Debian na porta 5128) porem desta forma ainda não consegui fazer as maquinas navegar de jeito nenhum, teoricamente deveria funcionar pelomenos na minha teoria mas enfim é essa a situação segui scripts das configs no debian

Citação:

---

#!/bin/sh
### BEGIN INIT INFO
# Provides: bootmisc
# Required-Start: $remote_fs
# Required-Stop:
# Should-Start: udev
# Default-Start: S
# Default-Stop:
# Short-Description: Miscellaneous things to be done during bootup.
# Description: Some cleanup. Note, it need to run after mountnfs-bootclean.sh.
### END INIT INFO

PATH=/sbin:/usr/sbin:/bin:/usr/bin
[ "$DELAYLOGIN" ] || DELAYLOGIN=yes
. /lib/init/vars.sh

do_start () {
#
# If login delaying is enabled then create the flag file
# which prevents logins before startup is complete
#
case "$DELAYLOGIN" in
Y*|y*)
echo "System bootup in progress - please wait" > /var/lib/initscripts/nologin
;;
esac

# Create /var/run/utmp so we can login.
: > /var/run/utmp
if grep -q ^utmp: /etc/group
then
chmod 664 /var/run/utmp
chgrp utmp /var/run/utmp
fi

# Set pseudo-terminal access permissions.
if [ ! -e /dev/.udev ] && [ -c /dev/ttyp0 ]
then
chmod -f 666 /dev/tty[p-za-e][0-9a-f]
chown -f root:tty /dev/tty[p-za-e][0-9a-f]
fi

# Remove bootclean's flag files.
# Don't run bootclean again after this!
rm -f /tmp/.clean /var/run/.clean /var/lock/.clean
}

case "$1" in
start|"")
do_start
;;
restart|reload|force-reload)
echo "Error: argument '$1' not supported" >&2
exit 3
;;
stop)
# No-op
;;
*)
echo "Usage: bootmisc.sh [start|stop]" >&2
exit 3
;;
esac

:

#dados adicionados ao arquivo original
modpobre iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o 10.10.10.1 -j MASQUERADE #sua interface de conexão com a internet ou ip
iptables -A FORWARD -i 10.0.0.222 -p tcp --dport 3128 -j ACCEPT
iptables -t nat -A PREROUTING -s 10.0.0.0/8 -p tcp --dport 80 -j REDIRECT --to-port 3128

---

/network/interfaces

Citação:

---

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
#allow-hotplug eth0
#iface eth0 inet dhcp

#Statatic IP Address
auto eth0
iface eth0 inet static
address 10.10.10.1
netmask 255.255.255.252
network 10.10.10.0
broadcast 10.255.255.255
gateway 10.10.10.2

#Statatic IP Address
auto eth1
iface eth1 inet static
address 10.0.0.222
netmask 255.0.0.0
network 10.0.0.0
broadcast 10.255.255.255
gateway 10.0.0.111

---

/squid3/squid.conf

Citação:

---

#Inicio do script
#Squid.conf gerado por Datanet Soluções - Andre A. Ferreira
#Contato (35) 8857-3763
#
#Script gerado para configuração simples com mikrotik em paralelo com
# regras de segurança, iptables, etc. executadas no mikrotik.

http_port 5128
visible_hostname webproxy

acl all src
acl manager proto cache_object
acl localhost src 127.0.0.1
acl SSL_ports port 443 563
acl Safe_ports port 80
acl Safe_ports port 21
acl Safe_ports port 443 563
acl Safe_ports port 70 #protocolo gopher antigão
acl Safe_ports port 210 #whais
acl Safe_ports port 1024-65535 #todas as outras portas
acl Safe_ports port 280 #http-mgmt
acl Safe_ports port 488 #gss-http
acl Safe_ports port 591 #filemaker
acl Safe_ports port 777 #multi http
acl Safe_ports port 901 #acesso Swat
acl purge method PURGE
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_PORTS

#permissão de acesso ao proxy, troque 0.0.0.0/0 pela sua
#classe de rede ou classes separadas por espaços.
acl redelocal src 10.10.10.2
http_access allow localhost
http_access allow redelocal

#bloquear todos outros acessos.
http_access deny all

#memoria reservada para o cache, coloque um valor de preferencia 40%
# do total da sua maquina, e não mais.
cache_mem 1536 MB

#máximo tamanho dos arquivo cache na memoria
maximum_object_size_in_memory 128 KB

#máximo tamanho dos arquivo cache no hd
maximum_object_size 200 MB
minimum_object_size 0 KB

#regra que começa a esvaziar / substituir arquivos no cache em 90%
cache_swap_low 90
cache_swap_high 95

#indicação de localização da pasta de arquivos cache e em sequência valor
#total em MB de espaço no hd a ser usado pelo cache, numero de pastas, e
#numero de subpastas do cache.
cache_dir ufs /home/net4fun/squid/cache 24048 256 512

#intervalos de tempos que o proxy verificara os arquivos dos site acessado
#conferem com o do cache, o valor 4560 significa 04 dias
refresh_pattern ^ftp: 15 20% 4560
refresh_pattern ^gopher: 15 0% 4560
refresh_pattern . 15 20% 4560

---

Minha config no Mikrotik 3.30
http://www.net4fun.com.br/download/print_mk.png

Coloca o brazilFW, que vc configura isso ai em minutos. o Squid, mais dansguard, so que tem um detalhe, vc tem que criar ai, uma rota para as maquinas que os seus clientes usam, e as que os funcionarios usam, elas tem que serem desmenbradas da mesma faixa Ip, pois na sua fala "e estou querendo bloquear estes serviços apenas na maquina servidor para q os funcionarios prestem atenção no serviço e atendam melhor os clientes" se vc bloqueiar no servidor ninguem em sua lan irá usar o serviço, por isso tem que desmenbrar a faixa de Ip dos clientes, das maquinas dos funcionarios, mais um detalhe qual gerenciador de lan vc usa ai? Time cafe?

Você esta configurando o Browse dos navegadores com o Proxy ?

Ja verificou se no servidor do Proxy, é possivél navegar ?

Pode ser uma questão de rotas.

Uso o timer café, não posso deixar a maquina que gerencia a lan-house em uma faixa de ip diferente das maquinas da lan-house pois o timer não iria reconhecer as maquinas, ja testei somente o squid configurando o proxy manualmente nos navegadores e funcionou legal, porem não to conseguindo fazer o proxy transparent em paralelo com o Mikrotik, nesta pagina é falado sobre oque eu pretendo fazer LinuxAP.com.br - Squid linux integrado ao mikrotik