Pessoal Bom dia!
Não estou conseguindo bloquear o orkut (https) nem pelo Iptables nem pelo Squid. Alguêm pode me ajudar.
Abraço
Cuque.
Versão Imprimível
Pessoal Bom dia!
Não estou conseguindo bloquear o orkut (https) nem pelo Iptables nem pelo Squid. Alguêm pode me ajudar.
Abraço
Cuque.
não precisa usar o iptables para barra o orkut, com squid vc faz isso...Citação:
Postado originalmente por cuque
no arquivo onde vc coloca a lista dos sites bloquiado, coloque www.orkut.com
e pronto :)
pelo iptables vc pode fazer assim
iptables -A INPUT -s 64.233.171.85 -d sua rede -j DROP
e pelo squid
cria a seguinte regra
acl blacklist url_regex "/etc/squid/blacklist"
http_access deny blacklist
ou pode ser pelo dominio
acl dominio dstdomain "/etc/squid/domino"
http_access deny dominio
nos arquivos blacklist e dominios vc coloca o dominios que vc deseja bloquear
Já fiz isso, mas naum está funcionando. Quando o usuário digita www.orkut.com realmente barra, mas se o usuário ir em https://www.orkut.com aí naum funciona.
Como devo proceder para barrar o orkut que roda com https?
Obrigado!
Cuque
adicione https://www.orkut.com aos arquivos blacklist e dominios tambem!
detalhe... a porta do HTTPS eh a 445
no meu mostra como bloqueada a 443.
Eu tive um problema parecido... só q qnd adiciona isso no squid não funciona.. ow seja continua podendo acessar. Já q é uma porta segura... e é usada pra transações.. dependendo da sua organização vc não vai pode tranca ela.
Vc tento barrar o IP do orkut no iptables?????
Isso mesmo naum posso trancar a porta do https (443). Acho que o jeito será bloquear pelo Iptables....
Muito obrigado a todos....comecei hoje neste forum e todos vcs prontamente me atendeu. Obrigado
Cuque.
PS: a proposito è +/_ assim que devo proceder no Iptables?
iptables -A INPUT -s 64.233.171.85 -d sua rede -j DROP
Abraço,
Cuque.
vc ja tentou com a regra do iptables que te passei
iptables -A INPUT -s SUAREDE -d 64.233.171.85 -j DROP
iptables -A INPUT -s 64.233.171.85 -d SUAREDE --j DROP
iptables -A INPUT -s 64.233.171.85 -d SUAREDE -p tcp --dport 443 -j DROP
iptables -A INPUT -s SUAREDE -d 64.233.171.85 -p tcp --dport 443 -j DROP[/quote]
amigo, se vc ta colocando o site do www.orkut.com na lista de site bloquiados e mesmo assim o squid n consegue barra, olha teu squid, tenho certeza que tem algo errado com ele...
Olha como está meu Squid:
acl sites_proibidos dstdom_regex -i .*\.?brahma.com.br
acl sites_proibidos dstdom_regex -i .*\.?orkut.com
acl sites_proibidos dstdom_regex -i .*\.?orcut.com
acl sites_proibidos dstdom_regex -i .*\.?orkat.com
acl sites_proibidos dstdom_regex -i .*\.?orcit.com
acl sites_proibidos dstdom_regex -i .*\.?orcit.com
acl sites_proibidos dstdom_regex -i .*\.?msn2go.com
acl sites_proibidos dstdom_regex -i .*\.?e-messenger.net
acl monitor src 10.23.5.99
http_access deny sites_proibidos !monitor
acl unsafe_ports port 1863
http_access deny unsafe_ports
cria uma acl apontando pro arquivo, dentro desse arquivo coloque os sites que vc quer barra, e depois barre acl
EX:
acl proibido_tudo url_regex "/home/arquivos/proibido"
http_access deny proibido_tudo
dentro do aquivo proibido coloque o site do orkut
www.orkut.com
da um reload no squid, se isso não funcionar, seu squid ta brocado...
abraço
Calmae, pára tudo. Um minuto de atenção por favor.
Primeiro: HTTPS FUNCIONA COM A PORTA 443/UDP,TCP.
Segundo: Tenta adicionar isso aqui no seu firewall e bloquear com Squid. Talvez você possa vir a ter problemas com o Conectividade Social, mas a partir do momento que as redes que eu utilizo não usam esse programa mal-feito, nunca tive problemas.
Código :
stefano@xpirokaninjax:$ iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 443 -j REDIRECT --to-port 3128 stefano@xpirokaninjax:$ iptables -t nat -A PREROUTING -i eth1 -p udp --dport 443 -j REDIRECT --to-port 3128
Abraços!
xstefanox, o squid não suporta https, com essas regras vc ta jogando https pra porta do squid,Citação:
Postado originalmente por xstefanox
oq ele quer eh barra o orkut, basta fazer oq eu disse, 443 vc so libera na forward..
abraço
Opa se suporta...Citação:
Postado originalmente por Brenno
o squid nao suporta PROXY TRANSPARENT no https
eu já ficando cansado de fala isso, :/
aff
vai no google, e digita squid tranparente https, se achar alguem que fez proxy transparente com https, posta o link
eu penso assim, se não tem certeza ou tem duvida, posta avisando o mesmo, não to criticando vc xstefanox, pois acho vc muito gente boa e demonstra um bom conhecimento em geral
vivendo e aprendendo...
pra mim, esse topic morreu.
abraço a todos
Eu uso e dá certo. Sei que você não tá criticando ninguém aqui. Não é essa a função do fórum. Também reconheço o seu conhecimento embora não conheça seu trabalho. Realmente o post morreu e se realmente não funcionar pra ele, bloqueia a porta 80 e distribui scripts de configuração de navegador. Resolvido.
Abraços!
ok, depois visita esse site,Citação:
Postado originalmente por xstefanox
http://www.shorewall.net/Shorewall_Squid_Usage.html
esse assunto morreu :)
abraço
ô gente calma aê.. e o cuque(acho q era esse o nick.rsrs) como fica..??
Oc conseguiu ai fiu?
Só uma coisa.. ele já barro o orkut.. oq ele não ta barrando é o httpS:orkut
Uma coisa qnt seu squid cucre.. ta certo! Só q ficaria mais organizado se vc fizesse um arquivo pra tudu oq vc quisé barra e depois apontasse uma acl pra ele!
oq vc já fez q não funciono??
Já ta funcionando?
Barra o FORWARD tbm.
parece que o cara naum ta nem ai
ja foi postado ai as regras para squid para iptalbes e o cara naum fala se deu certo
se ele ta bloquenado orkut e naum https é só bloquear no iptables
de algum jeito deu certo o q ele keria fazer... pq c tivesse dado errado eu acho q ele voltaria pra pedir mais ajuda...
:D
pois é mais naum custa avisar que funcionou
Olá Pessoal,
não respondi pois estive fora da empresa alguns dias.
Bom de qualquer maneira coloquei as regras que o Bennato falou, mas mesmo assim naum funcionaou. Que coisa só está bloqueando o www.orkut.com mas o https://www.orkut.com tá funcionando normal.
Vejam só como ficou as regras:
iptables -A INPUT -s 10.23.0.0/16 -d 64.233.171.85 -j DROP
iptables -A INPUT -s 64.233.171.85 -d 10.23.0.0/16 -j DROP
iptables -A INPUT -s 64.233.171.85 -d 10.23.0.0/16 -p tcp --dport 443 -j DROP
iptables -A INPUT -s 10.23.0.0/16 -d 64.233.171.85 -p tcp --dport 443 -j DROP
Alguem pode dar uma Mão. E desculpem por demorar a lhes responder, como disse antes vcs realmente compartilham o conhecimento.
Abraço,
Cuque.
faz assim o
iptables -A INPUT -d 64.233.171.85 -j DROP
iptables -A INPUT -s 64.233.171.85 -j DROP
iptables -A FORWARD -d 64.233.171.85 -j DROP
iptables -A FORWARD -s 64.233.171.85 -j DROP
iptables -A INPUT -s 64.233.171.85 -p tcp --dport 443 -j DROP
iptables -A INPUT -d 64.233.171.85 -p tcp --dport 443 -j DROP
iptables -A FORWARD -s 64.233.171.85 -p tcp --dport 443 -j DROP
iptables -A FORWARD -d 64.233.171.85 -p tcp --dport 443 -j DROP
na regra abaixo vc só ta bloqueando a entrada naum a passagen do firewall para os clientes
Ufa!!! Até que enfim funciou! Maravilha. Muito obrigado pessoal, foi de grande valia a ajuda que vcs me deram e com certeza aprendi um pouco mais de IPtables.
Valeu Bennato essa ultima regra que vc mandou funcionou direitinho. Acabou a festa do Orkut.
Abraço a todos,
Cuque.
blz então
mais agora fiquei curioso sobre o https no squid
eu vou tentar
Como disse o Brenno, o squid nao suporta PROXY TRANSPARENT no https
Então tem que ser barrado no IPtables.
Cuque
Ola gente,
Sou novo aqui , por isso me desculpe, conheço pouco de linux, por isso entrei no site para ver. Pelo que parece o SQUID, nao faz regras em HTTPS, ja busquei isso em varios sites e nao achei nada. Infelizmente ... Mesmo pq. quando criamos as regras no squid conf, pedimos para que as portas 443 563 sejam liberadas ( é só olhar nas regras ). Creio que isto ja começa a dizer o pq. o orkut nao é bloqueado, e alguns bancos e SSLs tbm.
Somente colocando ele em regex ou dstdomain nao irá funcionar...
Bom o que eu acharia interessante é que pudessemos fazer um esforço em conjunto para saber se realmente o SQUID, nao faz esse tipo de coisa ou se faz se precisar de alguma atualização.
Este é um problema se resolvido, vai trazer muito mais qualidade ao SQUID.
Agora existe o bloqueio pelo iptables, mas creio nao ser o ideal, visto que amanha ou depois a empresa X e a empresa Y tbm que dá MP3 de graça resolve colocar tudo no HTTPS tbm, e ai ? estaremos ferradaços... É uma solução que nao resolveria muito.
Entao gente, estou pesquisando e pesquisando um dia encontro um louco que saiba... rs...
Mas por enquanto é importante saber se conseguiremos uma solução, mais correta.
Quem tiver por favor postem
Um grande abraço a todos !
Luzumba
Pessoal,
Para bloquear o https faça o seguinte...coloque a regra de sites bloqueados ou proibidos como sua primeira regra no squid entendeu:
acl sites_proibidos url_regex "/etc/squid/sites_proibidos"
http_access deny sites_proibidos
la dentro simplesmente adicione .orkut.
tudo que vier antes ou depois será bloqueado !
Mas lembre-se adicione esta regra como a primeira do seu squid.
abs,
Oi amigão,
Creio que não seja por ai,
Afinal, pelo que percebi esta bastante longo esse assunto para ser resolvido tão simples.
A regra de bloqueio que vc. esta passando funciona sim, no HTTP, mas no HTTPS nao funciona visto que o SQUID nao gerencia HTTPS, ele somente da o acesso. Para que funcione realmente tem que existir alguma configuração ou regral de ACL que faça que ele leia tbm. HTTPS, o exemplo mais tipico é o
https://www.orkut.com
tente acessa-lo apos ter criado a sua regra e vc. vai ver que ele funciona normalmente.
depois digite http://www.orkut.com e veja.
[ ]s
Luiz Humberto
Olha ai amigo. Tive esse problema somente fazer isto. No meu caso resolveu.
acl bloqueados dstdomain orkut.com www.orkut.com
http_access deny bloqueados
acl redelocal src .... ai continua ....
Somente isto,. E reveja todas as acl's para ter certeza que esta tudo ok. Aqui funfo, assim
T+
Ola amigo,
Mesmo usando HTTPS no endereço ?
Aqui em minha empresa utilizo bloqueando por site e palavras e funciona normalmente !
Eu uso proxy autenticado.
De uma olhada no seu squid...vc nem precisa mexer no iptables.
Abs,
Ah..
Agora sim...
Entendi vc. usa proxy autenticado né ?
Aqui o proxy que uso é transparente porem nao é autenticado, farei isso qdo. o servidor PDC + samba estiver pronto.
Mas sem ser Autenticado...
Não é as regras nas acls pq. esta correto o procedimento. todas elas aplicadas no momento certo. Pois as regras leem na ordem que sao postas, não é verdade ?
Meu SQUID bloqueia o site ww.orkut.com., e demais variaçoes que ja achei, porem se vc coloca https://www.orkut.com no browser, entra a tela do orkut, ai se vc. coloca a senha e ele depois da acesso negado porem ja entrou dentro do orkut. porem se vc. quiser ir usando é só substituir http por https. Aqui foi funcionando, é meio sacal e escroto, mas ai de qqr. forma funcionou.
Alguma sugestao.
Informo que ja testei as regras que foram passadas neste topico, mas nao funcionou.
Meu SO é Conectiva Linux 10
Posso estar enganado, mas proxy transparente pode ser autenticado ou nao. Quando se refere a Proxy transparente estamos nos referindo a uma regra do iptables que direciona tudo para a porta 3128. Qualquer proxy que usa este sistema acredito ser transparente. Para ele ser autenticado e so incluir mais algumas linhas no squid.conf....
Entao um proxy com essa regra ele pode ser autenticado, ou não. Mas de qualquer forma ambos são transparente.
Me corrijam por favor se eu estiver errado.
T+
Citação:
Postado originalmente por Luzumba
pessoa, bora mata esse assunto aqui, apesar do squid na fazer TRANSPARENCIA COM HTTPS, mas ele barra sites em https
basta fazer oq amigo em cima disse
Citação:
Pessoal,
Para bloquear o https faça o seguinte...coloque a regra de sites bloqueados ou proibidos como sua primeira regra no squid entendeu:
acl sites_proibidos url_regex "/etc/squid/sites_proibidos"
http_access deny sites_proibidos
la dentro simplesmente adicione .orkut.
tudo que vier antes ou depois será bloqueado !
eu aqui adicionei www.orkut.com e ninguem entra no orkut
ponto final.
se seu squid não ta bloquiando, para tudo e ver oq vc ta fazendo de errado, entra no site do squid ninja, posta teu conf, vai ler howtos
pra mim esse assunto morre aqui.
abraço a todos
ice ou dim, bloqueia esse topico por favor
se alguem tiver duvida eh so ler esse topico do começo
mais fecha ele..
vlw
Bom nao li oq ta acontecendo, mas pelo que me falaram já tem a resposta das duvidas eh soh ler o documento que aconselharam.
Depois se tiverem duvidas sobre o documento abram um novo topico pq esse ta sendo trancado
#LOCKADO :P