Página 1 de 2 12 ÚltimoÚltimo
+ Responder ao Tópico



  1. #1

    Padrão Bloquear o https://imo.im - Como?

    Necessito bloquear o https://imo.im, tentei mais sem sucesso!!! Será que algume poderia me dar um dica de como fazer isso?!? Uso Proxy Transperent com Squid maus IPTABLES.

    Obrigado.

  2. #2

    Padrão

    Citação Postado originalmente por aprendiz_ce Ver Post
    Necessito bloquear o https://imo.im, tentei mais sem sucesso!!! Será que algume poderia me dar um dica de como fazer isso?!? Uso Proxy Transperent com Squid maus IPTABLES.

    Obrigado.
    Tenta redirecionar a navegação htps para a porta do squid!

    o Squid suporta navegação segura !



  3. #3

    Padrão

    Citação Postado originalmente por orionstation Ver Post
    Tenta redirecionar a navegação htps para a porta do squid!

    o Squid suporta navegação segura !
    Vou testar aqui na empresa pois tem um maniaco por MSN aqui cara! ja tenho uma lista de 30 sites bloqueados!

    Qualquer coisa tamos ai!

    Meu servidor é Debian Lenny com Squid 2.7 Stable3

  4. #4

    Padrão

    se vc nao redireciona a porta 443 para o squid vc pode fazer de assim

    iptables -t FORWARD -p tcp -d IPABLOQUERAR --dport 443 -j DROP



  5. #5

    Padrão

    Citação Postado originalmente por orionstation Ver Post
    Tenta redirecionar a navegação htps para a porta do squid!

    o Squid suporta navegação segura !
    Pensei em fazer isso, mas achei que poderia acarretar algum outro problema. Atualmente estou redirecionando somente a porta 80 e vou redirecionar a 443 também. Penso que dará certo, pois os usuários que tem permissão para acessar a porta 443 são liberados separadamente.

    Obrigado pela sua atenção.

    Abraço.

  6. #6

    Padrão

    Citação Postado originalmente por orionstation Ver Post
    Vou testar aqui na empresa pois tem um maniaco por MSN aqui cara! ja tenho uma lista de 30 sites bloqueados!

    Qualquer coisa tamos ai!

    Meu servidor é Debian Lenny com Squid 2.7 Stable3

    Me passa essa lista aí, pois vai que amanhã ou depois eu precise dela...

    Obrigado pela atenção.

    Abraço.



  7. #7

    Padrão

    Citação Postado originalmente por Pirigoso Ver Post
    se vc nao redireciona a porta 443 para o squid vc pode fazer de assim

    iptables -t FORWARD -p tcp -d IPABLOQUERAR --dport 443 -j DROP
    Beleza, mas acho que o redirecinamento fica melhor, ou não? Acho que no meu caso redirecionar resolve.

    Obrigado pela sua atenção.

    Abraço.
    Última edição por aprendiz_ce; 18-04-2009 às 11:22.

  8. #8

    Padrão

    Amigo, se eu bem entendi esse dominio ao "im" refere-se a Instant Messenger, redireciona a 443 pata o seu squid e bloqueia todo o dominio "im" pelas acls, ai vc já vai estar bloqueando outros sites desse tipo que vc nem conhece.



  9. #9

    Wink !resposta!

    Citação Postado originalmente por landrower Ver Post
    Amigo, se eu bem entendi esse dominio ao "im" refere-se a Instant Messenger, redireciona a 443 pata o seu squid e bloqueia todo o dominio "im" pelas acls, ai vc já vai estar bloqueando outros sites desse tipo que vc nem conhece.
    Citação Postado originalmente por Pirigoso Ver Post
    se vc nao redireciona a porta 443 para o squid vc pode fazer de assim

    iptables -t FORWARD -p tcp -d IPABLOQUERAR --dport 443 -j DROP
    Nunca Drope conexões a não ser em casos emergênciais ao paleativos. Resoluções definitivas requerem estudo e pesquisas.

    Dropado a 443, mesmo que usado em apeas alguns IPs, pode acarretar mau funcionamento( caso hajam erros no script ou qualquer tipo de falha no squid) em sites de banco, e-mail(gmail), sites que usem conexões seguras, etc.

    Conseguiu reireconar para o squid ?
    Surtiu efeito ?

    vou passar a lista no proxymo post

  10. #10

    Talking Codigo !

    Código :
    # Arquivo de Diretiva de segurança - Proxy Squid
    #
    ############ Sites de Relacionamento
    orkut.com.br
    orkut.com
    power.com
    manhunt.net
    powerscrap.com
    ############ Mensageiros Webmessenger Online
    ebuddy.com
    meebo.com.br
    meebo.com
    meebome.com
    webmesser.msn.com
    webmessenger.com.br
    webmessenger.com
    messenger.sapo.pt
    iloveim.com
    messengerfx.com
    msn2go.com
    imo.im # acrescente um sustenido antes deste endereço para poder acessar este post
    mijnmessenger.nl
    static.messengerfx.com
    messengerfx.com
    iloveim.com
    webmessenger.msn.com
    imunitive.com
    www.imunitive.com
    koolim.com
    instan-t.com
    radiusim.com
    easymessenger.net
    mingle.clix.pt
    communicationtube.net
    lagunainfoco.com.br
    imhaha.com
    mabber.com
    wablet.com
    jwchat.org
    msnnaweb.com
    imaginarlo.com
    e-messenger.net
    phonefox.com
    ############################ Proxy e Webproxyes
    spysurfing.com
    btunnel.com
    ninjacloak.com
    proxygarden.com
    top-proxies.com
    proxylord.com
    bestproxysites.com
    proxyring.com
    my-proxy.com
    clickut.com.br
    topfreeproxy.com
    Lógico que eu nunca teria conseguido esta lista sem a perspicácia e a insistência do arquiteto da minha empresa em tentar acessar o MSN!

    Palmas para ele !!!!!!!!!!!



  11. #11

    Padrão

    Citação Postado originalmente por landrower Ver Post
    Amigo, se eu bem entendi esse dominio ao "im" refere-se a Instant Messenger, redireciona a 443 pata o seu squid e bloqueia todo o dominio "im" pelas acls, ai vc já vai estar bloqueando outros sites desse tipo que vc nem conhece.
    Olá,

    Era isso que eu queria fazer e achava que ficaria certinho... Só que quando apliquei o redirecionamento, nenhum site de banco carregou mais, e sem falar que todos estão liberados e funcionavam perfeitamente antes do referido procedimento. Em virtude disso, tive que retirar o redirecionamento e voltei a estaca zero novamente. O que posso fazer pra reseover a questão dos bancos?

    Meu caso:

    Bloqueio a nevegação por completo e o msn (gateway.dll) também. Só que tem uma lista de sites permitidos, daí os usuários só tem acessos aos que estão na lista. Tem alguns usuários que são liberados (ip fixo) por completo (sites e msn). O problema apareceu daí, pois se o usuário digite "https://..." o squid não barra.

    Obrigado pela atenção e se tiver algo a comentar fico agradecido desde já.

    Abraço.

  12. #12

    Padrão

    Citação Postado originalmente por orionstation Ver Post
    Nunca Drope conexões a não ser em casos emergênciais ao paleativos. Resoluções definitivas requerem estudo e pesquisas.

    Dropado a 443, mesmo que usado em apeas alguns IPs, pode acarretar mau funcionamento( caso hajam erros no script ou qualquer tipo de falha no squid) em sites de banco, e-mail(gmail), sites que usem conexões seguras, etc.

    Conseguiu reireconar para o squid ?
    Surtiu efeito ?

    vou passar a lista no proxymo post
    Olá,

    Redirecionei sim, mas para os usuários restritos tudo que era referente a banco parou de funcionar. Em virtude do ocorrido retirei o redirecionamento e volta a estaca zero novamente.
    E agora?

    Obrigado pela atenção e se tiver algo a comentar fico agradecido desde já.

    Abraço.



  13. #13

    Padrão

    Citação Postado originalmente por orionstation Ver Post
    Código :
    # Arquivo de Diretiva de segurança - Proxy Squid
    #
    ############ Sites de Relacionamento
    orkut.com.br
    orkut.com
    power.com
    manhunt.net
    powerscrap.com
    ############ Mensageiros Webmessenger Online
    ebuddy.com
    meebo.com.br
    meebo.com
    meebome.com
    webmesser.msn.com
    webmessenger.com.br
    webmessenger.com
    messenger.sapo.pt
    iloveim.com
    messengerfx.com
    msn2go.com
    imo.im # acrescente um sustenido antes deste endereço para poder acessar este post
    mijnmessenger.nl
    static.messengerfx.com
    messengerfx.com
    iloveim.com
    webmessenger.msn.com
    imunitive.com
    www.imunitive.com
    koolim.com
    instan-t.com
    radiusim.com
    easymessenger.net
    mingle.clix.pt
    communicationtube.net
    lagunainfoco.com.br
    imhaha.com
    mabber.com
    wablet.com
    jwchat.org
    msnnaweb.com
    imaginarlo.com
    e-messenger.net
    phonefox.com
    ############################ Proxy e Webproxyes
    spysurfing.com
    btunnel.com
    ninjacloak.com
    proxygarden.com
    top-proxies.com
    proxylord.com
    bestproxysites.com
    proxyring.com
    my-proxy.com
    clickut.com.br
    topfreeproxy.com
    Lógico que eu nunca teria conseguido esta lista sem a perspicácia e a insistência do arquiteto da minha empresa em tentar acessar o MSN!

    Palmas para ele !!!!!!!!!!!
    Nossa, é coisa demais! Eu não sabia que existia tantas opções...

    Meu caso:

    Bloqueio a nevegação por completo e o msn (gateway.dll) também. Só que tem uma lista de sites permitidos, daí os usuários só tem acessos aos que estão na lista. Tem alguns usuários que são liberados (ip fixo) por completo (sites e msn). O problema apareceu daí, pois se o usuário digite "https://..." o squid não barra.

    Outra coisa:

    Como funcionam esses "Webproxyes" e como se utiliza exatamente?

    Obrigado pela atenção.

    Abraço.

  14. #14

    Padrão

    Amigo, pelo que estou entendendo sua configuração não funciona pois o squid não suporta conexões htttps em modo transparente, de uma olhada nesse trecho que retirei das FAQs do site do squid.

    Does Squid support SSL/HTTPS/TLS?

    As of version 2.5, Squid can terminate SSL connections. This is perhaps only useful in a surrogate (http accelerator) configuration. You must run configure with --enable-ssl. See https_port in squid.conf for more information.

    Squid also supports these encrypted protocols by "tunneling" traffic between clients and servers. In this case, Squid can relay the encrypted bits between a client and a server.

    Normally, when your browser comes across an https URL, it does one of two things:

    * - The browser opens an SSL connection directly to the origin server.

    - The browser tunnels the request through Squid with the CONNECT request method.

    The CONNECT method is a way to tunnel any kind of connection through an HTTP proxy. The proxy doesn't understand or interpret the contents. It just passes bytes back and forth between the client and server. For the gory details on tunnelling and the CONNECT method, please see RFC 2817 and Tunneling TCP based protocols through Web proxy servers (expired).


    Esse outro link diz que https só funciona no caso proxy reverso.
    squid : https_port configuration directive

    This is really only useful for situations where you are running
    squid in accelerator mode and you want to do the SSL work at the
    accelerator level.
    Os modos são listados abaixo:
    Modes


    • Forward Proxy is the basic mode, upon which everything else is built.
    • /InterceptionProxy or how to run a proxy without your users knowing (mostly)
    • /ReverseProxy or Accelerator-mode: running Squid to improve a webserver pool's performance


    No seu caso vc usa o modo InterceptionProxy que não suporta https.
    Tudo foi tirado do proprio site do squid, então acho que não resta duvidas de que não adianta bater mais a cabeça tentando barrar e liberar pelo squid.


    Existe uma modulo do Iptables chamado "string" que consegue ler o conteudo dos pacotes e fazer um ACCEPT, DROP ou REJECT baseando-se em strings encontradas dentro da area de dados desses pacotes, porém acredito que ele não deva funcionar com https pois os dados são criptografados, então lá dentro do pacote não vai ter escrito "imo.im" e sim algo do tipo "[email protected]*DG#*". Fiz uma boa pesquisa sobre esse modulo no ultimo mês e vou fazer um teste para ter certeza se não funciona e depois posto aki o resultado.

    Para o seu caso a melhor solução ao meu ver é fazer uma politica restritiva, bloqueia tudo que for https (tcp 443) pelo iptables mesmo, depois vc libera apenas os ips dos sites que os funcionarios precisam acessar, dessa forma vc ira conseguir o que pretende.

    Espero ter ajudado. Abraços!



  15. #15

    Padrão

    Citação Postado originalmente por landrower Ver Post
    Amigo, pelo que estou entendendo sua configuração não funciona pois o squid não suporta conexões htttps em modo transparente, de uma olhada nesse trecho que retirei das FAQs do site do squid.

    Does Squid support SSL/HTTPS/TLS?

    As of version 2.5, Squid can terminate SSL connections. This is perhaps only useful in a surrogate (http accelerator) configuration. You must run configure with --enable-ssl. See https_port in squid.conf for more information.

    Squid also supports these encrypted protocols by "tunneling" traffic between clients and servers. In this case, Squid can relay the encrypted bits between a client and a server.

    Normally, when your browser comes across an https URL, it does one of two things:

    * - The browser opens an SSL connection directly to the origin server.

    - The browser tunnels the request through Squid with the CONNECT request method.

    The CONNECT method is a way to tunnel any kind of connection through an HTTP proxy. The proxy doesn't understand or interpret the contents. It just passes bytes back and forth between the client and server. For the gory details on tunnelling and the CONNECT method, please see RFC 2817 and Tunneling TCP based protocols through Web proxy servers (expired).


    Esse outro link diz que https só funciona no caso proxy reverso.
    squid : https_port configuration directive

    This is really only useful for situations where you are running
    squid in accelerator mode and you want to do the SSL work at the
    accelerator level.Os modos são listados abaixo:
    Modes


    • Forward Proxy is the basic mode, upon which everything else is built.
    • /InterceptionProxy or how to run a proxy without your users knowing (mostly)
    • /ReverseProxy or Accelerator-mode: running Squid to improve a webserver pool's performance

    No seu caso vc usa o modo InterceptionProxy que não suporta https.
    Tudo foi tirado do proprio site do squid, então acho que não resta duvidas de que não adianta bater mais a cabeça tentando barrar e liberar pelo squid.


    Existe uma modulo do Iptables chamado "string" que consegue ler o conteudo dos pacotes e fazer um ACCEPT, DROP ou REJECT baseando-se em strings encontradas dentro da area de dados desses pacotes, porém acredito que ele não deva funcionar com https pois os dados são criptografados, então lá dentro do pacote não vai ter escrito "imo.im" e sim algo do tipo "[email protected]*DG#*". Fiz uma boa pesquisa sobre esse modulo no ultimo mês e vou fazer um teste para ter certeza se não funciona e depois posto aki o resultado.

    Para o seu caso a melhor solução ao meu ver é fazer uma politica restritiva, bloqueia tudo que for https (tcp 443) pelo iptables mesmo, depois vc libera apenas os ips dos sites que os funcionarios precisam acessar, dessa forma vc ira conseguir o que pretende.

    Espero ter ajudado. Abraços!
    Olá,

    Gostei dos seus esclarecimento. Isso é que se pode chamar de EXPLICAÇÃO.

    Outras dúvidas:

    1) Não tem como eu mudar o modo do meu proxy/squid? E caso eu possa, terei mais problemas com essa mudança?

    2) Se eu BLOQUEAR a porta 443 os sites de bancos que são liberados para todos ficaram bloqueados da mesma forma. E aí, como posso contornar isso? Acho que cairei na mesma situação atual.

    Obrigado pela atenção e se puder comentar, ficarei agradecido.

    Abraço.

  16. #16

    Padrão

    Citação Postado originalmente por aprendiz_ce Ver Post
    Olá,

    Gostei dos seus esclarecimento. Isso é que se pode chamar de EXPLICAÇÃO.

    Outras dúvidas:

    1) Não tem como eu mudar o modo do meu proxy/squid? E caso eu possa, terei mais problemas com essa mudança?

    2) Se eu BLOQUEAR a porta 443 os sites de bancos que são liberados para todos ficaram bloqueados da mesma forma. E aí, como posso contornar isso? Acho que cairei na mesma situação atual.

    Obrigado pela atenção e se puder comentar, ficarei agradecido.

    Abraço.

    1) Pelo que eu li, o único modo que suporta https é em Reverseproxy, que não serve para prover navegação a uma rede interna, e sim para com um único ip real divulgar na internet sites Hospedados em diferentes servidores na rede interna.
    Ex hipotetico:
    Na empresa temos um servidor que roda squid em mode Reverse proxy e esse tem o ip 200.200.200.200 como seu ip de internet e o ip 192.168.3.1 como seu ip lan.
    Na rede interna temos 3 sites em 3 servidores distintos, site1, site1 e site 3 com os respectivos ips 192.168.3.11, 192.168.3.12 e 192.168.3.13
    O host name "www.reverseproxy.com.br" aponta para o ip 200.200.200.200
    Quando alguém na internet tentar entrar no site www.reverseproxy.com.br/site1 o servidor com squid(200.200.200.200) que receberá esse pedido, por sua vês baseando-se no "/site1" irá pedir o index do site1 para o ip 192.168.3.11 de sua rede interna e devolver sua saida para quem o requisitou na internet, e assim para os outros sites site2 e site3.
    O proprio apache também também tem um modulo para configurar reverse proxy.
    Isso não serve para seu caso, mas já vale conhecer essa solução pois é muito útil tbm.

    2)Não cairá não, vc tem de colocar regras no seu iptables dando um ACCEPT da sua rede interna à internet para todos os ips dos sites de bancos e outros sites autorizados que utilizam https(443), e logo em seguida colocar uma regra DROP ou REJECT em todo o trafego https(443) da sua rede interna com destino a internet.

    O iptables funciona por pilha, em oredem de cima para baixo, então em uma politica restritiva voce tem de colocar os ACCEPTS antes, que são as exceções e em seguida um DROP geral na 443, que será a politica, ou seja, se um pedido não se encaixar nas exceções ele vai cair na politica e será dropado. sacou?
    Dessa forma só os sites que vc quer serão acessados, os outros vão cair na plitica drop.

    Abraços e se precisar de mais ajuda não hesite em pedir.

    Abraços!



  17. #17

    Padrão

    Citação Postado originalmente por landrower Ver Post
    1) Pelo que eu li, o único modo que suporta https é em Reverseproxy, que não serve para prover navegação a uma rede interna, e sim para com um único ip real divulgar na internet sites Hospedados em diferentes servidores na rede interna.
    Ex hipotetico:
    Na empresa temos um servidor que roda squid em mode Reverse proxy e esse tem o ip 200.200.200.200 como seu ip de internet e o ip 192.168.3.1 como seu ip lan.
    Na rede interna temos 3 sites em 3 servidores distintos, site1, site1 e site 3 com os respectivos ips 192.168.3.11, 192.168.3.12 e 192.168.3.13
    O host name "www.reverseproxy.com.br" aponta para o ip 200.200.200.200
    Quando alguém na internet tentar entrar no site www.reverseproxy.com.br/site1 o servidor com squid(200.200.200.200) que receberá esse pedido, por sua vês baseando-se no "/site1" irá pedir o index do site1 para o ip 192.168.3.11 de sua rede interna e devolver sua saida para quem o requisitou na internet, e assim para os outros sites site2 e site3.
    O proprio apache também também tem um modulo para configurar reverse proxy.
    Isso não serve para seu caso, mas já vale conhecer essa solução pois é muito útil tbm.

    2)Não cairá não, vc tem de colocar regras no seu iptables dando um ACCEPT da sua rede interna à internet para todos os ips dos sites de bancos e outros sites autorizados que utilizam https(443), e logo em seguida colocar uma regra DROP ou REJECT em todo o trafego https(443) da sua rede interna com destino a internet.

    O iptables funciona por pilha, em oredem de cima para baixo, então em uma politica restritiva voce tem de colocar os ACCEPTS antes, que são as exceções e em seguida um DROP geral na 443, que será a politica, ou seja, se um pedido não se encaixar nas exceções ele vai cair na politica e será dropado. sacou?
    Dessa forma só os sites que vc quer serão acessados, os outros vão cair na plitica drop.

    Abraços e se precisar de mais ajuda não hesite em pedir.

    Abraços!

    Entendido!

    Seria tão legal se o meu SQUID pudesse trabalhar com o HTTPS... Me pouparia um monte de trabalho! (rs)

    Só pra não restar dúividas:

    Então terei que liberar a porta 443 no firewall e junto com ela os repectivos IPs dos sites dos bancos ou sites semelhantes que utilizem HTTPS. É isso, né?

    Muito obrigado pela sua pronta atenção.

    Um forte abraço.
    Última edição por aprendiz_ce; 27-04-2009 às 14:39.

  18. #18

    Padrão

    Citação Postado originalmente por aprendiz_ce Ver Post
    Entendido!

    Seria tão legal se o meu SQUID pudesse trabalhar com o HTTPS... Me pouparia um monte de trabalho! (rs)

    Só pra não restar dúividas:

    Então terei que liberar a porta 443 no firewall e junto com ela os repectivos IPs dos sites dos bancos ou sites semelhantes que utilizem HTTPS. É isso, né?

    Muito obrigado pela sua pronta atenção.

    Um forte abraço.
    É isso mesmo amigo, libera a porta 443 para os ips que vc quer e depois bloqueia a porta 443 para qualquer outro destino.


    Abraços!



  19. #19

    Padrão

    Citação Postado originalmente por landrower Ver Post
    É isso mesmo amigo, libera a porta 443 para os ips que vc quer e depois bloqueia a porta 443 para qualquer outro destino.


    Abraços!

    Isso poderá parar os serviços de autenticação de sites como Gmail, BB, etc ...

  20. #20

    Padrão

    Citação Postado originalmente por orionstation Ver Post
    Isso poderá parar os serviços de autenticação de sites como Gmail, BB, etc ...
    Certo, mas ai é só adicionar os respectivos ips dos sites que vc citou como sendo exceções

    Nâo vejo uma outra maneira de contornar com eficiencia esse problema ai, a não ser liberar o necessario e barrar qualquer outra coisa, quando alguém reclamar que precisa acessar algum site https é só pegar e adicionar mais uma exceção.