Bloquear o https://imo.im - Como?

[aprendiz_ce]

Necessito bloquear o https://imo.im, tentei mais sem sucesso!!! Será que algume poderia me dar um dica de como fazer isso?!? Uso Proxy Transperent com Squid maus IPTABLES.

Obrigado.

[orionstation]

Necessito bloquear o https://imo.im, tentei mais sem sucesso!!! Será que algume poderia me dar um dica de como fazer isso?!? Uso Proxy Transperent com Squid maus IPTABLES.

Obrigado.

Tenta redirecionar a navegação htps para a porta do squid!

o Squid suporta navegação segura !

[orionstation]

Tenta redirecionar a navegação htps para a porta do squid!

o Squid suporta navegação segura !

Vou testar aqui na empresa pois tem um maniaco por MSN aqui cara! ja tenho uma lista de 30 sites bloqueados!

Qualquer coisa tamos ai!

Meu servidor é Debian Lenny com Squid 2.7 Stable3

[Pirigoso]

se vc nao redireciona a porta 443 para o squid vc pode fazer de assim

iptables -t FORWARD -p tcp -d IPABLOQUERAR --dport 443 -j DROP

[aprendiz_ce]

Tenta redirecionar a navegação htps para a porta do squid!

o Squid suporta navegação segura !

Pensei em fazer isso, mas achei que poderia acarretar algum outro problema. Atualmente estou redirecionando somente a porta 80 e vou redirecionar a 443 também. Penso que dará certo, pois os usuários que tem permissão para acessar a porta 443 são liberados separadamente.

Obrigado pela sua atenção.

Abraço.

[aprendiz_ce]

Vou testar aqui na empresa pois tem um maniaco por MSN aqui cara! ja tenho uma lista de 30 sites bloqueados!

Qualquer coisa tamos ai!

Meu servidor é Debian Lenny com Squid 2.7 Stable3

Me passa essa lista aí, pois vai que amanhã ou depois eu precise dela...

Obrigado pela atenção.

Abraço.

[aprendiz_ce]

se vc nao redireciona a porta 443 para o squid vc pode fazer de assim

iptables -t FORWARD -p tcp -d IPABLOQUERAR --dport 443 -j DROP

Beleza, mas acho que o redirecinamento fica melhor, ou não? Acho que no meu caso redirecionar resolve.

Obrigado pela sua atenção.

Abraço.

[landrower]

Amigo, se eu bem entendi esse dominio ao "im" refere-se a Instant Messenger, redireciona a 443 pata o seu squid e bloqueia todo o dominio "im" pelas acls, ai vc já vai estar bloqueando outros sites desse tipo que vc nem conhece.

[orionstation]

Amigo, se eu bem entendi esse dominio ao "im" refere-se a Instant Messenger, redireciona a 443 pata o seu squid e bloqueia todo o dominio "im" pelas acls, ai vc já vai estar bloqueando outros sites desse tipo que vc nem conhece.

se vc nao redireciona a porta 443 para o squid vc pode fazer de assim

iptables -t FORWARD -p tcp -d IPABLOQUERAR --dport 443 -j DROP

Nunca Drope conexões a não ser em casos emergênciais ao paleativos. Resoluções definitivas requerem estudo e pesquisas.

Dropado a 443, mesmo que usado em apeas alguns IPs, pode acarretar mau funcionamento( caso hajam erros no script ou qualquer tipo de falha no squid) em sites de banco, e-mail(gmail), sites que usem conexões seguras, etc.

Conseguiu reireconar para o squid ?
Surtiu efeito ?

vou passar a lista no proxymo post

[orionstation]

Código :

# Arquivo de Diretiva de segurança - Proxy Squid
#
############ Sites de Relacionamento
orkut.com.br
orkut.com
power.com
manhunt.net
powerscrap.com
############ Mensageiros Webmessenger Online
ebuddy.com
meebo.com.br
meebo.com
meebome.com
webmesser.msn.com
webmessenger.com.br
webmessenger.com
messenger.sapo.pt
iloveim.com
messengerfx.com
msn2go.com
imo.im # acrescente um sustenido antes deste endereço para poder acessar este post
mijnmessenger.nl
static.messengerfx.com
messengerfx.com
iloveim.com
webmessenger.msn.com
imunitive.com
www.imunitive.com
koolim.com
instan-t.com
radiusim.com
easymessenger.net
mingle.clix.pt
communicationtube.net
lagunainfoco.com.br
imhaha.com
mabber.com
wablet.com
jwchat.org
msnnaweb.com
imaginarlo.com
e-messenger.net
phonefox.com
############################ Proxy e Webproxyes
spysurfing.com
btunnel.com
ninjacloak.com
proxygarden.com
top-proxies.com
proxylord.com
bestproxysites.com
proxyring.com
my-proxy.com
clickut.com.br
topfreeproxy.com

Lógico que eu nunca teria conseguido esta lista sem a perspicácia e a insistência do arquiteto da minha empresa em tentar acessar o MSN!

Palmas para ele !!!!!!!!!!!

[aprendiz_ce]

Amigo, se eu bem entendi esse dominio ao "im" refere-se a Instant Messenger, redireciona a 443 pata o seu squid e bloqueia todo o dominio "im" pelas acls, ai vc já vai estar bloqueando outros sites desse tipo que vc nem conhece.

Olá,

Era isso que eu queria fazer e achava que ficaria certinho... Só que quando apliquei o redirecionamento, nenhum site de banco carregou mais, e sem falar que todos estão liberados e funcionavam perfeitamente antes do referido procedimento. Em virtude disso, tive que retirar o redirecionamento e voltei a estaca zero novamente. O que posso fazer pra reseover a questão dos bancos?

Meu caso:

Bloqueio a nevegação por completo e o msn (gateway.dll) também. Só que tem uma lista de sites permitidos, daí os usuários só tem acessos aos que estão na lista. Tem alguns usuários que são liberados (ip fixo) por completo (sites e msn). O problema apareceu daí, pois se o usuário digite "https://..." o squid não barra.

Obrigado pela atenção e se tiver algo a comentar fico agradecido desde já.

Abraço.

[aprendiz_ce]

Nunca Drope conexões a não ser em casos emergênciais ao paleativos. Resoluções definitivas requerem estudo e pesquisas.

Dropado a 443, mesmo que usado em apeas alguns IPs, pode acarretar mau funcionamento( caso hajam erros no script ou qualquer tipo de falha no squid) em sites de banco, e-mail(gmail), sites que usem conexões seguras, etc.

Conseguiu reireconar para o squid ?
Surtiu efeito ?

vou passar a lista no proxymo post

Olá,

Redirecionei sim, mas para os usuários restritos tudo que era referente a banco parou de funcionar. Em virtude do ocorrido retirei o redirecionamento e volta a estaca zero novamente.
E agora?

Obrigado pela atenção e se tiver algo a comentar fico agradecido desde já.

Abraço.

[aprendiz_ce]

Código :

# Arquivo de Diretiva de segurança - Proxy Squid
#
############ Sites de Relacionamento
orkut.com.br
orkut.com
power.com
manhunt.net
powerscrap.com
############ Mensageiros Webmessenger Online
ebuddy.com
meebo.com.br
meebo.com
meebome.com
webmesser.msn.com
webmessenger.com.br
webmessenger.com
messenger.sapo.pt
iloveim.com
messengerfx.com
msn2go.com
imo.im # acrescente um sustenido antes deste endereço para poder acessar este post
mijnmessenger.nl
static.messengerfx.com
messengerfx.com
iloveim.com
webmessenger.msn.com
imunitive.com
www.imunitive.com
koolim.com
instan-t.com
radiusim.com
easymessenger.net
mingle.clix.pt
communicationtube.net
lagunainfoco.com.br
imhaha.com
mabber.com
wablet.com
jwchat.org
msnnaweb.com
imaginarlo.com
e-messenger.net
phonefox.com
############################ Proxy e Webproxyes
spysurfing.com
btunnel.com
ninjacloak.com
proxygarden.com
top-proxies.com
proxylord.com
bestproxysites.com
proxyring.com
my-proxy.com
clickut.com.br
topfreeproxy.com

Lógico que eu nunca teria conseguido esta lista sem a perspicácia e a insistência do arquiteto da minha empresa em tentar acessar o MSN!

Palmas para ele !!!!!!!!!!!

Nossa, é coisa demais! Eu não sabia que existia tantas opções...

Meu caso:

Bloqueio a nevegação por completo e o msn (gateway.dll) também. Só que tem uma lista de sites permitidos, daí os usuários só tem acessos aos que estão na lista. Tem alguns usuários que são liberados (ip fixo) por completo (sites e msn). O problema apareceu daí, pois se o usuário digite "https://..." o squid não barra.

Outra coisa:

Como funcionam esses "Webproxyes" e como se utiliza exatamente?

Obrigado pela atenção.

Abraço.

[landrower]

Amigo, pelo que estou entendendo sua configuração não funciona pois o squid não suporta conexões htttps em modo transparente, de uma olhada nesse trecho que retirei das FAQs do site do squid.

Does Squid support SSL/HTTPS/TLS?

As of version 2.5, Squid can terminate SSL connections. This is perhaps only useful in a surrogate (http accelerator) configuration. You must run configure with --enable-ssl. See https_port in squid.conf for more information.

Squid also supports these encrypted protocols by "tunneling" traffic between clients and servers. In this case, Squid can relay the encrypted bits between a client and a server.

Normally, when your browser comes across an https URL, it does one of two things:

* - The browser opens an SSL connection directly to the origin server.

- The browser tunnels the request through Squid with the CONNECT request method.

The CONNECT method is a way to tunnel any kind of connection through an HTTP proxy. The proxy doesn't understand or interpret the contents. It just passes bytes back and forth between the client and server. For the gory details on tunnelling and the CONNECT method, please see RFC 2817 and Tunneling TCP based protocols through Web proxy servers (expired).


Esse outro link diz que https só funciona no caso proxy reverso.
squid : https_port configuration directive

This is really only useful for situations where you are running
squid in accelerator mode and you want to do the SSL work at the
accelerator level.Os modos são listados abaixo:
Modes

• Forward Proxy is the basic mode, upon which everything else is built.
• /InterceptionProxy or how to run a proxy without your users knowing (mostly)
• /ReverseProxy or Accelerator-mode: running Squid to improve a webserver pool's performance

No seu caso vc usa o modo InterceptionProxy que não suporta https.
Tudo foi tirado do proprio site do squid, então acho que não resta duvidas de que não adianta bater mais a cabeça tentando barrar e liberar pelo squid.


Existe uma modulo do Iptables chamado "string" que consegue ler o conteudo dos pacotes e fazer um ACCEPT, DROP ou REJECT baseando-se em strings encontradas dentro da area de dados desses pacotes, porém acredito que ele não deva funcionar com https pois os dados são criptografados, então lá dentro do pacote não vai ter escrito "imo.im" e sim algo do tipo "A$@F*DG#*". Fiz uma boa pesquisa sobre esse modulo no ultimo mês e vou fazer um teste para ter certeza se não funciona e depois posto aki o resultado.

Para o seu caso a melhor solução ao meu ver é fazer uma politica restritiva, bloqueia tudo que for https (tcp 443) pelo iptables mesmo, depois vc libera apenas os ips dos sites que os funcionarios precisam acessar, dessa forma vc ira conseguir o que pretende.

Espero ter ajudado. Abraços!

[aprendiz_ce]

Amigo, pelo que estou entendendo sua configuração não funciona pois o squid não suporta conexões htttps em modo transparente, de uma olhada nesse trecho que retirei das FAQs do site do squid.

Does Squid support SSL/HTTPS/TLS?

As of version 2.5, Squid can terminate SSL connections. This is perhaps only useful in a surrogate (http accelerator) configuration. You must run configure with --enable-ssl. See https_port in squid.conf for more information.

Squid also supports these encrypted protocols by "tunneling" traffic between clients and servers. In this case, Squid can relay the encrypted bits between a client and a server.

Normally, when your browser comes across an https URL, it does one of two things:

* - The browser opens an SSL connection directly to the origin server.

- The browser tunnels the request through Squid with the CONNECT request method.

The CONNECT method is a way to tunnel any kind of connection through an HTTP proxy. The proxy doesn't understand or interpret the contents. It just passes bytes back and forth between the client and server. For the gory details on tunnelling and the CONNECT method, please see RFC 2817 and Tunneling TCP based protocols through Web proxy servers (expired).


Esse outro link diz que https só funciona no caso proxy reverso.
squid : https_port configuration directive

This is really only useful for situations where you are running
squid in accelerator mode and you want to do the SSL work at the
accelerator level.Os modos são listados abaixo:
Modes

• Forward Proxy is the basic mode, upon which everything else is built.
• /InterceptionProxy or how to run a proxy without your users knowing (mostly)
• /ReverseProxy or Accelerator-mode: running Squid to improve a webserver pool's performance

No seu caso vc usa o modo InterceptionProxy que não suporta https.
Tudo foi tirado do proprio site do squid, então acho que não resta duvidas de que não adianta bater mais a cabeça tentando barrar e liberar pelo squid.


Existe uma modulo do Iptables chamado "string" que consegue ler o conteudo dos pacotes e fazer um ACCEPT, DROP ou REJECT baseando-se em strings encontradas dentro da area de dados desses pacotes, porém acredito que ele não deva funcionar com https pois os dados são criptografados, então lá dentro do pacote não vai ter escrito "imo.im" e sim algo do tipo "A$@F*DG#*". Fiz uma boa pesquisa sobre esse modulo no ultimo mês e vou fazer um teste para ter certeza se não funciona e depois posto aki o resultado.

Para o seu caso a melhor solução ao meu ver é fazer uma politica restritiva, bloqueia tudo que for https (tcp 443) pelo iptables mesmo, depois vc libera apenas os ips dos sites que os funcionarios precisam acessar, dessa forma vc ira conseguir o que pretende.

Espero ter ajudado. Abraços!

Olá,

Gostei dos seus esclarecimento. Isso é que se pode chamar de EXPLICAÇÃO.

Outras dúvidas:

1) Não tem como eu mudar o modo do meu proxy/squid? E caso eu possa, terei mais problemas com essa mudança?

2) Se eu BLOQUEAR a porta 443 os sites de bancos que são liberados para todos ficaram bloqueados da mesma forma. E aí, como posso contornar isso? Acho que cairei na mesma situação atual.

Obrigado pela atenção e se puder comentar, ficarei agradecido.

Abraço.

[landrower]

Olá,

Gostei dos seus esclarecimento. Isso é que se pode chamar de EXPLICAÇÃO.

Outras dúvidas:

1) Não tem como eu mudar o modo do meu proxy/squid? E caso eu possa, terei mais problemas com essa mudança?

2) Se eu BLOQUEAR a porta 443 os sites de bancos que são liberados para todos ficaram bloqueados da mesma forma. E aí, como posso contornar isso? Acho que cairei na mesma situação atual.

Obrigado pela atenção e se puder comentar, ficarei agradecido.

Abraço.

1) Pelo que eu li, o único modo que suporta https é em Reverseproxy, que não serve para prover navegação a uma rede interna, e sim para com um único ip real divulgar na internet sites Hospedados em diferentes servidores na rede interna.
Ex hipotetico:
Na empresa temos um servidor que roda squid em mode Reverse proxy e esse tem o ip 200.200.200.200 como seu ip de internet e o ip 192.168.3.1 como seu ip lan.
Na rede interna temos 3 sites em 3 servidores distintos, site1, site1 e site 3 com os respectivos ips 192.168.3.11, 192.168.3.12 e 192.168.3.13
O host name "www.reverseproxy.com.br" aponta para o ip 200.200.200.200
Quando alguém na internet tentar entrar no site www.reverseproxy.com.br/site1 o servidor com squid(200.200.200.200) que receberá esse pedido, por sua vês baseando-se no "/site1" irá pedir o index do site1 para o ip 192.168.3.11 de sua rede interna e devolver sua saida para quem o requisitou na internet, e assim para os outros sites site2 e site3.
O proprio apache também também tem um modulo para configurar reverse proxy.
Isso não serve para seu caso, mas já vale conhecer essa solução pois é muito útil tbm.

2)Não cairá não, vc tem de colocar regras no seu iptables dando um ACCEPT da sua rede interna à internet para todos os ips dos sites de bancos e outros sites autorizados que utilizam https(443), e logo em seguida colocar uma regra DROP ou REJECT em todo o trafego https(443) da sua rede interna com destino a internet.

O iptables funciona por pilha, em oredem de cima para baixo, então em uma politica restritiva voce tem de colocar os ACCEPTS antes, que são as exceções e em seguida um DROP geral na 443, que será a politica, ou seja, se um pedido não se encaixar nas exceções ele vai cair na politica e será dropado. sacou?
Dessa forma só os sites que vc quer serão acessados, os outros vão cair na plitica drop.

Abraços e se precisar de mais ajuda não hesite em pedir.

Abraços!

[aprendiz_ce]

1) Pelo que eu li, o único modo que suporta https é em Reverseproxy, que não serve para prover navegação a uma rede interna, e sim para com um único ip real divulgar na internet sites Hospedados em diferentes servidores na rede interna.
Ex hipotetico:
Na empresa temos um servidor que roda squid em mode Reverse proxy e esse tem o ip 200.200.200.200 como seu ip de internet e o ip 192.168.3.1 como seu ip lan.
Na rede interna temos 3 sites em 3 servidores distintos, site1, site1 e site 3 com os respectivos ips 192.168.3.11, 192.168.3.12 e 192.168.3.13
O host name "www.reverseproxy.com.br" aponta para o ip 200.200.200.200
Quando alguém na internet tentar entrar no site www.reverseproxy.com.br/site1 o servidor com squid(200.200.200.200) que receberá esse pedido, por sua vês baseando-se no "/site1" irá pedir o index do site1 para o ip 192.168.3.11 de sua rede interna e devolver sua saida para quem o requisitou na internet, e assim para os outros sites site2 e site3.
O proprio apache também também tem um modulo para configurar reverse proxy.
Isso não serve para seu caso, mas já vale conhecer essa solução pois é muito útil tbm.

2)Não cairá não, vc tem de colocar regras no seu iptables dando um ACCEPT da sua rede interna à internet para todos os ips dos sites de bancos e outros sites autorizados que utilizam https(443), e logo em seguida colocar uma regra DROP ou REJECT em todo o trafego https(443) da sua rede interna com destino a internet.

O iptables funciona por pilha, em oredem de cima para baixo, então em uma politica restritiva voce tem de colocar os ACCEPTS antes, que são as exceções e em seguida um DROP geral na 443, que será a politica, ou seja, se um pedido não se encaixar nas exceções ele vai cair na politica e será dropado. sacou?
Dessa forma só os sites que vc quer serão acessados, os outros vão cair na plitica drop.

Abraços e se precisar de mais ajuda não hesite em pedir.

Abraços!

Entendido!

Seria tão legal se o meu SQUID pudesse trabalhar com o HTTPS... Me pouparia um monte de trabalho! (rs)

Só pra não restar dúividas:

Então terei que liberar a porta 443 no firewall e junto com ela os repectivos IPs dos sites dos bancos ou sites semelhantes que utilizem HTTPS. É isso, né?

Muito obrigado pela sua pronta atenção.

Um forte abraço.

[landrower]

Entendido!

Seria tão legal se o meu SQUID pudesse trabalhar com o HTTPS... Me pouparia um monte de trabalho! (rs)

Só pra não restar dúividas:

Então terei que liberar a porta 443 no firewall e junto com ela os repectivos IPs dos sites dos bancos ou sites semelhantes que utilizem HTTPS. É isso, né?

Muito obrigado pela sua pronta atenção.

Um forte abraço.

É isso mesmo amigo, libera a porta 443 para os ips que vc quer e depois bloqueia a porta 443 para qualquer outro destino.


Abraços!

[orionstation]

É isso mesmo amigo, libera a porta 443 para os ips que vc quer e depois bloqueia a porta 443 para qualquer outro destino.


Abraços!

Isso poderá parar os serviços de autenticação de sites como Gmail, BB, etc ...

[landrower]

Isso poderá parar os serviços de autenticação de sites como Gmail, BB, etc ...

Certo, mas ai é só adicionar os respectivos ips dos sites que vc citou como sendo exceções

Nâo vejo uma outra maneira de contornar com eficiencia esse problema ai, a não ser liberar o necessario e barrar qualquer outra coisa, quando alguém reclamar que precisa acessar algum site https é só pegar e adicionar mais uma exceção.