+ Responder ao Tópico



  1. Citação Postado originalmente por landrower Ver Post
    Amigo, se eu bem entendi esse dominio ao "im" refere-se a Instant Messenger, redireciona a 443 pata o seu squid e bloqueia todo o dominio "im" pelas acls, ai vc já vai estar bloqueando outros sites desse tipo que vc nem conhece.
    Olá,

    Era isso que eu queria fazer e achava que ficaria certinho... Só que quando apliquei o redirecionamento, nenhum site de banco carregou mais, e sem falar que todos estão liberados e funcionavam perfeitamente antes do referido procedimento. Em virtude disso, tive que retirar o redirecionamento e voltei a estaca zero novamente. O que posso fazer pra reseover a questão dos bancos?

    Meu caso:

    Bloqueio a nevegação por completo e o msn (gateway.dll) também. Só que tem uma lista de sites permitidos, daí os usuários só tem acessos aos que estão na lista. Tem alguns usuários que são liberados (ip fixo) por completo (sites e msn). O problema apareceu daí, pois se o usuário digite "https://..." o squid não barra.

    Obrigado pela atenção e se tiver algo a comentar fico agradecido desde já.

    Abraço.

  2. Citação Postado originalmente por orionstation Ver Post
    Nunca Drope conexões a não ser em casos emergênciais ao paleativos. Resoluções definitivas requerem estudo e pesquisas.

    Dropado a 443, mesmo que usado em apeas alguns IPs, pode acarretar mau funcionamento( caso hajam erros no script ou qualquer tipo de falha no squid) em sites de banco, e-mail(gmail), sites que usem conexões seguras, etc.

    Conseguiu reireconar para o squid ?
    Surtiu efeito ?

    vou passar a lista no proxymo post
    Olá,

    Redirecionei sim, mas para os usuários restritos tudo que era referente a banco parou de funcionar. Em virtude do ocorrido retirei o redirecionamento e volta a estaca zero novamente.
    E agora?

    Obrigado pela atenção e se tiver algo a comentar fico agradecido desde já.

    Abraço.



  3. Citação Postado originalmente por orionstation Ver Post
    Código :
    # Arquivo de Diretiva de segurança - Proxy Squid
    #
    ############ Sites de Relacionamento
    orkut.com.br
    orkut.com
    power.com
    manhunt.net
    powerscrap.com
    ############ Mensageiros Webmessenger Online
    ebuddy.com
    meebo.com.br
    meebo.com
    meebome.com
    webmesser.msn.com
    webmessenger.com.br
    webmessenger.com
    messenger.sapo.pt
    iloveim.com
    messengerfx.com
    msn2go.com
    imo.im # acrescente um sustenido antes deste endereço para poder acessar este post
    mijnmessenger.nl
    static.messengerfx.com
    messengerfx.com
    iloveim.com
    webmessenger.msn.com
    imunitive.com
    www.imunitive.com
    koolim.com
    instan-t.com
    radiusim.com
    easymessenger.net
    mingle.clix.pt
    communicationtube.net
    lagunainfoco.com.br
    imhaha.com
    mabber.com
    wablet.com
    jwchat.org
    msnnaweb.com
    imaginarlo.com
    e-messenger.net
    phonefox.com
    ############################ Proxy e Webproxyes
    spysurfing.com
    btunnel.com
    ninjacloak.com
    proxygarden.com
    top-proxies.com
    proxylord.com
    bestproxysites.com
    proxyring.com
    my-proxy.com
    clickut.com.br
    topfreeproxy.com
    Lógico que eu nunca teria conseguido esta lista sem a perspicácia e a insistência do arquiteto da minha empresa em tentar acessar o MSN!

    Palmas para ele !!!!!!!!!!!
    Nossa, é coisa demais! Eu não sabia que existia tantas opções...

    Meu caso:

    Bloqueio a nevegação por completo e o msn (gateway.dll) também. Só que tem uma lista de sites permitidos, daí os usuários só tem acessos aos que estão na lista. Tem alguns usuários que são liberados (ip fixo) por completo (sites e msn). O problema apareceu daí, pois se o usuário digite "https://..." o squid não barra.

    Outra coisa:

    Como funcionam esses "Webproxyes" e como se utiliza exatamente?

    Obrigado pela atenção.

    Abraço.

  4. Amigo, pelo que estou entendendo sua configuração não funciona pois o squid não suporta conexões htttps em modo transparente, de uma olhada nesse trecho que retirei das FAQs do site do squid.

    Does Squid support SSL/HTTPS/TLS?

    As of version 2.5, Squid can terminate SSL connections. This is perhaps only useful in a surrogate (http accelerator) configuration. You must run configure with --enable-ssl. See https_port in squid.conf for more information.

    Squid also supports these encrypted protocols by "tunneling" traffic between clients and servers. In this case, Squid can relay the encrypted bits between a client and a server.

    Normally, when your browser comes across an https URL, it does one of two things:

    * - The browser opens an SSL connection directly to the origin server.

    - The browser tunnels the request through Squid with the CONNECT request method.

    The CONNECT method is a way to tunnel any kind of connection through an HTTP proxy. The proxy doesn't understand or interpret the contents. It just passes bytes back and forth between the client and server. For the gory details on tunnelling and the CONNECT method, please see RFC 2817 and Tunneling TCP based protocols through Web proxy servers (expired).


    Esse outro link diz que https só funciona no caso proxy reverso.
    squid : https_port configuration directive

    This is really only useful for situations where you are running
    squid in accelerator mode and you want to do the SSL work at the
    accelerator level.
    Os modos são listados abaixo:
    Modes


    • Forward Proxy is the basic mode, upon which everything else is built.
    • /InterceptionProxy or how to run a proxy without your users knowing (mostly)
    • /ReverseProxy or Accelerator-mode: running Squid to improve a webserver pool's performance


    No seu caso vc usa o modo InterceptionProxy que não suporta https.
    Tudo foi tirado do proprio site do squid, então acho que não resta duvidas de que não adianta bater mais a cabeça tentando barrar e liberar pelo squid.


    Existe uma modulo do Iptables chamado "string" que consegue ler o conteudo dos pacotes e fazer um ACCEPT, DROP ou REJECT baseando-se em strings encontradas dentro da area de dados desses pacotes, porém acredito que ele não deva funcionar com https pois os dados são criptografados, então lá dentro do pacote não vai ter escrito "imo.im" e sim algo do tipo "A$@F*DG#*". Fiz uma boa pesquisa sobre esse modulo no ultimo mês e vou fazer um teste para ter certeza se não funciona e depois posto aki o resultado.

    Para o seu caso a melhor solução ao meu ver é fazer uma politica restritiva, bloqueia tudo que for https (tcp 443) pelo iptables mesmo, depois vc libera apenas os ips dos sites que os funcionarios precisam acessar, dessa forma vc ira conseguir o que pretende.

    Espero ter ajudado. Abraços!



  5. Citação Postado originalmente por landrower Ver Post
    Amigo, pelo que estou entendendo sua configuração não funciona pois o squid não suporta conexões htttps em modo transparente, de uma olhada nesse trecho que retirei das FAQs do site do squid.

    Does Squid support SSL/HTTPS/TLS?

    As of version 2.5, Squid can terminate SSL connections. This is perhaps only useful in a surrogate (http accelerator) configuration. You must run configure with --enable-ssl. See https_port in squid.conf for more information.

    Squid also supports these encrypted protocols by "tunneling" traffic between clients and servers. In this case, Squid can relay the encrypted bits between a client and a server.

    Normally, when your browser comes across an https URL, it does one of two things:

    * - The browser opens an SSL connection directly to the origin server.

    - The browser tunnels the request through Squid with the CONNECT request method.

    The CONNECT method is a way to tunnel any kind of connection through an HTTP proxy. The proxy doesn't understand or interpret the contents. It just passes bytes back and forth between the client and server. For the gory details on tunnelling and the CONNECT method, please see RFC 2817 and Tunneling TCP based protocols through Web proxy servers (expired).


    Esse outro link diz que https só funciona no caso proxy reverso.
    squid : https_port configuration directive

    This is really only useful for situations where you are running
    squid in accelerator mode and you want to do the SSL work at the
    accelerator level.Os modos são listados abaixo:
    Modes


    • Forward Proxy is the basic mode, upon which everything else is built.
    • /InterceptionProxy or how to run a proxy without your users knowing (mostly)
    • /ReverseProxy or Accelerator-mode: running Squid to improve a webserver pool's performance

    No seu caso vc usa o modo InterceptionProxy que não suporta https.
    Tudo foi tirado do proprio site do squid, então acho que não resta duvidas de que não adianta bater mais a cabeça tentando barrar e liberar pelo squid.


    Existe uma modulo do Iptables chamado "string" que consegue ler o conteudo dos pacotes e fazer um ACCEPT, DROP ou REJECT baseando-se em strings encontradas dentro da area de dados desses pacotes, porém acredito que ele não deva funcionar com https pois os dados são criptografados, então lá dentro do pacote não vai ter escrito "imo.im" e sim algo do tipo "A$@F*DG#*". Fiz uma boa pesquisa sobre esse modulo no ultimo mês e vou fazer um teste para ter certeza se não funciona e depois posto aki o resultado.

    Para o seu caso a melhor solução ao meu ver é fazer uma politica restritiva, bloqueia tudo que for https (tcp 443) pelo iptables mesmo, depois vc libera apenas os ips dos sites que os funcionarios precisam acessar, dessa forma vc ira conseguir o que pretende.

    Espero ter ajudado. Abraços!
    Olá,

    Gostei dos seus esclarecimento. Isso é que se pode chamar de EXPLICAÇÃO.

    Outras dúvidas:

    1) Não tem como eu mudar o modo do meu proxy/squid? E caso eu possa, terei mais problemas com essa mudança?

    2) Se eu BLOQUEAR a porta 443 os sites de bancos que são liberados para todos ficaram bloqueados da mesma forma. E aí, como posso contornar isso? Acho que cairei na mesma situação atual.

    Obrigado pela atenção e se puder comentar, ficarei agradecido.

    Abraço.






Tópicos Similares

  1. Bloqueando o site https://imo.im no MK
    Por techneto no fórum Redes
    Respostas: 2
    Último Post: 06-01-2011, 17:30
  2. bloquear HTTPS://imo.im (proxy msn)
    Por Abutre69 no fórum Redes
    Respostas: 8
    Último Post: 01-11-2008, 14:48
  3. Bloquear ares por horário, tem como?
    Por faieppi no fórum Redes
    Respostas: 3
    Último Post: 09-11-2007, 11:51
  4. bloquear o https://orkut.com
    Por Flor-de-Liz no fórum Servidores de Rede
    Respostas: 9
    Último Post: 27-10-2006, 10:40
  5. Bloquear sites HTTPS com url_regx
    Por fred_m no fórum Servidores de Rede
    Respostas: 18
    Último Post: 21-06-2005, 09:21

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L