Página 2 de 2 PrimeiroPrimeiro 12
+ Responder ao Tópico



  1. Então Luciano, acabei não postando mais aqui porque até havia esquecido desse assunto, mas também tomei as mesmas medidas com política drop em forwarding, liberando algumas portas essenciais mesmo e utilizando wpad, mesmo procedimento. Também não tenho mais problemas com esses tunnelings e também tem caído muito o nível de vírus nos clientes.

    Mas de qualquer forma Luciano, muito obrigado por ter postado sua experiência mesmo depois de tanto tempo!

    Abraços!

  2. Interessante a solução, realmente fazer MASQUERADE da porta 443 é complicado, se deixar para o proxy e bloquear por essa acl que bloqueia acesso por IP é uma ótima solução, raros serviços implementam soluções sem nomes, nesses casos, que serão as exceções, só criar uma acl pra liberar.

    Hoje em dia não estou atuando com isso, mas se voltar a precisar vou implementar essa sua solução.



  3. Pois é Cristian, essa solução funciona!

    Estou fazendo configuração automática de proxy com DHCP + DNS e no proxy estou usando Squid + Dansguardian + Clamav, nada de proxy transparente nem liberação de portas desnecessárias, tem barrado tudo que é tipo de coisa.

    Depois de implantada a solução dessa forma vários funcionários de clientes reclamaram e muito de um filtro que antes já estava presente, porém, pelo que se pode entender, não barrava os tunnelings.

    Luciano, vi que vc escreveu o artigo tendo por base o FreeBSD. Há tempos venho mexendo com ele porém ainda não cheguei a aprofundar no ipfw e nat. Não tive muito tempo para ver isso mas gostaria muito de aprender pois quero desenvolver algo em cima do FreeBSD por questões de performance. Você tem algum material a indicar? Para não fugir ao propósito do tópico, manda pra mim no gklipel {at} gmail ponto com se possível!

    Grande abraço!

  4. Para esses casos de reclamações de bloqueios e reclamações de usuários, semana passada implantei na mensagem de erro do proxy no arquivo ERR_ACCESS_DENIED inserindo um formulário de envio com justificativa para liberação do link, a própria url e o nome do usuário, também o formulário pega o ip para se precaver de engraçadinhos, claro que dá pra implementar o uso de senha pra liberar o envio das requisições etc.

    Clique na imagem para uma versão maior

Nome:	         error.png
Visualizações:	139
Tamanho: 	44,5 KB
ID:      	36661
    assim você pode cadastrar o e-mail do administrador ou do responsável pra receber as requisições, analisá-las e fazer ou não a liberação. Se não tiver um MTA ativo, da pra usar o postfix autenticando no gmail pra fazer esse envio. Fica bem prático e funcional, na empresa eu só libero a internet na hora do almoço e fora do horário de expediente, ficou muito bom.

    Abraços






Tópicos Similares

  1. Bloqueio de UltraSurf via Mikrotik (funcionando)
    Por flaviolrf no fórum Redes
    Respostas: 28
    Último Post: 23-01-2015, 16:30
  2. Bloqueio UltraSurf MikroTik 5.0
    Por Jonatanmcc no fórum Redes
    Respostas: 10
    Último Post: 22-03-2014, 09:17
  3. Bloqueio do UltraSurf
    Por laerciomotta no fórum Servidores de Rede
    Respostas: 2
    Último Post: 10-04-2010, 09:31
  4. Respostas: 0
    Último Post: 22-01-2010, 01:00
  5. Bloqueio de E-mail
    Por no fórum Servidores de Rede
    Respostas: 4
    Último Post: 09-06-2003, 14:03

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L