Página 1 de 4 1234 ÚltimoÚltimo
+ Responder ao Tópico



  1. Prezados, boa tarde!

    Estou encontrando muitas dificuldades para bloquear o facebook com https. Meu proxy é transparent, logo todas as requisições de sites https passam batidos por fora do squid.

    Já consegui bloquear gmail, yahoo, orkut, msn... agora o facebook através do https://www.facebook.com não consigo nem por reza braba...

    Alguém tem uma regra eficaz do iptables para tal?

    Abs.

  2. Olá, eu conseguí com uma solução não muito elegante (aliás nada elegante), mas funcionou, claro que não funciona para grandes corporações(que não precisam de minha solução pois tem $$$ para adquirir soluções efetivas) mas para os pequenos funciona.

    Implementei um servidor DNS interno para minha rede e configurei nele o domínio facebook.com, apontando o www dele para o IP de minha página intranet cujo Apache está com o SSL ativo. Esse mesmo DNS resolve todos os endereços internos e válidos, e o servidor DHCP aponta para ele quando distribui os IPs da rede.

    Para isto funcionar algumas premissas devem existir:

    - Controle das configurações de IP das estações (não permitir que usuários usem outro servidor DNS ou que instalem um na estação)
    - Não permitir que usuários internos usem 3G
    - Bloqueio de proxys anônimos no squid da rede

    abs



  3. filtre pelo ip, na chain forward (filteR).

    quando o destino for o bloco de ips do facebook.com .. resolve

  4. Bom dia Amigo,

    Existem 2 soluções visto que o SQUID não sabe tratar de protocolos HTTPS são elas:

    Solução 1.
    De um ping para o Welcome to Facebook - Log In, Sign Up or Learn More e veja sua faixa de IP, com sua faixa de IP coloque a regra.
    Código :
    iptables -t nat -I PREROUTING -p tcp -d 69.171.224.40/24 --dport 443 -j DROP
    iptables -I FORWARD -p tcp -d 69.171.224.40/24 --dport 443 -j DROP
    iptables -t nat -I PREROUTING -p tcp -d 69.171.224.40/24 --dport 445 -j DROP
    iptables -I FORWARD -p tcp -d 69.171.224.40/24 --dport 445 -j DROP

    Na regra acima bloqueamos tudo que vir da faixa 69.171.224.X pela porta 443 e 445 (porta HTTPS)

    Solução 2.

    Você pode tambem direcionar as portas 443 e 445 (portas https) para o seu squid. O problema é que o squid não sabe tratar de protocolos HTTPS pelo menos até a versão 2.7 que eu usei (nunca usei a 3 entao não posso falar), no momento que vece direcionar as portas https para o squid dara erro em tudo que for utilizar https (bancos, sites com autenticação etc...)
    Ai ai contrario do bloqueio acima voce vai fazer a mesma regra dando um ACCEP ( As regras de ACCEPT devem ficar acima do redirecionamento das portas HTTPS para o SQUI)

    Código :
    iptables -t nat -I PREROUTING -p tcp -d 69.171.224.40/24 --dport 443 -j ACCEPT
    iptables -I FORWARD -p tcp -d 69.171.224.40/24 --dport 443 -j ACCEPT
    iptables -t nat -I PREROUTING -p tcp -d 69.171.224.40/24 --dport 445 -j ACCEPT
    iptables -I FORWARD -p tcp -d 69.171.224.40/24 --dport 445 -j ACCEPT
     
    #Redirecionando HTTPS para o SQUID
    #############################################################
    #iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 443 -j REDIRECT --to-port 31928
    #iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 445 -j REDIRECT --to-port 31928
     
    O problema desta segunda solução é que voce vai ter que ir liberando site a site que sua empresa utilizar que use o protocolo htts

    Foi util não deixe de postar resultados para outras pessoas, clicar na estrela e agradecer...



  5. Galera pra bloquear o facebook ou qualquer outro site é muito simples basta executar o scrpt abaixo

    /ip firewall filter
    add action=drop chain=forward comment="BLOQUEIO DO FACEBOOK" content=facebook disabled=no protocol=tcp

    Reparem que o site ao qual vc quer bloquear fica apenas na referencia do "content=facebook"

    Apenas isso mais nada.

    abs a todos

    Citação Postado originalmente por luandotto Ver Post
    Bom dia Amigo,

    Existem 2 soluções visto que o SQUID não sabe tratar de protocolos HTTPS são elas:

    Solução 1.
    De um ping para o Welcome to Facebook - Log In, Sign Up or Learn More e veja sua faixa de IP, com sua faixa de IP coloque a regra.
    Código :
    iptables -t nat -I PREROUTING -p tcp -d 69.171.224.40/24 --dport 443 -j DROP
    iptables -I FORWARD -p tcp -d 69.171.224.40/24 --dport 443 -j DROP
    iptables -t nat -I PREROUTING -p tcp -d 69.171.224.40/24 --dport 445 -j DROP
    iptables -I FORWARD -p tcp -d 69.171.224.40/24 --dport 445 -j DROP

    Na regra acima bloqueamos tudo que vir da faixa 69.171.224.X pela porta 443 e 445 (porta HTTPS)

    Solução 2.

    Você pode tambem direcionar as portas 443 e 445 (portas https) para o seu squid. O problema é que o squid não sabe tratar de protocolos HTTPS pelo menos até a versão 2.7 que eu usei (nunca usei a 3 entao não posso falar), no momento que vece direcionar as portas https para o squid dara erro em tudo que for utilizar https (bancos, sites com autenticação etc...)
    Ai ai contrario do bloqueio acima voce vai fazer a mesma regra dando um ACCEP ( As regras de ACCEPT devem ficar acima do redirecionamento das portas HTTPS para o SQUI)

    Código :
    iptables -t nat -I PREROUTING -p tcp -d 69.171.224.40/24 --dport 443 -j ACCEPT
    iptables -I FORWARD -p tcp -d 69.171.224.40/24 --dport 443 -j ACCEPT
    iptables -t nat -I PREROUTING -p tcp -d 69.171.224.40/24 --dport 445 -j ACCEPT
    iptables -I FORWARD -p tcp -d 69.171.224.40/24 --dport 445 -j ACCEPT
     
    #Redirecionando HTTPS para o SQUID
    #############################################################
    #iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 443 -j REDIRECT --to-port 31928
    #iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 445 -j REDIRECT --to-port 31928
     
    O problema desta segunda solução é que voce vai ter que ir liberando site a site que sua empresa utilizar que use o protocolo htts

    Foi util não deixe de postar resultados para outras pessoas, clicar na estrela e agradecer...






Tópicos Similares

  1. Bloquear facebook no lusca
    Por accseixas no fórum Servidores de Rede
    Respostas: 11
    Último Post: 21-02-2013, 23:54
  2. Bloquear o HTTPS do Live e compania...
    Por Paulinunes no fórum Redes
    Respostas: 4
    Último Post: 01-09-2012, 08:28
  3. Bloquear o https://imo.im - Como?
    Por aprendiz_ce no fórum Servidores de Rede
    Respostas: 28
    Último Post: 05-06-2009, 10:17
  4. bloquear o https://orkut.com
    Por Flor-de-Liz no fórum Servidores de Rede
    Respostas: 9
    Último Post: 27-10-2006, 10:40
  5. Bloquear sites HTTPS com url_regx
    Por fred_m no fórum Servidores de Rede
    Respostas: 18
    Último Post: 21-06-2005, 09:21

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L