Iptables ou Squid?

[mcyberx]

boa noite a todos,

pra bloquear conteúdo pornô, é melhor com iptables ou squid?

gostaria (quem tiver) que me passasse umas regras básicas de firewall bloqueando esse conteúdo pois a máquina é um K6-2 166 128Mb

agradeço desde já

[eltern]

Ola,

Seguinte, te aconselharia mais memória RAM na máquina para se valer do SQUID e do SARG, mas levemos em conta o IPTABLES, sugiro por exemplo;

Bloqueando MSN / WebMsn com iptables, ipchains e Squid
[https://under-linux.org/modules.php?...cle&artid=316]

Bloqueando serviços p2p e messaging com IPTables/IPChains
[https://under-linux.org/modules.php?...cle&artid=176]


Em síntese, da uma boa lida no tópico ao lado para conferir dicas,,, outro site legal para squid é o www.linuxman.com.br/squid

é isso ai.

[gmlinux]

É mais fácil com squid. E os recursos que ele apresenta para isto são melhores.

[spectrum]

***************** SQUID COM CERTEZA ************************

quer dicas.... posta ai.......

boa noite a todos,

pra bloquear conteúdo pornô, é melhor com iptables ou squid?

gostaria (quem tiver) que me passasse umas regras básicas de firewall bloqueando esse conteúdo pois a máquina é um K6-2 166 128Mb

agradeço desde já

[mcyberx]

também concordo que com squid é melhor, mas colocando mais memória, não continuaria lento por ser um K6-2 166 ?

[buribai]

Com o iptables vc faz legal !!

Tá certo que dá mais trabalho, mas vc consegue bloquear.

Existem listas negras na internet só de endereços ip's de sites pornograficos, daí é só vc criar um script para o iptables ir adicionando as regras de bloqueio lendo linha por linha desse arquivo.


Um abraço

[spectrum]

Vai chegar em um ponto que vai ficar uma caroça!!

Tenho um cliente que tem um k6 II 450 MHZ, para proxy somente isso !!! é uma escola de informática... o server ta com 128 fui eu que montei ela está com 16 pcs e uma conexão de 600 ... ta na boa ... fica um pouco lento quando um pc da rede pega virus!!!! isso fica!!!

Com o iptables vc faz legal !!

Tá certo que dá mais trabalho, mas vc consegue bloquear.

Existem listas negras na internet só de endereços ip's de sites pornograficos, daí é só vc criar um script para o iptables ir adicionando as regras de bloqueio lendo linha por linha desse arquivo.


Um abraço

[karfax]

O Orso tem um tutorial legal sobre isso, e as palavras que são porn ficam com o site bloqueado pelo squid.

Fui

[Aquini]

Este tipo de dúvida é facilmente dissipada tomando conhecimento das camadas do modelo TCP/IP. O iptables trabalha na camada de transporte e de internet, e o squid trabalha na camada de aplicativos. Vc precisa definir exatamente o que deseja: filtrar pacotes baseado em informações de rede e transporte (IP, TCP, UDP...) ou filtrar protocolos de aplicação em específico (no caso do squid, http). O que se quer dizer é: não é impossível utilizar o iptables para implementar a funcionalidade de verificar o conteúdo passante em pacotes de conexões http com módulos os adicionais do iptables e algumas outras ferramentas, mas é infinitas vezes mais difícil, complicado e trabalhoso atingir resultados semelhantes e facilmente aplicáveis, como com a utilização do squid.
Se seu host não tem capacidade para cachear, por memória ou espaço de armazenamento configure o squid apenas para filtrar as conexões http, sem fazer cache...

T+

[karfax]

A que modelo OSI voce se refere? Não existe "camada de Internet" no modelo OSI.
Ex.: http://www.webopedia.com/quick_ref/OSI_Layers.asp

Fui

[pinguin_fv]

Amelhor e mail facil maneira de vc restringir acessos a alguns sites e com o squid ,, vc tem um arquivos em q vc digita as palavras desejadas , e o squid se encarrega de blokear os sites q estao nessa lista ,,, muito facil de configurar...

[Aquini]

A que modelo OSI voce se refere? Não existe "camada de Internet" no modelo OSI.
Ex.: http://www.webopedia.com/quick_ref/OSI_Layers.asp

Fui

O modelo ISO/OSI possui sete camadas (FISICA, LINK, REDE, TRANSPORTE, SESSÃO, APRESENTAÇÃO e APLICAÇÃO)

O modelo da pilha TCP/IP possui quatro camadas(APLICAÇÃO, TRANSPORTE, INTERNET e REDE) que encapsulam as camadas do ISO/OSI da forma como se segue:

Código :

ISO/ OSI                    TCP/IP
_____________               ___________
Aplicação                   Aplicação
Apresentação
Sessão
_____________               ___________
Transporte                  Transporte
_____________               ___________
Rede                        Internet
_____________               ___________
Link                        Rede
Fisica

T+

[karfax]

Pequena correção: as camadas de aplicação e transporte da pilha tcp/ip compartilha o layer sessão do modelo OSI:

Sds,

[Aquini]

Se vc sabia disso, e sabia também que eu não estava me referindo ao modelo OSI e sim ao TCP, qual a serventia daquele post arrogante?
Ao invés de ficar nos garfeando deveríamos todos nós, como tenho tentado, explicar para quem pergunta os porquês da técnica, para facilitar a vida de todos os leitores do fórum e aumentar o nível de nossas discussões.
Particularmente tenho acompanhado este fórum no longo de dois anos e tentado responder as dúvidas das quais eu realmente tinha certeza que iria acrescentar algo (e confesso: já tive meus dias de troll, que ficaram no passado pois verifiquei que não ajudava a ninguém) mas percebo ultimamente uma crescente onda de "trollices" e idiotices nos posts mais diversos, que não acrescentam nada e desfazem a "união" do grupo.
Se realmente quisermos nos valer do ditado "A união faz a força" todos têm de ceder sua parcela de colaboração. Ou vai me dizer que gosta de ler a imensidade de lixo "bostado" nos fóruns ultimamente, ou pior se vc me dizer que gosta do baixo nível de muitas respostas postadas aqui que muitas vezes nem dizem respeito à dúvida original (hehehe... e eu pagando moral de cueca aqui, pq este meu post não tem nada a ver com a dúvida...)

Desculpem o desabafo, mas achava necessário escrever isto para registrar minha opinião...

Companheiro karfax, sem flames por favor, pq apenas aproveitei a "lei da oportunidade" para postar aqui, na esperança de que bastante gente leia e se conscientize.

Grato pela atenção de todos...

T+

[karfax]

" Se vc sabia disso, e sabia também que eu não estava me referindo ao modelo OSI e sim ao TCP, qual a serventia daquele post arrogante? "
1- Que post arrogante? Achei que voce estava se referindo ao modelo OSI, só.
2 - Para este caso, prefiro muito mais um bloqueio via proxy, tenho minhas razões e se voce quiser que exponha quais são - acho que não vai ser nem necessário - eu posso.
3- Gosto de "garferar" de vez em quando pessoas que se utilizam de uma linguagem revestida de tecnicismos e afetação, mas não é uma postura "contra" voce: apenas contra o modo como o texto soa. Por exemplo:
<quote>
... Este tipo de dúvida é facilmente dissipada tomando conhecimento...

...filtrar protocolos de aplicação em específico...

...não é impossível utilizar o iptables para implementar a funcionalidade de verificar o conteúdo passante em pacotes de conexões http com módulos (sic) os adicionais do iptables e algumas outras ferramentas, mas é infinitas (sic) vezes mais difícil, complicado e trabalhoso atingir resultados semelhantes e facilmente aplicáveis...

E por último, sua assinatura me desagrada, e já tive a oportunidade de apontar isto em outra infeliz ocasião em que nos trombamos no forum:

Soa como uma generalização infeliz, e pouco inteligente, e no fundo sem nenhuma lógica: existem duas coisas infinitas (o universo e a estupidez das pessoas). Ou: as pessoas estão fora do universo, ou sua estupidez - o que por sí só é impossível, pois o universo abrange tudo que existe. enfim: fica parecendo que voce considera "as pessoas" infinitamente estúpidas. O que por sí só - na minha opinião - me parece uma estupidez.
Paciência. Você pode usar o que bem entender como assinatura, isso é uma questão de preferência pessoal.
Agora: me chamar de troll por eu discordar de voce é o fim da picada!
Espero que tenha sido outra sua intenção,

pt saudações, 8)

[gmlinux]

mcyberx, o bloqueio apenas por ip no iptables, apenas como exemplo de ineficiência, pode leva-lo a bloquear um ip de um server que hospeda várias páginas, de repente apenas uma tem conteúdo porno, as demais com conteúdo válido.
Para contornar isto com iptables, teria que usar uma solução do tipo filtro por string, com o módulo string do POM(patch que teria que ser aplicado ao kernel), este método, como um exemplo, exigiria um overhead administrativo muito alto, se comparado ao do squid, no entanto, complementando o squid, é uma solução interessante.
A sugestão de uso do squid apenas como controle de acesso, sem cache, também é válida em uma máquina com poucos recursos.

[Aquini]

karfax pelo que posso perceber, você precisa urgente rever os seus conceitos de leitura, pois:
1 - Eu NÃO disse que preferia iptables para este caso, inclusive citando o motivo e se vc ler direito, sem atropelo, vai poder observar. Portanto neste caso acredito que não estávamos discordando.

2 - Eu não te chamei de troll, mas se te serve a carapuça vista-a com prazer.

3 - Sobre a assinatura é muito simples: somente duas coisas são infinitas uma é o universo e a outra é a estupidez de algumas pessoas... (não tem nada de contém ou está contido)


Se vc não gosta do jeito que escrevo, ou do texto que utilizo como assinatura, paciência....


Me Ignore, afinal de contas não posso agradar a todos...


T+