+ Responder ao Tópico



  1. #1
    Danilo_Montagna
    Visitante

    Padrão nao deixar acessar nada por IP .. somente usando nomes DNS no navegador

    boa tarde pessoal,

    estou a tempo procurando algo a fazer no squid que ate agora nao achei como..

    preciso que o squid barre qualquer requisicao a internet que seja via IP..

    exemplo:

    http://69.36.226.175

    e so deixar os usuarios acessarem sites que sejam do tipo..

    http://www.nomedosite.com.br
    http://www.site.com

    etc..

    tem alguns sites que eu tranco que o usuario descobre que acessando por IP ele consegue.. e isso fica dificil de administrar em um ambiente muito grande com varios usuarios.. eles semprem descobrem um jeito de acessar aquele determinado site por IP..

    tem jeito de fazer isso no squid?

    ja tentei criar uma regra do tipo DST informando 0.0.0.0/0 porem isso faz o squid trancar qualquer site.. mesmo os acessados por IP..

    alguma dica?

  2. #2

    Padrão Re: nao deixar acessar nada por IP .. somente usando nomes DNS no navegador

    ao inves de quebrar a cabeca criando expressoes regulares no squid pq eh q vc nao bloqueia os sites por iptables tb? acho que eh bem mais facil

  3. #3
    Danilo_Montagna
    Visitante

    Padrão Re: nao deixar acessar nada por IP .. somente usando nomes DNS no navegador

    caro 1c3_m4n,

    obrigado pela resposta..

    porem o problema nao é fazer o bloqueio.. e sim ter isso dinamicamente controlado..

    sao muitos ips e redes diferentes.. vou perder mais tempo bloquenado IPs e Ranges do que controlando o usuario efetivamente..

    a ideia a nao deixar que nenhum site seja acessado por IP.. somente por nome DNS. porem pelo o que eu percebi.. o squid resolve o nome em IP para validar o acesso.. queria ver uma forma de proibir o acesso a sites por http://IP sem ter que ficar bloqueando isso uma a uma..

  4. #4

    Padrão Re: nao deixar acessar nada por IP .. somente usando nomes DNS no navegador

    bom nao sei como eh a politica dai, mas uma solucao mais simples seria vc bloquear TUDO e liberar somente os sites que podem ser acessados

  5. #5
    Danilo_Montagna
    Visitante

    Padrão Re: nao deixar acessar nada por IP .. somente usando nomes DNS no navegador

    infelizmente nao tenho como aplicar esse tipo de politica.. pois é uma faculdade...

  6. #6

    Padrão Re: nao deixar acessar nada por IP .. somente usando nomes DNS no navegador

    acho que entendi... vc nao quer que o usuario acesse por exemplo:

    http://200.x.x.x

    Ou seja, nada de acesso pelo IP, apenas por nome...

    Neste caso fica complicado qq tipo de bloqueio, visto que após resolver o nome, todo acesso é feito usando o IP. O que vc poderia fazer (que fecharia mais do que apenas IPs, seria colocar nas listas de páginas bloqueadas, numeros, tipo:

    200.154
    201.12

    Mas neste caso vc precisaria de um script para gerar isso.... e ficaria lento pacas

  7. #7
    Danilo_Montagna
    Visitante

    Padrão Re: nao deixar acessar nada por IP .. somente usando nomes DNS no navegador

    Exato Jim,

    isso eu ja verifiquei.. o squid faz um lookup na requisicao para ver o IP e liberar o acesso..

    entao a principio ate onde vai meu conhecimento nao tera como bloquear isso dinamicamente no squid..

    hoje eu ja tenho um arquivo que usa uma regra do tipo "dst" que nega acesso a redes de determinados tipos de servico e sites improprios.. mais fica realmente muito complicado de administrar isso..