+ Responder ao Tópico



  1. #1

    Red face Https..ajuda !!!

    Ola a todos..
    estou com seguinte problema:
    tenho uma acl que librera alguns sites livres que determinei
    acl livre dstdom_regex "/etc/squid/livre"
    dei a permissao allow livre
    esta legal funcionando blz...detalhe
    se digitar HTTPS://www.orkut.com o troxo entra ,,, nao bloqueia.
    ta ....vamo la ..ai eu bloqueie no fireall....
    tranquilo assim agora nao entra mais.....porem os sites de bancos e outros tambem nao.
    .ai aia ai....socorro
    como eu FACO PARA ESPECIFICAR QUE SOMENTE OS SITES DO TXT "LIVRE" DEVEM SER ACESSADOS e os demais sites https SEJAM BLOQUEADOS.
    se alguem puder me ajuda...
    desde ja valeu !!!galera

  2. #2



  3. #3

    Padrão

    Bom vamos lá.
    Pelo que eu conheço e ja vi em muitos fóruns.
    Proxy transparente não segura conexões na porta 443.
    Ou seja, qualquer site que esteja bloqueado e a pessoa colocar o s apos o http irá conectar.

    Para bloquear o orkut faça um teste;

    /usr/sbin/iptables -A FORWARD -s $LAN_RANGE -d orkut - Login --dport 443 -j DROP

    Acredito que funcione assim.
    Não precisa colocar uma regra pra fechar a porta 443 totalmente.
    Senão use o parâmetro -I porque ela se tornará a primeira regra a ser lida quando entrar o pacote.

    Falow

  4. #4

    Padrão re

    sim ta como proxy transparente.
    é eu nao quero bloquear somenteo orkut... eu to querendo faze com que indepedente de ser http ou https.
    acessem somente os sites que esta no arquivo txt "http ou https" o restante mesmo que seja colocado https://www.orkut.com nao seja acessado se nao estiver no txt "livres"

    aquele lance da caixa cns resolvi...blz nas regras do fireall.......agora esse nao achei como faze
    to bloqueando legal o restante mais se a galera descobrir e colocar https vam acessar..


    Agradeco pela ajuda
    Última edição por zley; 28-11-2006 às 21:14.



  5. #5

    Padrão

    Código :
    for i in `host www.orkut.com | awk '{print $4}' | grep -v alias`; do
    iptables -t filter -A FORWARD -d $i -j DROP
    done;

  6. #6

    Padrão

    Kra eu consegui resolver o problema do orkut usando o iptables, ficou assim:

    iptables -t filter -A FORWARD -d orkut - Login -p tcp --dport 443 -j DROP
    iptables -t filter -A INPUT -d orkut - Login -p tcp --dport 443 -j DROP
    iptables -t filter -A FORWARD -d orkut.com -p tcp --dport 433 -j DROP
    iptables -t filter -A INPUT -d orkut.com -p tcp --dport 443 -j DROP
    iptables -t filter -A OUTPUT -d orkut - Login -p tcp --dport 443 -j DROP
    iptables -t filter -A INPUT -d 72.14.209.85 -j DROP
    iptables -t filter -A FORWARD -d 72.14.209.85 -j DROP
    iptables -t filter -A OUTPUT -d 72.14.209.85 -j DROP

    Espero q ajude!



  7. #7

    Padrão socorro de socorro

    Obrigado a todos !!!!

    mais eu nao quero bloquear somenteo orkut.com


    eu quero uma acl ou uma maneira que eu "NEGUE, BLOQUEIE" todos os outros SITES que NAO ESTEJAM DENTRO DO MEU "TXT" sendo que os dentro do "TXT" TENHAM PERMISSAO. EO RESTANTE NENHUM..tipo assim
    acl livres dstdom_regex "/etc/squid/livre"
    ahttp_access ALLOW LIVRE

    DENTRO DO TXT:
    HSBC.COM.BR # SENDO ESTE HTTP"S"
    BB.COM.BR
    TERRA.COM.BR


    O SITE DOS BANCOS USAM HTTPS,,CERTO? BEM... ELES COM HTTPS EU QUERO QUE FUNCIONE..AGORA

    https://www.maria.com.br
    https://www.joao.com.br
    independente do site sendo http ou https SE NAO ESTIVEREM DENTRO DO TXT NAO QUERO QUE ACESSEM ...da pra fazer isso so com acl sem bloquear no fireall 443 ou 563 as https???


    lembrando que meu proxy e transparent

    e qndo a galera digitar no navegador https://www.hsbc.com.br e ele por sua vez nao estiver no txt Livre o proxi negue este site...

    ::::::: ja bloquiei oq eu queria so nao consegui isto... se eu tirar o
    HSBC Bank Brasil S.A. - No Brasil e no mundo, HSBC. do txt e a galera for no nav. e pedir HSBC Bank Brasil S.A. - No Brasil e no mundo, HSBC. sem o S nega + se tiver httpS..nao nega mesmo o
    site sendo tirado do txt livre