firewaal + webproxy funcionando mas deixou passar sitesbloqueados.com

[zemkt]

Ola to com um rede aqui com bloqueio de sites tanto no firewall quanto no web proxy, mesmo assim usuario conseguiu acessar o face se utilizando do site sitesbloqueados.com.....

Este site burlou a segurança do mikrotik assim facil ????????????????

[bjaraujo]

Simples, bloquei o site. Você terá que bloquear todos e quaisquer sites proxy.

[zemkt]

Simples, bloquei o site. Você terá que bloquear todos e quaisquer sites proxy.

Amigao, quantos sites proxy terei que bloquear ao redor do mundo ?!?!?!/
Quantos NOVOS sites proxys sao criados por semana ???

Nao tem outra saida nao ?

[baleiro]

Bom Tarde!!!
Estou com o mesmo problema em minha empresa.
Eu tenho firewall+ proxy aqui tbm No MKT, tentei algumas soluções vi que o site que redirecionava sites bloqueados usava https, por isso que ele conseguia passar, por que o proxy redireciona tudo da porta 80 nao da 443.
O que eu fiz bloquei a 443 blz os sites não acessava mais pela 443 porem pelo o site www.sitesbloqueados.com funciona.
Alquem ai ja passou por isso que estamos passando da um Help ai para nós.

[bjaraujo]

Não sei qual o webproxy os senhores usam mas vou apontar o caminho.
Usando squid como proxy obrigue toda e qualquer estação a configurar o proxy manualmente (no sistema operacional ou navegador) feito isso instale e configure um auxiliar do squid chamando squidguard.
Existem listas negras prontas organizadas por categoria (proxy, adulto, entretenimento etc) e com atualização constante que você aplicará ao squidguard.

Dá um olhada: http://www.hardware.com.br/tutoriais...do-squidguard/

[arasouza]

Não sei qual o webproxy os senhores usam mas vou apontar o caminho.
Usando squid como proxy obrigue toda e qualquer estação a configurar o proxy manualmente (no sistema operacional ou navegador) feito isso instale e configure um auxiliar do squid chamando squidguard.
Existem listas negras prontas organizadas por categoria (proxy, adulto, entretenimento etc) e com atualização constante que você aplicará ao squidguard.

Dá um olhada: http://www.hardware.com.br/tutoriais...do-squidguard/

Cara, sem compilar o squid por exemplo você não consegue, pois o proxy não trata nada que vai para porta 443. então como ele vai bloquear? apenas reforçando uma dúvida q tenho..

[bjaraujo]

Cara, sem compilar o squid por exemplo você não consegue, pois o proxy não trata nada que vai para porta 443. então como ele vai bloquear? apenas reforçando uma dúvida q tenho..

[...]obrigue toda e qualquer estação a configurar o proxy manualmente
[...]

Isso resolve o problema.

[arasouza]

Isso resolve o problema.

Realmente não fiz o teste, apenas usei proxy transparente, o problema aqui são muitos equipamentos + q 200, foram os notes que usam a rede local (impressoras acesso a arquivos etc.) e muitos visitantes que também tem acesso a internet. configurar manual e complicado, tentei com o servidor de dominio para que ele passasse esse parametro mas nao deu muito certo pois ele oscilava e os pcs não navegavam... mesmo assim valeu bjaraujo pelo toque..

[mandrak66]

simples bloqueia tudo e libera só oque você quer...ai na mensagem de access denied você manda enviar o site bloqueado que você libera rapidinho....

[deson00]

1 configurar web-proxy.
2 criar uma lista com tudo que pode e nao pode e quem pode
3 criar um regra nat de redirecionar todas as portas de todos ips que estara no address list com nome de blqueado para a porta do proxy
4 criar uma lista de ip com nome de bloqueado no address list do nat
5 adicionar as permiçoes no access do proxy, podera redirecionar cada usuario para uma pagina que podera conter algum tipo de aviso escrito para que possa entender que esta agindo de forma incorreta e que esta sendo monitorado.
regras abaixo para proxy funcionar
#
/ip firewall nat
add action=redirect chain=dstnat comment="webproxy pppoe" disabled=no dst-port=80 in-interface=ether2 protocol=tcp src-address=192.168.6.0/24 to-ports=8080
add action=redirect chain=dstnat comment="webproxy hotspot" disabled=no dst-port=80 in-interface=ether2 protocol=tcp src-address=10.5.50.0/24 to-ports=8080
add action=redirect chain=dstnat comment="redireciona todas as portas para proxy" disabled=no protocol=tcp src-address-list=bloqueado to-ports=8080
add action=masquerade chain=srcnat comment="masquerade pppoe" disabled=no src-address=192.168.6.0/24 to-addresses=0.0.0.0
add action=masquerade chain=srcnat comment="masquerade hotspot" disabled=no src-address=10.5.50.0/24 to-addresses=0.0.0.0
#
/ip firewall address-list
add address=192.168.1.20 comment=jose disabled=no list=bloqueado
#
/ip proxy
set always-from-cache=no cache-administrator=webmaster cache-hit-dscp=4 cache-on-disk=yes enabled=yes max-cache-size=unlimited \
max-client-connections=600 max-fresh-time=3d max-server-connections=600 parent-proxy=0.0.0.0 parent-proxy-port=0 port=8080 \
serialize-connections=no src-address=0.0.0.0
/ip proxy access
add action=allow disabled=no dst-host=www.bylltec.com.br dst-port=""
add action=deny comment=jose disabled=no dst-port="" redirect-to=\
"www.bylltec.com.br/site/gestorserver/avisos/aviso_bloqueado.php\?idaviso=2" src-address=192.168.1.20
add action=allow comment=chefe disabled=no dst-host=www.facebook.com dst-port="" src-address=192.168.1.25
add action=deny disabled=no dst-host=www.facebook.com dst-port="" redirect-to=\
"www.bylltec.com.br/site/gestorserver/avisos/aviso_bloqueado.php\?idaviso=2" src-address=192.168.1.0/24
add action=deny disabled=no dst-host=:sexo dst-port="" redirect-to=\
"www.bylltec.com.br/site/gestorserver/avisos/aviso_bloqueado.php\?idaviso=2"
add action=deny disabled=no dst-port="" path=*.flv
add action=deny disabled=no dst-port="" path=*.avi
add action=deny disabled=no dst-port="" path=*.mp4
add action=deny disabled=no dst-port="" path=*.mp3
add action=deny disabled=no dst-port="" path=*.zip
add action=deny disabled=no dst-port="" path=*.rar