+ Responder ao Tópico



  1. #1

    Padrão Existe alguma maneira de bloquear o facebook na rede definitivamente ? COM IPTABLES ? FIREWALL ? O SQUID NÃO CONSEGUE BARRAR USUÁRIOS AVANÇADOS !

    Existe alguma maneira de bloquear o facebook na rede definitivamente ? COM IPTABLES ? FIREWALL ? O SQUID NÃO CONSEGUE BARRAR USUÁRIOS AVANÇADOS !,


    no meu squid tem essas acls :


    acl porno url_regex "/etc/squid/porno"

    http_access deny porno all

    dentro do arquivo porno tem

    facebook.com
    facebook

    tambem tem no meu squid.conf assim :

    acl all src 0.0.0.0/0.0.0.0

    http_access deny all
    http_reply_access allow all

    porem os usuarios (avançados que são sabidos) ainda consegue acessar o facebook . eu sei que eles usam duas formas uma é entrando no ubuntu desktop como usuario convidado e outra é depois que eles entra na pagina facebook.com e dar proibido , eles desativa o proxy e recarrega a pagina e o facebook funciona . e tambem usam outras forma pra burla o proxy








    >>> segue meu squid completo >>>>




    http_port 3128
    extension_methods REPORT MERGE MKACTIVITY CHECKOUT
    hierarchy_stoplist cgi-bin ?
    acl QUERY urlpath_regex cgi-bin \?
    cache deny QUERYsup
    acl apache rep_header Server ^Apache
    broken_vary_encoding allow apache
    cache_mem 64 MB
    maximum_object_size 8192 KB
    maximum_object_size_in_memory 64 KB
    cache_dir ufs /var/spool/squid 400 64 64
    access_log /var/log/squid/access.log squid
    ftp_passive on
    dns_nameservers 10.46.136.4 10.46.136.11 10.46.136.12
    hosts_file /etc/hosts
    auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/passwd
    auth_param basic children 5
    auth_param basic realm Servidor Proxy da 3a. DL
    auth_param basic credentialsttl 2 hours
    auth_param basic casesensitive off
    refresh_pattern ^ftp: 1440 20% 10080
    refresh_pattern ^gopher: 1440 0% 1440
    refresh_pattern . 0 20% 4320
    acl password proxy_auth REQUIRED


    acl nivel1 proxy_auth "/etc/squid3/senhaNivel1"
    acl nivel2 proxy_auth "/etc/squid3/senhaNivel2"
    acl nivel3 proxy_auth "/etc/squid3/senhaNivel3"




    acl site_google dstdom_regex "/etc/squid/google_terra"
    acl ip_google src "/etc/squid/arq_google"
    acl gov dstdom_regex "/etc/squid/governo"
    acl arregomsn req_mime_type -i ^application/x-msn-messenger$
    acl porno url_regex "/etc/squid/porno"
    acl nporno url_regex "/etc/squid/nporno"
    acl webmail src 10.46.136.9
    acl negado src "/etc/squid/negado"
    acl acessototal src "/etc/squid/acessototal"
    acl all src 0.0.0.0/0.0.0.0
    acl manager proto cache_object
    acl localhost src 127.0.0.1/255.255.255.255
    acl to_localhost dst 127.0.0.0/8
    acl SSL_ports port 443 # https
    acl SSL_ports port 563 # snews
    acl SSL_ports port 873 # rsync
    acl Safe_ports port 80 # http
    acl fap port 21 # ftp
    acl Safe_ports port 443 # https
    acl Safe_ports port 70 # gopher
    acl Safe_ports port 210 # wais
    acl Safe_ports port 1025-65535 # unregistered ports
    acl Safe_ports port 280 # http-mgmt
    acl Safe_ports port 488 # gss-http
    acl Safe_ports port 591 # filemaker
    acl Safe_ports port 777 # multiling http
    acl Safe_ports port 631 # cups
    acl Safe_ports port 873 # rsync
    acl Safe_ports port 901 # SWAT
    acl Safe_ports port 81 # teste
    acl Safe_ports port 1863 #MSN
    acl Safe_ports port 23000 # teste
    acl purge method PURGE
    acl CONNECT method CONNECT
    acl HorarioExpediente time MTWH 07:30-16:15
    acl HorarioSexta time F 07:30-12:30
    acl Intervalo time MTWHF 11:30-13:20
    acl sec_infor src 10.46.139.20 10.46.136.25 10.46.136.6 10.46.136.5
    acl chefia src 10.46.136.2 10.46.136.20 10.46.136.25 10.46.136.230 10.46.138.31 10.46.139.21
    acl sec_imagem src 10.46.137.77 10.46.137.70 10.46.137.24 10.46.136.251 10.46.139.19
    acl html rep_mime_type text/html
    acl Tarifador src 10.46.136.92

    acl block url_regex -i "/etc/squid3/block.txt"


    #aqui autentica os usuarios nivel3 em "/etc/squid3/senhaNivel3"
    acl nivel3 proxy_auth "/etc/squid3/senhaNivel3"

    # aqui são os sites liberados pra usuarios nivel3
    acl sites_nivel3 url_regex -i "/etc/squid3/sitesNivel3"


    http_access allow nivel1

    http_access allow fap
    http_access allow manager localhost
    http_access deny manager
    http_access allow purge localhost
    http_access deny purge
    http_access deny !Safe_ports
    http_access deny CONNECT !SSL_ports
    http_access allow localhost
    http_access allow gov
    http_access allow site_google ip_google
    http_access deny negado all
    http_access allow acessototal
    http_access allow webmail
    http_access deny arregomsn
    http_access allow nporno all
    http_access deny porno all
    http_access allow password

    http_access deny block

    http_access allow nivel2


    # regra: http permitido pra os sites escritos no arquivo sitesNivel3
    http_access allow sites_Nivel3

    #http negado pra os usuarios nivel3 !com exceção dos sites descritos no aruivo sitesNivel3
    http_access deny nivel3 !sites_Nivel3 !site_google !gov !nporno !webmail


    http_access deny all
    http_reply_access allow all
    icp_access allow all

    reply_body_max_size 0 allow sec_infor
    reply_body_max_size 0 allow chefia
    reply_body_max_size 0 allow sec_imagem
    reply_body_max_size 0 allow html
    reply_body_max_size 10000000 allow Tarifador HorarioExpediente
    reply_body_max_size 10000000 allow Tarifador HorarioSexta
    reply_body_max_size 50000000 allow !HorarioExpediente !HorarioSexta
    reply_body_max_size 50000000 allow Intervalo
    reply_body_max_size 6000000 allow all
    cache_effective_group proxy
    visible_hostname nautilus2.3dl.eb.mil.br

    error_directory /usr/share/squid/errors/Portuguese
    coredump_dir /var/spool/squid

  2. #2

    Padrão Re: Existe alguma maneira de bloquear o facebook na rede definitivamente ? COM IPTABLES ? FIREWALL ? O SQUID NÃO CONSEGUE BARRAR USUÁRIOS AVANÇADOS !

    Ola,

    O squid não bloqueia HTTPS, então pelo squid não tem como.

    Faça um teste, de qualquer maquina tente abrir o facebook por https://www.facebook.com, verá que ninguem esta bloqueado.

    Pelo IPTABLES voce precisa fazer uma chain com todos os IPS do facebook e bloquear tanto a porta 80 e 443, já tive o mesmo problema, mas depois de muita briga, consegui bloquear o maldito na minha rede.

    Aqui uma listinha dos IPs do Face.

    https://ipdb.at/isp/Facebook

    Se quiser bloquear a rede toda

    31.13.24.0/21
    31.13.64.0/18
    66.220.144.0/20
    69.63.176.0/20
    69.171.224.0/19
    74.119.76.0/22
    103.4.96.0/22
    173.252.64.0/18
    204.15.20.0/22

    Bom divertimento.

  3. #3

    Padrão Re: Existe alguma maneira de bloquear o facebook na rede definitivamente ? COM IPTABLES ? FIREWALL ? O SQUID NÃO CONSEGUE BARRAR USUÁRIOS AVANÇADOS !

    NetXPress, ainda assim ele conseguirar navegar se ultilizar ferramentas como kproxy, ultrasuf etc...
    Sua opção é correta. só adiciono isso, colocar tambem o ip desses site de proxy free e a porta que o ultrasuf usa.
    vlw.

  4. #4

    Padrão Re: Existe alguma maneira de bloquear o facebook na rede definitivamente ? COM IPTABLES ? FIREWALL ? O SQUID NÃO CONSEGUE BARRAR USUÁRIOS AVANÇADOS !

    Citação Postado originalmente por Ronaldo Barboza Ver Post
    NetXPress, ainda assim ele conseguirar navegar se ultilizar ferramentas como kproxy, ultrasuf etc...
    Sua opção é correta. só adiciono isso, colocar tambem o ip desses site de proxy free e a porta que o ultrasuf usa.
    vlw.
    Olá Ronaldo,

    Eu não quis citar esses problema para não desanimar o nosso amigo, mas eu resolvi esses probleminhas com o Kaspersky, em meu servidor de anti-virus, fiz o bloqueio desses aplicativos, então eles não conseguem se autenticar.

    Mas deu trabalho para eliminar o face da rede. Só não sei o porque, mas sou o cara mais odiado da empresa.

    []'s.

  5. #5

    Padrão Re: Existe alguma maneira de bloquear o facebook na rede definitivamente ? COM IPTABLES ? FIREWALL ? O SQUID NÃO CONSEGUE BARRAR USUÁRIOS AVANÇADOS !

    Citação Postado originalmente por NetXPress Ver Post
    Ola,

    O squid não bloqueia HTTPS, então pelo squid não tem como.

    Faça um teste, de qualquer maquina tente abrir o facebook por https://www.facebook.com, verá que ninguem esta bloqueado.

    Pelo IPTABLES voce precisa fazer uma chain com todos os IPS do facebook e bloquear tanto a porta 80 e 443, já tive o mesmo problema, mas depois de muita briga, consegui bloquear o maldito na minha rede.

    Aqui uma listinha dos IPs do Face.

    https://ipdb.at/isp/Facebook

    Se quiser bloquear a rede toda

    31.13.24.0/21
    31.13.64.0/18
    66.220.144.0/20
    69.63.176.0/20
    69.171.224.0/19
    74.119.76.0/22
    103.4.96.0/22
    173.252.64.0/18
    204.15.20.0/22

    Bom divertimento.
    man vc pode mim passa as instruções como criar essa nova chain ? comandos ? quais ?

  6. #6

    Padrão Re: Existe alguma maneira de bloquear o facebook na rede definitivamente ? COM IPTABLES ? FIREWALL ? O SQUID NÃO CONSEGUE BARRAR USUÁRIOS AVANÇADOS !

    Amigo eu utilizei recentemente foi o layer 7 para contornar este problema do https
    Eu utilizei o mikrotik , porem e bem complicado em relação a sites proxy . mas e uma dica layer 7

  7. #7

    Padrão Re: Existe alguma maneira de bloquear o facebook na rede definitivamente ? COM IPTABLES ? FIREWALL ? O SQUID NÃO CONSEGUE BARRAR USUÁRIOS AVANÇADOS !

    Olá!

    Teste com isso aqui:
    Essas são as redes do facebook.

    É sempre bom ficar olhando esse site:
    http://bgp.he.net/AS32934#_prefixes

    iptables -I OUTPUT -d 31.13.24.0/21 -j DROP
    iptables -I OUTPUT -d 31.13.64.0/19 -j DROP
    iptables -I OUTPUT -d 31.13.64.0/24 -j DROP
    iptables -I OUTPUT -d 31.13.65.0/24 -j DROP
    iptables -I OUTPUT -d 31.13.66.0/24 -j DROP
    iptables -I OUTPUT -d 31.13.68.0/24 -j DROP
    iptables -I OUTPUT -d 31.13.69.0/24 -j DROP
    iptables -I OUTPUT -d 31.13.70.0/24 -j DROP
    iptables -I OUTPUT -d 31.13.71.0/24 -j DROP
    iptables -I OUTPUT -d 31.13.72.0/24 -j DROP
    iptables -I OUTPUT -d 31.13.73.0/24 -j DROP
    iptables -I OUTPUT -d 31.13.74.0/24 -j DROP
    iptables -I OUTPUT -d 31.13.75.0/24 -j DROP
    iptables -I OUTPUT -d 31.13.76.0/24 -j DROP
    iptables -I OUTPUT -d 31.13.77.0/24 -j DROP
    iptables -I OUTPUT -d 31.13.78.0/24 -j DROP
    iptables -I OUTPUT -d 31.13.79.0/24 -j DROP
    iptables -I OUTPUT -d 31.13.80.0/24 -j DROP
    iptables -I OUTPUT -d 31.13.81.0/24 -j DROP
    iptables -I OUTPUT -d 31.13.82.0/24 -j DROP
    iptables -I OUTPUT -d 31.13.83.0/24 -j DROP
    iptables -I OUTPUT -d 31.13.84.0/24 -j DROP
    iptables -I OUTPUT -d 31.13.85.0/24 -j DROP
    iptables -I OUTPUT -d 31.13.86.0/24 -j DROP
    iptables -I OUTPUT -d 31.13.96.0/19 -j DROP
    iptables -I OUTPUT -d 66.220.144.0/21 -j DROP
    iptables -I OUTPUT -d 66.220.152.0/21 -j DROP
    iptables -I OUTPUT -d 69.63.176.0/21 -j DROP
    iptables -I OUTPUT -d 69.63.176.0/24 -j DROP
    iptables -I OUTPUT -d 69.63.184.0/21 -j DROP
    iptables -I OUTPUT -d 69.171.224.0/20 -j DROP
    iptables -I OUTPUT -d 69.171.239.0/24 -j DROP
    iptables -I OUTPUT -d 69.171.240.0/20 -j DROP
    iptables -I OUTPUT -d 69.171.255.0/24 -j DROP
    iptables -I OUTPUT -d 74.119.76.0/22 -j DROP
    iptables -I OUTPUT -d 103.4.96.0/22 -j DROP
    iptables -I OUTPUT -d 173.252.64.0/19 -j DROP
    iptables -I OUTPUT -d 173.252.70.0/24 -j DROP
    iptables -I OUTPUT -d 173.252.96.0/19 -j DROP
    iptables -I OUTPUT -d 204.15.20.0/22 -j DROP

  8. #8

    Padrão Re: Existe alguma maneira de bloquear o facebook na rede definitivamente ? COM IPTABLES ? FIREWALL ? O SQUID NÃO CONSEGUE BARRAR USUÁRIOS AVANÇADOS !

    EU ACHEI COMO BLOQUEAR , USEI ESSES COMANDOS

    modprobe ipt_string

    echo "1" > /proc/sys/net/ipv4/ip_forward





    iptables -I FORWARD -m string --algo bm --string "facebook.com" -j DROP
    iptables -I OUTPUT -m string --algo bm --string "facebook.com" -j DROP


    FACEBOOK BLOQUEADO , AGORA EU QUERO LIBERA O FACEBOOK PRO MEU CHEFE , O IP DELE É 10.46.136.18 , COMO LIBERA APENAS PRA ELE ? ALGUEM SABE ?

  9. #9

    Padrão Re: Existe alguma maneira de bloquear o facebook na rede definitivamente ? COM IPTABLES ? FIREWALL ? O SQUID NÃO CONSEGUE BARRAR USUÁRIOS AVANÇADOS !

    Citação Postado originalmente por maicomitalo Ver Post
    EU ACHEI COMO BLOQUEAR , USEI ESSES COMANDOS

    modprobe ipt_string

    echo "1" > /proc/sys/net/ipv4/ip_forward





    iptables -I FORWARD -m string --algo bm --string "facebook.com" -j DROP
    iptables -I OUTPUT -m string --algo bm --string "facebook.com" -j DROP


    FACEBOOK BLOQUEADO , AGORA EU QUERO LIBERA O FACEBOOK PRO MEU CHEFE , O IP DELE É 10.46.136.18 , COMO LIBERA APENAS PRA ELE ? ALGUEM SABE ?

    Meu jovem, você deve colocar a regra de liberação antes das de bloqueio.

    iptables -I FORWARD -s $ippatrao -m string --algo bm --string "facebook.com" -j ACCEPT
    iptables -I OUTPUT -s $ippatrao -m string --algo bm --string "facebook.com" -j ACCEPT

    Lembre-se, essas regras devem ficam antes das de bloqueio.

  10. #10

    Padrão Re: Existe alguma maneira de bloquear o facebook na rede definitivamente ? COM IPTABLES ? FIREWALL ? O SQUID NÃO CONSEGUE BARRAR USUÁRIOS AVANÇADOS !

    Citação Postado originalmente por corcelnitro Ver Post
    meu jovem, você deve colocar a regra de liberação antes das de bloqueio.

    Iptables -i forward -s $ippatrao -m string --algo bm --string "facebook.com" -j accept
    iptables -i output -s $ippatrao -m string --algo bm --string "facebook.com" -j accept

    lembre-se, essas regras devem ficam antes das de bloqueio.

    testei fazendo com meu ip e não funciono o facebook continua bloqueado

  11. #11

    Padrão Re: Existe alguma maneira de bloquear o facebook na rede definitivamente ? COM IPTABLES ? FIREWALL ? O SQUID NÃO CONSEGUE BARRAR USUÁRIOS AVANÇADOS !

    se ele acessa pelo proxy nao tem como. o mais facil é tirar o proxy do teu chefe e permitir acesso liberado a internet direto no gateway.

    Código :
    IPCHEFE="192.168.1.1"
    iptables -i input -s $IPCHEFE -j accept
    iptables -i output -s $IPCHEFE -j accept
    iptables -i forward -s $IPCHEFE -j accept
    (não se esqueça que a regra que vem antes é a que tem prioridade, logo essas regras devem vir antes do que bloqueiam o facebook)
    é tbm necessario adicionar os comando de "mascarade" caso já nao tenha nas regras de firewall.

    - - - Atualizado - - -

    se ele acessa pelo proxy nao tem como. o mais facil é tirar o proxy do teu chefe e permitir acesso liberado a internet direto no gateway.

    Código :
    IPCHEFE="192.168.1.1"
    iptables -i input -s $IPCHEFE -j accept
    iptables -i output -s $IPCHEFE -j accept
    iptables -i forward -s $IPCHEFE -j accept
    (não se esqueça que a regra que vem antes é a que tem prioridade, logo essas regras devem vir antes do que bloqueiam o facebook)
    é tbm necessario adicionar os comando de "mascarade" caso já nao tenha nas regras de firewall.

  12. #12

    Padrão Re: Existe alguma maneira de bloquear o facebook na rede definitivamente ? COM IPTABLES ? FIREWALL ? O SQUID NÃO CONSEGUE BARRAR USUÁRIOS AVANÇADOS !