bloquear https://www.orkut.com

[Dragumra]

ô gente calma aê.. e o cuque(acho q era esse o nick.rsrs) como fica..??

Oc conseguiu ai fiu?

Só uma coisa.. ele já barro o orkut.. oq ele não ta barrando é o httpSrkut

Uma coisa qnt seu squid cucre.. ta certo! Só q ficaria mais organizado se vc fizesse um arquivo pra tudu oq vc quisé barra e depois apontasse uma acl pra ele!

oq vc já fez q não funciono??
Já ta funcionando?

Barra o FORWARD tbm.

[Bruno]

parece que o cara naum ta nem ai

ja foi postado ai as regras para squid para iptalbes e o cara naum fala se deu certo

[Bruno]

se ele ta bloquenado orkut e naum https é só bloquear no iptables

[LenTu]

de algum jeito deu certo o q ele keria fazer... pq c tivesse dado errado eu acho q ele voltaria pra pedir mais ajuda...

[Bruno]

pois é mais naum custa avisar que funcionou

Olá Pessoal,

não respondi pois estive fora da empresa alguns dias.
Bom de qualquer maneira coloquei as regras que o Bennato falou, mas mesmo assim naum funcionaou. Que coisa só está bloqueando o www.orkut.com mas o https://www.orkut.com tá funcionando normal.

Vejam só como ficou as regras:

iptables -A INPUT -s 10.23.0.0/16 -d 64.233.171.85 -j DROP
iptables -A INPUT -s 64.233.171.85 -d 10.23.0.0/16 -j DROP
iptables -A INPUT -s 64.233.171.85 -d 10.23.0.0/16 -p tcp --dport 443 -j DROP
iptables -A INPUT -s 10.23.0.0/16 -d 64.233.171.85 -p tcp --dport 443 -j DROP

Alguem pode dar uma Mão. E desculpem por demorar a lhes responder, como disse antes vcs realmente compartilham o conhecimento.

Abraço,

Cuque.

[Bruno]

faz assim o


iptables -A INPUT -d 64.233.171.85 -j DROP
iptables -A INPUT -s 64.233.171.85 -j DROP
iptables -A FORWARD -d 64.233.171.85 -j DROP
iptables -A FORWARD -s 64.233.171.85 -j DROP
iptables -A INPUT -s 64.233.171.85 -p tcp --dport 443 -j DROP
iptables -A INPUT -d 64.233.171.85 -p tcp --dport 443 -j DROP
iptables -A FORWARD -s 64.233.171.85 -p tcp --dport 443 -j DROP
iptables -A FORWARD -d 64.233.171.85 -p tcp --dport 443 -j DROP



na regra abaixo vc só ta bloqueando a entrada naum a passagen do firewall para os clientes

[cuque]

Ufa!!! Até que enfim funciou! Maravilha. Muito obrigado pessoal, foi de grande valia a ajuda que vcs me deram e com certeza aprendi um pouco mais de IPtables.
Valeu Bennato essa ultima regra que vc mandou funcionou direitinho. Acabou a festa do Orkut.

Abraço a todos,

Cuque.

[Bruno]

blz então
mais agora fiquei curioso sobre o https no squid


eu vou tentar

[cuque]

Como disse o Brenno, o squid nao suporta PROXY TRANSPARENT no https

Então tem que ser barrado no IPtables.

Cuque

[Luzumba]

Ola gente,

Sou novo aqui , por isso me desculpe, conheço pouco de linux, por isso entrei no site para ver. Pelo que parece o SQUID, nao faz regras em HTTPS, ja busquei isso em varios sites e nao achei nada. Infelizmente ... Mesmo pq. quando criamos as regras no squid conf, pedimos para que as portas 443 563 sejam liberadas ( é só olhar nas regras ). Creio que isto ja começa a dizer o pq. o orkut nao é bloqueado, e alguns bancos e SSLs tbm.
Somente colocando ele em regex ou dstdomain nao irá funcionar...

Bom o que eu acharia interessante é que pudessemos fazer um esforço em conjunto para saber se realmente o SQUID, nao faz esse tipo de coisa ou se faz se precisar de alguma atualização.
Este é um problema se resolvido, vai trazer muito mais qualidade ao SQUID.
Agora existe o bloqueio pelo iptables, mas creio nao ser o ideal, visto que amanha ou depois a empresa X e a empresa Y tbm que dá MP3 de graça resolve colocar tudo no HTTPS tbm, e ai ? estaremos ferradaços... É uma solução que nao resolveria muito.
Entao gente, estou pesquisando e pesquisando um dia encontro um louco que saiba... rs...
Mas por enquanto é importante saber se conseguiremos uma solução, mais correta.
Quem tiver por favor postem
Um grande abraço a todos !

Luzumba

[paulo_sergio]

Pessoal,
Para bloquear o https faça o seguinte...coloque a regra de sites bloqueados ou proibidos como sua primeira regra no squid entendeu:
acl sites_proibidos url_regex "/etc/squid/sites_proibidos"
http_access deny sites_proibidos
la dentro simplesmente adicione .orkut.
tudo que vier antes ou depois será bloqueado !

Mas lembre-se adicione esta regra como a primeira do seu squid.

abs,

[Luzumba]

Oi amigão,

Creio que não seja por ai,
Afinal, pelo que percebi esta bastante longo esse assunto para ser resolvido tão simples.
A regra de bloqueio que vc. esta passando funciona sim, no HTTP, mas no HTTPS nao funciona visto que o SQUID nao gerencia HTTPS, ele somente da o acesso. Para que funcione realmente tem que existir alguma configuração ou regral de ACL que faça que ele leia tbm. HTTPS, o exemplo mais tipico é o
https://www.orkut.com
tente acessa-lo apos ter criado a sua regra e vc. vai ver que ele funciona normalmente.
depois digite http://www.orkut.com e veja.

[ ]s

Luiz Humberto

[cvr]

Olha ai amigo. Tive esse problema somente fazer isto. No meu caso resolveu.

acl bloqueados dstdomain orkut.com www.orkut.com
http_access deny bloqueados

acl redelocal src .... ai continua ....



Somente isto,. E reveja todas as acl's para ter certeza que esta tudo ok. Aqui funfo, assim

T+

[Luzumba]

Ola amigo,

Mesmo usando HTTPS no endereço ?

[paulo_sergio]

Aqui em minha empresa utilizo bloqueando por site e palavras e funciona normalmente !
Eu uso proxy autenticado.
De uma olhada no seu squid...vc nem precisa mexer no iptables.


Abs,

[Luzumba]

Ah..
Agora sim...
Entendi vc. usa proxy autenticado né ?
Aqui o proxy que uso é transparente porem nao é autenticado, farei isso qdo. o servidor PDC + samba estiver pronto.
Mas sem ser Autenticado...
Não é as regras nas acls pq. esta correto o procedimento. todas elas aplicadas no momento certo. Pois as regras leem na ordem que sao postas, não é verdade ?
Meu SQUID bloqueia o site ww.orkut.com., e demais variaçoes que ja achei, porem se vc coloca https://www.orkut.com no browser, entra a tela do orkut, ai se vc. coloca a senha e ele depois da acesso negado porem ja entrou dentro do orkut. porem se vc. quiser ir usando é só substituir http por https. Aqui foi funcionando, é meio sacal e escroto, mas ai de qqr. forma funcionou.
Alguma sugestao.
Informo que ja testei as regras que foram passadas neste topico, mas nao funcionou.
Meu SO é Conectiva Linux 10

[cvr]

Posso estar enganado, mas proxy transparente pode ser autenticado ou nao. Quando se refere a Proxy transparente estamos nos referindo a uma regra do iptables que direciona tudo para a porta 3128. Qualquer proxy que usa este sistema acredito ser transparente. Para ele ser autenticado e so incluir mais algumas linhas no squid.conf....
Entao um proxy com essa regra ele pode ser autenticado, ou não. Mas de qualquer forma ambos são transparente.

Me corrijam por favor se eu estiver errado.




T+

[Brenno]

Ah..
Agora sim...
Entendi vc. usa proxy autenticado né ?
Aqui o proxy que uso é transparente porem nao é autenticado, farei isso qdo. o servidor PDC + samba estiver pronto.
Mas sem ser Autenticado...
Não é as regras nas acls pq. esta correto o procedimento. todas elas aplicadas no momento certo. Pois as regras leem na ordem que sao postas, não é verdade ?
Meu SQUID bloqueia o site ww.orkut.com., e demais variaçoes que ja achei, porem se vc coloca https://www.orkut.com no browser, entra a tela do orkut, ai se vc. coloca a senha e ele depois da acesso negado porem ja entrou dentro do orkut. porem se vc. quiser ir usando é só substituir http por https. Aqui foi funcionando, é meio sacal e escroto, mas ai de qqr. forma funcionou.
Alguma sugestao.

pessoa, bora mata esse assunto aqui, apesar do squid na fazer TRANSPARENCIA COM HTTPS, mas ele barra sites em https

basta fazer oq amigo em cima disse

Pessoal,
Para bloquear o https faça o seguinte...coloque a regra de sites bloqueados ou proibidos como sua primeira regra no squid entendeu:
acl sites_proibidos url_regex "/etc/squid/sites_proibidos"
http_access deny sites_proibidos
la dentro simplesmente adicione .orkut.
tudo que vier antes ou depois será bloqueado !

eu aqui adicionei www.orkut.com e ninguem entra no orkut

ponto final.

se seu squid não ta bloquiando, para tudo e ver oq vc ta fazendo de errado, entra no site do squid ninja, posta teu conf, vai ler howtos


pra mim esse assunto morre aqui.

abraço a todos

[Brenno]

ice ou dim, bloqueia esse topico por favor

se alguem tiver duvida eh so ler esse topico do começo
mais fecha ele..

vlw