Falha no squid3 [RESOLVIDO]

lucas peregrino
(usa Debian)

Enviado em 24/06/2012 - 09:56h

Bem gente to tento um problema complicado de resolver pois to com uns clientes que tao me cobrando e n consegui fazer.


No meu squid tenho bloqueio por dominio suponto .globo.com

a falha ta sendo o seguinte o usuario ta vindo e colocando https blz vo la e colocao na frente do site .globo.com:443

ai a pessoa vai pinga o site e acessa pelo ip e o squid libera tem como eu fechar isso nao para nao liberar.

arasouza
(usa Debian)

Enviado em 24/06/2012 - 18:06h

cara, o seguinte o squid não trata trafego https então o bloqueio não ocorre, vc pode fazer o bloqueio a nivel de firewall. ok? esse seu bloqueio no dominio .globo.com:443 funcinou?

removido
(usa Nenhuma)

Enviado em 24/06/2012 - 18:34h

Eu não recomendo usar o firewall para controlar conteúdo, nem o squid. Estude o squidguard ou o dansguardian. E remova a regra de proxy transparente do seu iptables.

Abraço!

eduardo
(usa Linux Mint)

Enviado em 25/06/2012 - 08:46h

Bom dia,

Na verdade o squid consegue tratar https, só não é possível fazer proxy tranparente.

Quanto à questão do pessoal "burlar" acessando através do IP, não acredito que possam ir muito longe, visto que os "links" do site são configurados através de IP. De qualquer forma, seria necessário bloquear os IPs. Recomendo utilizar o squidGuard para auxiliá-lo nessa tarefa (http://www.vivaolinux.com.br/artigo/SquidGuard-o-bloqueador-de-listas-para-o-Squid/).

jptudobem
(usa Debian)

Enviado em 25/06/2012 - 10:10h

Teste as regras:

acl dst_localnet dst 192.168.0.0/24 #Edite conforme sua rede.

acl ipurl dstdom_regex [0-9]+\.[0-9]+\.[0-9]+\.[0-9]+

http_access allow dst_localnet

http_access deny ipurl

 

eduardo
(usa Linux Mint)

Enviado em 25/06/2012 - 10:15h

Apenas para entendimento, com essa regra você bloqueia o acesso a todos os endereços de IP (exceto da sua rede). É uma ótima alternativa inclusive para vírus! Muito bem lembrado João Paulo.

lucas peregrino
(usa Debian)

Enviado em 26/06/2012 - 19:33h

Oi gente desculpe a demora para responde pois minha cidade ta tendo problemas com a net ai ta [*****] para conectar na adsl aqui agradeco a atencao de todos ai contudo to procurando uma resposta ainda preciso manter o proxy transparente e arumar uma forma de bloqueio no https sendo que vi o conselho de usar o squidguard ao invez de eu fazer isso eu editei a lista dele toda do squidguard para o squid contudo em relacao dos site funciona muito bem mais os ip n ai se cliente pinga na globo.com e pega o ip se eu nao fizer uma lista aparte nao funciona isso ta me mantando pois to lidando em lugares tao cheio de engracadinhos.

eduardo
(usa Linux Mint)

Enviado em 27/06/2012 - 08:23h

Você tentou adicionar a regra que o João Paulo colocou acima?
Ps: se você liberou no firewall a porta 443, não tem o que fazer. Tu precisa deixar ela fechada e marcar o proxy nas estações. Abrir a porta 443 é como abrir uma brecha de segurança.

lucas peregrino
(usa Debian)

Enviado em 28/06/2012 - 20:26h

Aqui adicionei sim contudo a porta esta aberta sim so n posso deixa algumas paginas q n posso deixa liberado

eduardo
(usa Linux Mint)

Enviado em 29/06/2012 - 08:05h

Como tu tens liberada a 443 no firewall (iptables), tu tens aberto uma "brecha de segurança". Digo isso porque qualquer um com um pouco mais de conhecimento pode aproveitar-se dessa liberação para navegar livremente sem bloqueios do proxy (fora a questão de vírus, entre outros).
Sendo assim, tu terás que bloquear manualmente, um a um, os endereços que você não quer que acesse, através do iptables, lembrando de colocar as regras antes da liberação da porta 443.

lucas peregrino
(usa Debian)

Enviado em 08/07/2012 - 10:24h

Obrigado ai com isso consegui resolver em partes o meu problema.