Bloquear facebook https

1. Bloquear facebook https

Ronaldo Esposito Sales
ronaldossouza

(usa Ubuntu)

Enviado em 20/09/2011 - 23:43h

Galera, estou com o seguinte problema.

Na empresa utilizo o squid "Transparent" e algumas regras básicas no firewall iptables.
Surgiu um problema.
com o squid eu consigo bloquear sites e etc.
mas existe um domínio do facebook que é https://pt-br.facebook.com.br , o qual o squi deixa passar.

Já olhei varias regras de iptables, portas e afins, só que não funcionou.

Alguém pode me ajudar?

a ultima regra que utilizei foi a seguinte:


iptables -A FORWARD -p tcp -d 66.220.149.18 -j REJECT
iptables -A FORWARD -p tcp -d facebook.com -j REJECT
iptables -A FORWARD -d 192.168.10.0/24 -s www.facebook.com -j DROP

Observação: Não posso redirecionar a porta " HTTPS " pois sites de bancos param de funcionar.

Des de já agradeço!


Abraços




  


2. Re: Bloquear facebook https

Renato Carneiro Pacheco
renato_pacheco

(usa Debian)

Enviado em 21/09/2011 - 00:13h

Um conselho: esqueça squid transparente e passe a usar squid autenticado, pois vai ficar complicado vc gerenciar todo o tráfego HTTPS. Caso queira arriscar nesse mundim, tente inserir essas regras:

iptables -I FORWARD -d pt-br.facebook.com.br -p tcp --dport 443 -j DROP

Reforçando, pense inserir um monte d endereço só pra impedir o acesso ao facebook... agora vamos impedir o orkut, twitter e afins! Haja saco!


3. Re: Bloquear facebook https

Thiago
thi

(usa Ubuntu)

Enviado em 22/09/2011 - 20:38h

renato_pacheco escreveu:

Um conselho: esqueça squid transparente e passe a usar squid autenticado, pois vai ficar complicado vc gerenciar todo o tráfego HTTPS. Caso queira arriscar nesse mundim, tente inserir essas regras:

iptables -I FORWARD -d pt-br.facebook.com.br -p tcp --dport 443 -j DROP

Reforçando, pense inserir um monte d endereço só pra impedir o acesso ao facebook... agora vamos impedir o orkut, twitter e afins! Haja saco!


Caro amigo Renato,

Estou na mesma situação do amigo acima, esta regra se perde automaticamente depois de um tempo, não sei pq....

tem ideia?

Abs.


4. Re: Bloquear facebook https

Ivo Becker
ivo.becker

(usa Debian)

Enviado em 22/09/2011 - 20:51h

use o Bind, pegue o dominio e atribua a ip ficticio...
obs: redirecione todo tráfego da porta 53 para o servidor bind local...


5. Re: Bloquear facebook https

Renato Carneiro Pacheco
renato_pacheco

(usa Debian)

Enviado em 23/09/2011 - 09:06h

ivo.becker escreveu:

use o Bind, pegue o dominio e atribua a ip ficticio...
obs: redirecione todo tráfego da porta 53 para o servidor bind local...


Isso é gambiarra, não aconselho...

Caro amigo Renato,

Estou na mesma situação do amigo acima, esta regra se perde automaticamente depois de um tempo, não sei pq....

tem ideia?

Abs.


Pode "se perder" pq talvez ele deva usar outros domínios para autenticar-se. Isso é ruim, pois vc terá dificuldades em achar quais endereços a bloquear. O iptables não foi feito para esse tipo d filtro. Por isso q aconselho o proxy autenticado, assim todo tráfego passará pelo squid, sem a interferência do iptables.


6. Testes

Ronaldo Esposito Sales
ronaldossouza

(usa Ubuntu)

Enviado em 23/09/2011 - 09:11h

Opa galera, valeu mesmo por hora...
Vou testar a questão do proxy autenticado amanhã.

Mas obrigado pela ajuda.

Seria muito bom se houvesse um meio com o squid transparente. Ainda estou em busca de tal solução.
Mas vou testar todas as possiveis.



7. Re: Bloquear facebook https

Renato Carneiro Pacheco
renato_pacheco

(usa Debian)

Enviado em 23/09/2011 - 09:26h

ronaldossouza escreveu:

Opa galera, valeu mesmo por hora...
Vou testar a questão do proxy autenticado amanhã.

Mas obrigado pela ajuda.

Seria muito bom se houvesse um meio com o squid transparente. Ainda estou em busca de tal solução.
Mas vou testar todas as possiveis.


Vc pode usar o WPAD para configurar automaticamente o proxy no navegador. Basta escolher a opção "Autodetectar as configurações de proxy para essa rede". Segue o link:

http://www.vivaolinux.com.br/artigo/Configuracao-automatica-(mesmo)-de-proxy-com-WPAD/?pagina=1


8. OPEN DNS

Ronaldo Esposito Sales
ronaldossouza

(usa Ubuntu)

Enviado em 18/07/2012 - 10:37h

Senhores, infelizmente todas as tentativas com squid transparent não foram bem sucedidas.
Porem, consegui com auxilio do OpenDNS.

Basicamente fiz o bloqueio no open dns, e instalei o client no servidor DNS.

Para liberar pra algum diretor ou gerente algum site ou dominio, eu fiz a reserva do IP no servidor DHCP, e adicionei um DNS publido antes dos DNS dos servidores. exemplo.

ip. 192.168.0.40 router 192.168.0.10 dns primário 8.8.4.4 secundário 192.168.0.3

Para os demais da rede( restritos ) deixei o padrão do primário 192.168.0.3 secundário 192.168.0.4

" até o presente momento esta funcionando. " .

Valeu.

Obrigado ai pela força..


Ronaldo.



  



Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts