bloqueio https

viniciuspedra
(usa Debian)

Enviado em 15/07/2013 - 08:09h

prezados bom dia!

tenho um servidor em que está rodando de forma transparente. este mesmo servidor tem um controle por endereço mac onde que somente os listados tem a liberação para acesso a internet.
acontece que descobri que os não listados estão tendo acesso normalmente pelo modo https, ou seja, se o cara não tem permissão para acessar, se ele acessar por exemplo o facebook pelo https ele terá acesso normalmente....
como faço para que o bloqueio seja efetivo?

asparion
(usa Ubuntu)

Enviado em 15/07/2013 - 08:22h

Bom dia. cria uma acl para bloqueio de palavras. exemplo.

acl palavras_bloqueadas url_regex -i "/etc/squid/palavras_bloqueadas"

http_access deny palavras_bloqueadas  

cria o arquivo

vim /etc/squid/palavras_bloqueadas 

e digita as palavras exemplo:

facebook

orkut

youtube

 

mas creio eu que o proxy transparent nao atua nas SSL talvez seje melhor voce fazer o redirecionamento das portas 80 e 443 para o squid

iptables -t nat -I PREROUTING -i eth0 -p tcp -s 192.168.1.0/24 -m multiport --dport 80,443 -j REDIRECT --to-port 3128 

considerando que:
eth0= interface de entrada de link
192.168.1.0/24= seje sua rede local
3128= porta do squid

mude ao que se adeque a voce ai, faz um teste e poste aqui..

abraços

saitam
(usa Slackware)

Enviado em 15/07/2013 - 08:27h

proxy transparente para bloqueio do facebook apenas essa regra funciona definitavamente

iptables -I FORWARD -m string --algo bm --string "facebook.com" -j DROP

viniciuspedra
(usa Debian)

Enviado em 15/07/2013 - 08:30h

bom dia asparion!
já tenho o arquivo com as palavras bloqueadas, mas não posso colocar por este método pois os demais que estão com os macs liberados na lista devem ter acesso a todos os sites...

posso redirecionar a porta 443 para a 3128 tmb?

viniciuspedra
(usa Debian)

Enviado em 15/07/2013 - 08:32h

saitam bom dia!
desta forma irei bloquear a toda rede o que não é a intenção.. valeu!

l0g1in
(usa FreeBSD)

Enviado em 15/07/2013 - 09:34h

coloca dentro de um arquivo /etc/bloq_face.txt

31.13.69.49
173.252.110.20/18
65.201.208.24/29
65.204.104.128/28
66.93.78.176/29
66.92.180.48/28
67.200.105.48/30
69.63.176.0/20
69.171.224.0/19
74.119.76.0/22
204.15.20.0/22
204.15.20.0/22
66.220.144.0/20
173.252.64.0/18
65.201.208.24/29
65.204.104.128/28
66.93.78.176/29
66.92.180.48/28
67.200.105.48/30
69.63.176.0/20
69.171.224.0/19
74.119.76.0/22
204.15.20.0/22
204.15.20.0/22
66.220.144.0/20
173.252.64.0/18
173.252.110.27

no iptables
for end in `cat /etc/bloq_face.txt`
do
iptables -A OUTPUT -d $end -p tcp --dport 443 -j REJECT
iptables -A FORWARD -d $end -p tcp --dport 443 -j REJECT
iptables -A INPUT -s $end -p tcp --dport 443 -j REJECT
done

libera 443 somente para os ips listador
iptables -A FORWARD -p tcp --destination-port 443 -s 192.x.x.x -j ACCEPT
iptables -A INPUT -p tcp --destination-port 443 -s 192.x.x.x -j ACCEPT
iptables -A INPUT -p tcp --destination-port 443 -s 192.x.x.x -j ACCEPT

as ultimas regras deve vir antes dos bloqueios.
http://bgp.he.net pega os ip do facebook.

viniciuspedra
(usa Debian)

Enviado em 15/07/2013 - 09:37h

valeu a intenção aletrindadee mas eu não quero bloquear somente o face...
o face eu citei como exemplo...
onde que se o acesso está bloqueado para a pessoa, se ele colocar o https ele vai conseguir navegar normalmente..
mas isso ocorre pois é proxy transparente e terei que redirecionar a porta https

asparion
(usa Ubuntu)

Enviado em 15/07/2013 - 10:10h

Amigo quem ta liberado por mac nao e atingido pelo acl bloqueio de palavras fica tranquilo, desde que a regras acl bloqueio de palavras esteje abaixo da acl de mac. pois como o iptables as regras sao lidas de cima pra baixo.

eu tive esse problema igual vc, pode redirecionar as portas 80 e 443 para o squid que vai resolver.

outra coisa voce esta usando o wpad para enviar o proxy automatico para as maquinas.

pq esta usando proxy transparete, usa proxy manual e deixa o wpad se encarregar de enviar o proxy para as maquinas.

se precisar de ajuda estamos ai..

abraço

viniciuspedra
(usa Debian)

Enviado em 15/07/2013 - 10:19h

legal asparion, vou redirecionar e ver no que vai dar...
valeu!