Bloquear proxies externos

m4gnet0
(usa Debian)

Enviado em 26/03/2008 - 21:38h

Boa galera vem aqui debater um pouco sobre firewall, eu adoro o iptables principalmente com o layer7.
Bom, andei navegando na internet a procura de uma solução que realmente funcionasse no que se diz respeito a bloqueio de urls ou os famosos sites a exemplo temos o www.youtube.com e o grande causador de polemica o www.orkut.com, eu achei uma porrada de regras para o iptables bloquear esses endereços e o impressionante é que funciona MASSSS quem não conhece os proxys externos? Pode aparecer alguém aí que diga: isso é simples use o squid transparente de preferência e barre a palavra PROXY que simples não? então pra quem sabe que esse problema existe e não é uma simples regra que irá resolver mesmo porque nem todos os proxys tem como o seu endereço www.proxy.***** o que fazer então? sabemos que a maioria dos proxys externos não usa a expressão proxy você pode testar digitando a exemplo o site www.123321.info e então não nada simples como muitos mostram por aí com suas regras que só funciona se estiver lidando com usuários leigos.
Mas eu venho em busca de uma resposta simples, existe como realmente barrar os proxys externos sem ter que fazer uma lista com todos os proxys existentes mesmo porque iríamos passar o dia todo adicionando links a nossa infinita lista, ou não temos como barrar isso?
Encontrei em vários sites inclusive nesse, regras que realmente funciona mas se eu adiciono a regra pra bloquear a url www.orkut.com e vou empolgado até o meu browser testar digitando www.orkut.com e vejo que ele fica carregando e carregando até dizer que a pagina não pode ser exibida, então tenho meu momento de gloria mas dirrepente vem uma pessoa do meu lado e diz acesse um site chamado por exemplo o www.123321.info e digite nele a url www.orkut.com e do nada o site abre, como você se sente? o que você bloqueou realmente com aquela regra?
por fim venho pedir ajuda, alguém tem alguma idéia de como barra os proxys externos? existe essa possibilidade? tem alguém que tem o interesse de fazer uma pesquisa sobre esse assunto?

Fico no aguardo de uma resposta que acredite eu sei que não é simples.

sneeps.ninja
(usa Debian)

Enviado em 08/10/2013 - 08:22h

Cara sei que estou respondendo 5 anos depois do seu post, mas pelo menos estou respondendo para caso outra pessoa venha a cair aqui nesta sua dúvida.
Estava com o mesmo problema e para estes usuários que usam de medidas "drásticas" se faz necessário soluções drásticas também.
Fiz bloqueio de tudo no http e https(80 e 443) você consegue fazer isso com o squid, na versao 3 ele bloqueia a porta https mas é bem trabalhoso configurar ele assim, então fiz só a porta 80 nele e iptables no 443.
E de hoje em diante cada site que alguém quiser fazer acesso é solicitado ao administrador da rede que vai liberar atraves de uma whitelist se o site vai ser liberado ou não, dai para frente se houver níveis de acesso tipo um gerente quiser acessar um site que os demais não podem faço outra whitelist e carrego só para os gerentes o resto deixo tudo bloqueado e boa, solução extrema para necessidades extremas ;)
Obs: Preciso dizer alguns detalhes... Proxy transparente e umas diretivas de segurança para garantir a saida pelo seu firewall

Aquele abraço!