Facebook burlando Squid Cruel Tô louco já!

removido
(usa Nenhuma)

Enviado em 22/02/2012 - 21:37h

Prezados,

Primeiramente sou novo no Viva o Linux mais em fim cheguei na área pra somar!!

Bom vamos a minha dúvida (luta) cruel:

Tenho um squid funcionando maravilhosamente bem!!

Adiciono normalmente regras de restrição e liberação do jeito que eu bem entendo lindo!!

Só estou tendo um problema que está me matando.... e pra variar é o inferno do facebook!

Calma vou explicar ....

Tenho o horário de liberação de 11:58-1258. Nesse horário é liberado facebook orkut youtube em fim "redes sociais" de menos downloads e pornografia.

Ai vem o problema...

Quando exede o horário os usuários que estão no facebook logados continuam acessando a pragabook normalmente. Lembrando que se abrir outra aba e digitar facebook já é negado! ou seja a regra funciona mais não funciona (!!!Meia boca!!!).

Bom já consegui por partes resolver criando no crontab a regra que restarta o squid as 12:59. Funcionou bem! com usuários que navegam usando o internet Explorer (trava na hora) Mais quem usa usa firefox não faz nem cossegas o pragabook continua logado INCRÍVELLLLLLL .... O resto dos sites restritos não entram, apenas esse pequeno grande detalhe está me quebrando as pernas. Alguém tem alguma dica que eu possa tentar ? Agradeço D+! Abraço Samu!

removido
(usa Nenhuma)

Enviado em 22/02/2012 - 21:41h

Já tentou usar algumas regra do iptables para auxiliar no bloqueio ?

removido
(usa Nenhuma)

Enviado em 22/02/2012 - 21:50h

Eabreu ,

Até pensei nessa opção! mas...

Como eu poderia adicionar uma regra no firewall sem bloquear a diretoria e os que podem acessar redes sociais? não iria embolar tudo? dá a moral ai! vlw!!

removido
(usa Nenhuma)

Enviado em 22/02/2012 - 22:02h

Bom... respondendo as sua pergunta poderia se basear no endereço ip das máquinas, caso as mesmas usem ips fixos.

porém o primeiro passo para bloquear de uma forma bem eficaz seria bloqueando os endereços que o facebook usa para se autenticar e se comunicar, como por exemplo, portas de comunicação que o mesmo usa, endereços que ele usa para estabelecer conexão e fazer os usuários cadastrados no mesmo se comunicar com os outros.

removido
(usa Nenhuma)

Enviado em 22/02/2012 - 22:15h

Eabreu,
Até entendí o que quiz dizer e realmente seria uma forma sim de blokear! mais imagina comigo... Tenho 250 máquinas que serão desblokeadas na hora do almoço sendo que algumas são reservadas no DHCP do SERVER 2008 outras não, por isso cadastrei todas por mac. Lembrando que diretoria e gerentes chatíssimos com 30 anos de empresa nem posso imaginar blokear. Se não conseguir resolver isso terei infelizmente que retirar o horário do almoço e isso vai dar um bafafá.. Nem quero ser eu!! Estou aqui olhando algumas regras de iptables quem sabe bolo alguma coisa no cron pra isso! Valeu amigo por estar comigo ajudando! precisando tô aqui tb ok!

removido
(usa Nenhuma)

Enviado em 22/02/2012 - 22:27h

Não sei se é seu caso, mas o grande problema é que o facebook usa a porta 443 para se conectar também.

removido
(usa Nenhuma)

Enviado em 22/02/2012 - 22:57h

Cara tava tentando exatamente isso!! que coincidência

tentei algo parecido com a regra de acl abaixo:
mais continua a mesma coisa (quando já logado) o firefox continua navegando no pragabook incrível como só com ele acontece isso o internet explore normal nunca vi nada parecido em todo tempo que tenho de linux.... Outra coisa continuo com o problema de negar a galera toda.. fiz mais pra teste mesmo...

############## HORA DO ALMOCO ########################

acl liberado time MTWHF "/etc/squid/relogio"
acl h_rede src 192.168.1.0/255.255.255.0
acl p_libera dstdom_regex "/etc/squid/libera_palavra_almoco"
acl horario dstdomain "/etc/squid/site.almoco"

######## A REGRA DO PRAGABOOK ESTA AQUI(TESTE) ##############

acl pragabook port 443
http_access deny h_rede pragabook

######################################################

http_access allow liberado h_rede horario
http_access allow liberado p_libera
http_access allow liberado horario

#### NAVEGAO LIBERADA NO FIM DE SEMANA ####

acl fim_de_semana time SS
http_access allow fim_de_semana

removido
(usa Nenhuma)

Enviado em 22/02/2012 - 23:13h

Vou enviar o Squid para verificar mais creio que não vamos resolver tão fácil ..


################# SQUID PROXY ############

http_port 3128 transparent
visible_hostname fredoom

cache_mem 64 MB
maximum_object_size_in_memory 64 KB
maximum_object_size 700 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid 2048 16 256
cache_access_log /var/log/squid/access.log
refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 21 80 443 563 70 210 280 488 59 777 901 1025-65535
acl purge method PURGE
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports


####################### HORARIO LIBERADO #####################


#### HORARIO LIVRE PARA NAVEGAO #####

acl liberado time MTWHF "/etc/squid/relogio"
acl h_rede src 172.16.1.0/16
acl p_libera dstdom_regex "/etc/squid/libera_palavra_almoco"
acl horario dstdomain "/etc/squid/site.almoco"

http_access allow liberado h_rede horario
http_access allow liberado p_libera
http_access allow liberado horario

#### NAVEGAO LIBERADA NO FIM DE SEMANA ####

acl fim_de_semana time SS
http_access allow fim_de_semana

######################### GRENTE INFORMATIZADO ###############


#### EXCECAO SOCIAIS C/ DOWNLOADS VIDEOS #### > Faz download porém nao acessa pornografia

acl excecao_ip2 src "/etc/squid/ip_excecao2"
acl excecao2 url_regex "/etc/squid/excecao"
http_access allow excecao2 excecao_ip2

#### LIBERANDO DOWNLOAD ####

acl exc_dow src "/etc/squid/ip_excecao2"
acl downloads2 url_regex -i "/etc/squid/downloads"
http_access allow downloads2 exc_dow

#### PALAVRAS EXCECOES REDES SOCIAIS ####

acl execoes_plv src "/etc/squid/ip_excecao2"
acl palavras_exc dstdom_regex "/etc/squid/palavras_ecessoes
http_access allow execoes_plv palavras_exc

#### LIBERANDO VIDEOS ####

#acl exc_dow src "/etc/squid/ip_excecao1"
#acl downloads2 url_regex -i "/etc/squid/downloads2"
#http_access allow downloads2 exc_dow


######################### GERENTE NAO CONFIAVEL ###############


#### EXCECAO REDES SOCIAIS E VIDEOS #### > Nao faz download e nao acessa pornografia

acl excecao_ip src "/etc/squid/ip_excecao1"
acl excecao url_regex "/etc/squid/excecao"
http_access allow excecao excecao_ip

#### PALAVRAS EXCECOES REDES SOCIAIS ####

acl execoes_plv src "/etc/squid/ip_excecao1"
acl palavras_exc dstdom_regex "/etc/squid/palavras_ecessoes
http_access allow execoes_plv palavras_exc

#### LIBERANDO VIDEOS ####

#acl exc_dow src "/etc/squid/ip_excecao1"
#acl downloads2 url_regex -i "/etc/squid/downloads2"
#http_access allow downloads2 exc_dow


##############################################################

#### GRUPO DE IP LIBERADO ####

acl liberados src "/etc/squid/liberados"
http_access allow liberados

##############################################################

#### GRUPO DE IP NEGADO ####
acl negados src "/etc/squid/negados"
http_access deny negados

########################## DOWNLOADS #########################

#### BLOQUEIA DOWNLOADS ####

acl downloads url_regex -i "/etc/squid/downloads"
deny_info http://www.xxx.com.br/squid/downloads.html">http://www.xxx.com.br/squid/downloads.html downloads

http_access deny downloads

############################ REDES SOCIAIS #################

#### BLOQUEIA REDES SOCIAIS ####

acl redes_sociais url_regex -i "/etc/squid/redes_sociais"
deny_info http://www.xxx.com.br/squid/sociais.html">http://www.xxx.com.br/squid/sociais.html redes_sociais
http_access deny redes_sociais

############################### SITES PROIBIDOS ###############

#### SITES PROIBIDOS ####

acl sites_proibidos url_regex -i "/etc/squid/sites_proibidos"
deny_info http://www.xxx.com.br/squid/proibidos.html">http://www.xxx.com.br/squid/proibidos.html sites_proibidos
http_access deny sites_proibidos

########################### PORNOGRAFIA ########################

#### SITES PORNOGRAFICOS ####

acl pornografia url_regex -i "/etc/squid/pornografia
deny_info http://www.xxx.com.br/squid/[*****].html pornografia
http_access deny pornografia

#### PALAVRAS PORNOGRAFICAS ####

acl palavras_porn dstdom_regex "/etc/squid/palavras_porn
deny_info http://www.xxx.com.br/squid/pporn.html palavras_porn
http_access deny palavras_porn

########################### PALAVRAS PROIBIDAS ##################

#### PALAVRAS PBOIBIDAS ####

acl palavras dstdom_regex "/etc/squid/palavras"
deny_info http://www.xxx.com.br/squid/palavras.html palavras
http_access deny palavras

######################### GOOGLE IMAGENS E VIDEOS ##############

#### GOOGLE IMAGENS ####

acl google_imagens url_regex "/etc/squid/google_imagens"
deny_info http://www.xxx.com.br/squid/imagens.html google_imagens
http_access deny google_imagens

##################### MAC BLOQUEIA OU NEGA #####################

acl mac_libera arp "/etc/squid/mac_libera"
http_access allow mac_libera

acl mac_nega arp "/etc/squid/mac_nega
http_access deny mac_nega

############################### GERAIS ########################

acl redelocal src 172.16.1.0/16
http_access allow localhost
http_access allow redelocal
http_access deny all

andrecanhadas
(usa Debian)

Enviado em 23/02/2012 - 14:06h

Seguindo uma dica do próprio eabreu montei algo para bloqueio de facebook e youtube por https:
http://www.vivaolinux.com.br/dica/Bloquear-Facebook-e-Youtube-por-HTTPS

Tenho a mesma regra que libera as redes sociais no almoço e alem das regas do squid tenho um outro firewall que roda nos horários de liberação ou bloqueio.

## Crontab
00 12,19 * * 1-5 /usr/local/bin/horario.sh # Libera Segunda a sexta a 12:00 e as 19:00
00 06,13 * * 1-5 /usr/local/bin/firewall.sh # # Bloqueia Segunda a sexta a 13:00 e as 6:00

andrecanhadas
(usa Debian)

Enviado em 29/02/2012 - 15:46h

Já tentou o que sugeri acima?

removido
(usa Nenhuma)

Enviado em 11/05/2012 - 12:26h

Olha o script do link abaixo com dica do andrecanhadas que acho que dá certo.

http://www.vivaolinux.com.br/topico/Squid-Iptables/Bloqueio-do-https-do-Facebook?pagina=4&num_po...

jptudobem
(usa Debian)

Enviado em 12/05/2012 - 09:34h

E se vc diminuir o parametro do Squid:

auth_param basic credentialsttl 1 hour 

?