Bloqueando acesso HTTPS ao Facebook

wagner7br
(usa Suse)

Enviado em 10/08/2013 - 14:10h

Pessoal desculpa a demora é que ficou corrido aqui..

uma solução legal seria usar uma faixa de ips que seriam liberados...

como?

no seu firewall crie um variavel ex.: RANGE_LAN e nela defina os ips que terão acesso livre.

E na regra de onde esta a string aponte a sua variavel

ex.: iptables -I FORWARD -p tcp -m iprange --src-range $RANGE_LAN -m string --algo bm --string "facebook.com" -j ACCEPT

Acho que daria certo...

Eu geralmente bloqueio geral.. outra opção defina horarios no seu squid.

as 08:00 as 11:30 bloqueado
das 11:30 as 13:00 liberado
das 13:00 as 19:00 bloqueado

legal tbm

stefaniobrunhara
(usa CentOS)

Enviado em 11/08/2013 - 11:34h

Desta forma é mais prático do que reservar ip.

Buckminster
(usa Debian)

Enviado em 12/08/2013 - 02:25h

Exatamente.
Antes ele colocou todas as regras numeradas como 1 daí o Iptables considerou a última como sendo a única válida. Por isso algumas máquinas não funcionaram.

É preciso numerar as regras com -I em sequência: 1, 2, 3, etc...

rrafael
(usa Debian)

Enviado em 18/09/2013 - 17:16h

Pessoal resolvi isso no squid 3


#1: Criar acl
acl redelocal src 192.168.10.0/24

#2: sites bloqueados
acl fb dstdomain .facebook.com

#3: acl domingo a segunda das 08:00 as 19:00
acl redelocal time MTWHFA 08:00-19:00

#4: aqui voce nega
http_reply_access deny fb redelocal officetime

#5: Regras pela hora
http_access deny CONNECT fb redelocal officetime


Abraço..!!

Diego-Garcia
(usa Linux Mint)

Enviado em 19/09/2013 - 13:00h

Parece fácil de implementar, e como ficaria estas regras se no caso, eu bloqueasse geral e liberar para alguns MAC's ou IP's?

Buckminster
(usa Debian)

Enviado em 19/09/2013 - 21:02h

Faça pelo Iptables.
Liberar por mac:
iptables -t filter -A FORWARD -d 0/0 -m mac --mac-source xx:xx:xx:xx:xx:xx -j ACCEPT

Liberar por IP:
iptables -t nat -A FORWARD -d 0/0 -p tcp -s xxx.xxx.xxx.xxx -j ACCEPT

Para bloquear geral, bloqueia nas políticas padrões.

Fale com o Manuel:
http://www.vivaolinux.com.br/artigo/Manual-do-IPtables-Comentarios-e-sugestoes-de-regras?pagina=1

Pelo Squid é só criar ACLs com IPs e MACs:

acl ip_liberado src "/caminho/do/arquivo/ip_liberado"
acl mac_liberado arp "caminho/do/arquivo/mac_liberado"
acl localnet src xxx.xxx.xxx.xxx/xx


http_reply_access allow ip_liberado
http_reply_access allow mac_liberado

e termina bloqueando a rede local:
http_access deny localnet

Mas adapta aí para o teu squid.conf. Eu nem gosto muito de dar sugestões em ACLs e regras do Iptables assim isoladas, pois a posição delas no conjunto influencia bastante.

janduy
(usa CentOS)

Enviado em 09/05/2014 - 17:01h

Boa tarde Pessoal eu tenho o mesmo problema com essa porta 443.

Porem quando eu bloqueio a porta 443, começar dar bug nos sites do banco e outros que utiliza a mesma porta, e por isso é necessario uma solução por que os usuarios em produção não da para ficar derrubando os acesso e voltando.

Eu já tentei direrionar os acessos da 443 para a porta do squid mais começou a da bug de SSL ai voltei o que estava.

Alguém pode me ajudar???

l0g1in
(usa FreeBSD)

Enviado em 10/05/2014 - 10:17h

Caro janduy,
Tenta assim logo após acl CONNECT method CONNECT

acl face dstdomain .facebook.com
acl face dstdomain www.facebook.com
acl face dstdomain .facebook.com.br
acl face dstdomain www.facebook.com.br
acl face dstdomain .pt-br.facebook.com
acl face dstdomain www.pt-br.facebook.com

http_reply_access deny face localnet # no caso localnet será o nome da sua rede exemplo minha_lan
http_access deny CONNECT face localnet

agora você pode trabalhar com outras regras tipo liberar o face pra alguem e talz..

ailtonfurtado
(usa Ubuntu)

Enviado em 16/06/2014 - 16:19h

Pessoal eu não estou usando proxy transparente e mesmo assim não consigo bloquear sites que usam https.

alguém pode me ajudar informando quando uma forma de bloquear alguns sites que usam https?

sites que quero bloquear:
https://www.facebook.com.br dentre outros.

desde já agradeço.

lucasmoreira
(usa Ubuntu)

Enviado em 16/06/2014 - 17:34h

Ola amigos, vi uns dizendo que nao funciona squid com https, e outros dizendo que sim.

Seguinte li muitos artigos de squid na internet, praticamente todos, e certo é que HTTPS nao é bloqueado por squid 2.7, pois ele somente repassa os https por ser conexão seguram NENHUM HTTPS é bloqueado pelo squid 2.7 por este motivo, caso redirecionem porta aparece erro de SSL, as veses o face vai bloquear, e o youtube por exemplo, porem podem ter certeza que na pagina do navegador o HTTPS nao aparece, no momento em que o HTTPS entrar em cena ele quebra o squid 2.7. dai dessa forma fica muito ruim.
Li por diversas veses que quando a GOOGLE passou todos seus dominios para HTTPS, incluindo o youtube e o proprio motor de busca, foi atualizado o SQUID para uma versao 3.0, saindo no ubuntu 14.04 aonde com um certo trabalho pega as HTTPS. Vale ressaltar que nunca fiz um squid 3.0 apenas li.

lucasmoreira
(usa Ubuntu)

Enviado em 16/06/2014 - 17:35h

Porem nada passa do pai dos bloqueios IPTABLES, com este sim é possivel trancar de vez o face com UMA, somente UMA regrinha no iptables...


"Iptables –A POSTROUTING –s 10.0.0.0/8 –m string - -algo bm - -string “________.___” –j DROP"
OU
"Iptables –A INPUT –s 10.0.0.0/8 –m string - -algo bm - -string “______.___” –j DROP"

Na minha empresa tenho um squid bem simples bloqueando as pragas da internet e as redes sociais, alguns proxys externos, e tudo que vejo que é acessado pelo relatorio do SARG.

Tudo que aparece ser acessado em HTTPS crio a STRING por esta regra do IPTABLES e DROPO os espertinhos. Somente com esta regra, pois no squid nada adianta fazer quando a https.

Dever ser automativo, viu https, DROPA o dominio, muito mais pratico.

espero que as duvidas sejam sanadas...

meetgyn
(usa Suse)

Enviado em 09/07/2014 - 10:14h

Meu velho, parabéns.. Funciona perfeito, somente para youtube que nao deu, mas o facebook barrou de boa. Muitos reclamam do proxy transparente, porem pensa colocar proxy nos navegadores em uma empresa com mais de 500 usuário, fora os visitantes que chegam toda hora.
Dessa forma além de bloquear não precisei me preocupar com o DHCP mudando os ips toda hora. Único problema que teria seria os chefões que usavam dhcp, mais sanei esse problema setando ip fixo nos mesmo. Valeu demais pela contribuição