Bloqueio de https para facebook

isabellabelarte
(usa Ubuntu)

Enviado em 17/10/2012 - 10:26h

Bom dia meninos, estou com um problema, tenho proxy squid e firewall iptables, mas estou com um problema os usuarios
estão colocando o s na frente do http ---> https://www.facebook.com.br e assim o sistema não esta conseguindo bloquear, alguem pode me dar uma dica como implantar uma solução referente a isso, segue os conf do squid e firewall.

# [ Configuração de Portas e Nomes ]
http_port 10.2.111.150:5005
icp_port 3130
visible_hostname cpdcotac
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
error_directory /usr/share/squid/errors/Portuguese

# [ Melhoramento do Sistema e Cache ]
maximum_object_size 1024 MB
minimum_object_size 10 KB
cache_swap_low 50
cache_swap_high 90

# Log do Sistema
cache_access_log /var/log/squid/access.log
cache_store_log /var/log/squid/store.log
cache_log /var/squid/logs/cache.log

# Montando a Cache do sistema
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320

# Diretorios de cache
cache_dir ufs /var/spool/squid/squid1 3000 20 384
cache_dir ufs /var/spool/squid/squid2 3000 20 384
cache_dir ufs /var/spool/squid/squid3 3000 20 384
cache_dir ufs /var/spool/squid/squid4 3000 20 384
cache_dir ufs /var/spool/squid/squid5 3000 20 384
cache_dir ufs /var/spool/squid/squid6 3000 20 384
cache_dir ufs /var/spool/squid/squid7 3000 20 384
cache_dir ufs /var/spool/squid/squid8 3000 20 384
cache_dir ufs /var/spool/squid/squid9 3000 20 384
cache_dir ufs /var/spool/squid/squid10 3000 20 384

cache_mem 3000 MB

# [ Autenticação de Usuários ]
auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/users/usuarios
auth_param basic children 5
auth_param basic realm CPD COTAC - ENTRE COM SEU LOGIN E SENHA :
auth_param basic credentialsttl 1 hours
auth_param basic casesensitive off

# Autenticacao no FTP
ftp_user user:pass@
ftp_list_width 32
ftp_passive on
# dns_nameservers 10.2.111.150




# [ Controle de Acessos ]
acl all src 0.0.0.0/0.0.0.0
delay_pools 1
delay_class 1 2
delay_parameters 1 194688/194688 39768/39768
delay_access 1 allow all
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8

# [ Controle de Acessos - Safe Ports ]
acl Safe_ports port 20 21
acl Safe_ports port 70
acl Safe_ports port 80
acl Safe_ports port 81
acl Safe_ports port 83
acl Safe_ports port 89
acl Safe_ports port 210
acl Safe_ports port 280
acl Safe_ports port 443 563
acl Safe_ports port 488
acl Safe_ports port 591
acl Safe_ports port 631
acl Safe_ports port 809
acl Safe_ports port 6666
acl Safe_ports port 873
acl Safe_ports port 1025
acl Safe_ports port 2080
acl Safe_ports port 8070
acl Safe_ports port 8080
acl Safe_ports port 8856
acl Safe_ports port 8090

# [ Controle de Acessos - SSL Ports ]
acl SSL_ports port 443 563
acl SSL_ports port 873
acl purge method PURGE
acl CONNECT method CONNECT
no_cache deny QUERY
http_access allow connect SSL_Ports

# [ Controle de Acessos - Http Access ]
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access deny to_localhost

# [ ACLs Personalizadas ]

acl rede_interna src 10.2.111.0/24
acl usuarios proxy_auth /etc/squid/users/usuarios

acl ftp proto FTP
http_access allow ftp

#####libera SETI#####
acl setigm dstdomain seti.br.gm.com/seti.html
always_direct allow setigm
#######

acl win url_regex -i "/etc/squid/regras/win"
http_access allow all win

acl sitesgm dstdomain "/etc/squid/regras/sitesgm"
http_access allow sitesgm

acl seti dstdomain "/etc/squid/regras/seti"
http_access allow seti

# ---- Usuarios com acesso livre
acl acesso_livre proxy_auth "/etc/squid/regras/usr_livre"
http_access allow acesso_livre



### Regras por Grupos ###
# Grupo vendas
acl grupovendas proxy_auth "/etc/squid/regras/grupos/vendas/usr_vendas"
acl url_liberado_vendas url_regex -i "/etc/squid/regras/grupos/vendas/url_liberado_vendas"
#
http_access allow url_liberado_vendas
http_access deny grupovendas !url_liberado_vendas
http_access allow usuarios grupovendas
#
# Grupo TEC
acl grupotec proxy_auth "/etc/squid/regras/grupos/tec/usr_tec"
acl url_liberado_tec url_regex -i "/etc/squid/regras/grupos/tec/url_liberado_tec"
#
http_access allow url_liberado_tec
http_access deny grupotec !url_liberado_tec
http_access allow usuarios grupotec
#
# Grupo Servicos
acl gruposervicos proxy_auth "/etc/squid/regras/grupos/servicos/usr_servicos"
acl url_liberado_servicos url_regex -i "/etc/squid/regras/grupos/servicos/url_liberado_servicos"
#
http_access allow url_liberado_servicos
http_access deny gruposervicos !url_liberado_servicos
http_access allow usuarios gruposervicos
#
# Grupo adm
acl grupoadm proxy_auth "/etc/squid/regras/grupos/adm/usr_adm"
acl url_liberado_adm url_regex -i "/etc/squid/regras/grupos/adm/url_liberado_adm"
#
http_access allow url_liberado_adm
http_access deny grupoadm !url_liberado_adm
http_access allow usuarios grupoadm

##### teste usuario a usuario
acl suporte proxy_auth "/etc/squid/teste/usr_cpd01"
acl url_liberado_cpd01 url_regex -i "/etc/squid/teste/url_liberado_cpd01"
#
http_access allow url_liberado_cpd01
http_access deny suporte !url_liberado_cpd01
http_access allow usuarios suporte

##### usuario eduardocastro
acl eduardocastro proxy_auth "/etc/squid/regras/usuarios/eduardocastro/usr_eduardocastro"
acl url_liberado_eduardocastro url_regex -i "/etc/squid/regras/usuarios/eduardocastro/url_liberado_eduardocastro"
#
http_access allow url_liberado_eduardocastro
http_access deny eduardocastro !url_liberado_eduardocastro
http_access allow usuarios eduardocastro

#### usuario kamila vendas diretas
acl jussara proxy_auth "/etc/squid/regras/usuarios/jussara/usr_jussara"
acl url_liberado_jussara url_regex -i "/etc/squid/regras/usuarios/jussara/url_liberado_jussara"
#
http_access allow url_liberado_jussara
http_access deny jussara !url_liberado_jussara
http_access allow usuarios jussara
#

#### usuario renato
acl renato proxy_auth "/etc/squid/regras/usuarios/renato/usr_renato"
acl url_liberado_renato url_regex -i "/etc/squid/regras/usuarios/renato/url_liberado_renato"
#
http_access allow url_liberado_renato
http_access deny renato !url_liberado_renato
http_access allow usuarios renato
#

#
#http_access allow usuarios acesso_livre
#http_access allow usuarios acesso_restrito
#http_access allow usuarios acesso_bloqueado
#http_access allow usuarios acesso_extencao
#http_access allow usuarios suportecpd

acl nfe dstdomain "/etc/squid/regras/nfe"
http_access allow nfe

### # ACLS
# acl bandabaixa proxy_auth milena leila maria jose
# acl bandamedia proxy_auth sergio henrique
# acl bandaalta proxy_auth gustavo cpd
#acl bandaalta src 192.168.1.150

# Delay Pools

#delay_pools 3

------------------------------------------------------------------------------------------------------------------

#!/bin/sh

# Variáveis
# -------------------------------------------------------
iptables=/sbin/iptables
IF_INTERNA=eth0
IF_EXTERNA=eth1
IF_EXTERNA2=eth2

# Ativa modulos
# -------------------------------------------------------
/sbin/modprobe iptable_nat
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ip_nat_pptp
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_REJECT
/sbin/modprobe ipt_MASQUERADE

# Ativa roteamento no kernel
# -------------------------------------------------------
echo "1" > /proc/sys/net/ipv4/ip_forward

# Proteção contra IP spoofing
# -------------------------------------------------------
echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter

# Zera regras
# -------------------------------------------------------
$iptables -F
$iptables -X
$iptables -F -t nat
$iptables -X -t nat
$iptables -F -t mangle
$iptables -X -t mangle

# Determina a política padrão
# -------------------------------------------------------
$iptables -P INPUT DROP
$iptables -P OUTPUT DROP
$iptables -P FORWARD DROP

#################################################
# Tabela FILTER
#################################################

# Dropa pacotes TCP indesejáveis
# -------------------------------------------------------
$iptables -A FORWARD -p tcp ! --syn -m state --state NEW -j LOG --log-level 6 --log-prefix "FIRE: NEW sem syn: "
$iptables -A FORWARD -p tcp ! --syn -m state --state NEW -j DROP

# Dropa pacotes mal formados
# -------------------------------------------------------
$iptables -A INPUT -i $IF_EXTERNA -m unclean -j LOG --log-level 6 --log-prefix "FIRE: pacote mal formado: "
$iptables -A INPUT -i $IF_EXTERNA -m unclean -j DROP

# Aceita os pacotes que realmente devem entrar
# -------------------------------------------------------
$iptables -A INPUT -i ! $IF_EXTERNA -j ACCEPT
$iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$iptables -A OUTPUT -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
$iptables -A FORWARD -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT

# Proteção contra trinoo
# -------------------------------------------------------
$iptables -N TRINOO
$iptables -A TRINOO -m limit --limit 15/m -j LOG --log-level 6 --log-prefix "FIRE: trinoo: "
$iptables -A TRINOO -j DROP
$iptables -A INPUT -p TCP -i $IF_EXTERNA --dport 27444 -j TRINOO
$iptables -A INPUT -p TCP -i $IF_EXTERNA --dport 27665 -j TRINOO
$iptables -A INPUT -p TCP -i $IF_EXTERNA --dport 31335 -j TRINOO
$iptables -A INPUT -p TCP -i $IF_EXTERNA --dport 34555 -j TRINOO
$iptables -A INPUT -p TCP -i $IF_EXTERNA --dport 35555 -j TRINOO

# Proteção contra tronjans
# -------------------------------------------------------
$iptables -N TROJAN
$iptables -A TROJAN -m limit --limit 15/m -j LOG --log-level 6 --log-prefix "FIRE: trojan: "
$iptables -A TROJAN -j DROP
$iptables -A INPUT -p TCP -i $IF_EXTERNA --dport 666 -j TROJAN
$iptables -A INPUT -p TCP -i $IF_EXTERNA --dport 666 -j TROJAN
$iptables -A INPUT -p TCP -i $IF_EXTERNA --dport 4000 -j TROJAN
$iptables -A INPUT -p TCP -i $IF_EXTERNA --dport 6000 -j TROJAN
$iptables -A INPUT -p TCP -i $IF_EXTERNA --dport 6006 -j TROJAN
$iptables -A INPUT -p TCP -i $IF_EXTERNA --dport 16660 -j TROJAN

# Proteção contra worms
# -------------------------------------------------------
$iptables -A FORWARD -p tcp --dport 135 -i $IF_INTERNA -j REJECT

# Proteção contra syn-flood
# -------------------------------------------------------
$iptables -A FORWARD -p tcp --syn -m limit --limit 2/s -j ACCEPT

# Proteção contra ping da morte
# -------------------------------------------------------
$iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

# Proteção contra port scanners
# -------------------------------------------------------
$iptables -N SCANNER
$iptables -A SCANNER -m limit --limit 15/m -j LOG --log-level 6 --log-prefix "FIRE: port scanner: "
$iptables -A SCANNER -j DROP
$iptables -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -i $IF_EXTERNA -j SCANNER
$iptables -A INPUT -p tcp --tcp-flags ALL NONE -i $IF_EXTERNA -j SCANNER
$iptables -A INPUT -p tcp --tcp-flags ALL ALL -i $IF_EXTERNA -j SCANNER
$iptables -A INPUT -p tcp --tcp-flags ALL FIN,SYN -i $IF_EXTERNA -j SCANNER
$iptables -A INPUT -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -i $IF_EXTERNA -j SCANNER
$iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -i $IF_EXTERNA -j SCANNER
$iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -i $IF_EXTERNA -j SCANNER

# Loga tentativa de acesso a determinadas portas
# -------------------------------------------------------
$iptables -A INPUT -p tcp --dport 21 -i $IF_EXTERNA -j LOG --log-level 6 --log-prefix "FIRE: ftp: "
$iptables -A INPUT -p tcp --dport 23 -i $IF_EXTERNA -j LOG --log-level 6 --log-prefix "FIRE: telnet: "
$iptables -A INPUT -p tcp --dport 25 -i $IF_EXTERNA -j LOG --log-level 6 --log-prefix "FIRE: smtp: "
$iptables -A INPUT -p tcp --dport 80 -i $IF_EXTERNA -j LOG --log-level 6 --log-prefix "FIRE: http: "
$iptables -A INPUT -p tcp --dport 443 -i $IF_EXTERNA -j LOG --log-level 6 --log-prefix "FIRE: https: "
$iptables -A INPUT -p tcp --dport 110 -i $IF_EXTERNA -j LOG --log-level 6 --log-prefix "FIRE: pop3: "
$iptables -A INPUT -p udp --dport 111 -i $IF_EXTERNA -j LOG --log-level 6 --log-prefix "FIRE: rpc: "
$iptables -A INPUT -p tcp --dport 113 -i $IF_EXTERNA -j LOG --log-level 6 --log-prefix "FIRE: identd: "
$iptables -A INPUT -p tcp --dport 137:139 -i $IF_EXTERNA -j LOG --log-level 6 --log-prefix "FIRE: samba: "
$iptables -A INPUT -p tcp --dport 161:162 -i $IF_EXTERNA -j LOG --log-level 6 --log-prefix "FIRE: snmp: "
$iptables -A INPUT -p tcp --dport 6667:6668 -i $IF_EXTERNA -j LOG --log-level 6 --log-prefix "FIRE: irc: "
$iptables -A INPUT -p tcp --dport 6000 -i $IF_INTERNA -j LOG --log-level 6 --log-prefix "FIRE: squid: "
$iptables -A INPUT -p tcp --dport 220 -i $IF_INTERNA -j LOG --log-level 6 --log-prefix "FIRE: porto: "
$iptables -A FORWARD -p tcp --dport 443 -i $IF_INTERNA -j LOG --log-level 6 --log-prefix "FIRE: https: "

# Libera acesso externo a determinadas portas
# -------------------------------------------------------

#/sbin/roteamento2

$iptables -t nat -A PREROUTING -s 10.2.111.0/24 -d www.facebook.com.br -p TCP --dport 443 -j DNAT --to 10.2.111.150:5005
$iptables -t nat -A PREROUTING -i $IF_INTERNA -d www.facebook.com.br -p tcp --dport 443 -j REDIRECT --to-port 5005
$iptables -t nat -A PREROUTING -s 10.2.111.0/24 -d pt-br.facebook.com -p TCP --dport 443 -j DNAT --to 10.2.111.150:5005
$iptables -t nat -A PREROUTING -i $IF_INTERNA -d pt-br.facebook.com -p tcp --dport 443 -j REDIRECT --to-port 5005

# VPN
$iptables -t filter -A INPUT -i eth1 -p udp --dport 1194 -j ACCEPT
$iptables -t filter -A INPUT -i eth1 -p udp --dport 5000 -j ACCEPT
$iptables -t filter -A INPUT -i eth1 -p udp --dport 5001 -j ACCEPT
$iptables -t filter -A INPUT -i eth1 -p udp --dport 5002 -j ACCEPT
$iptables -t filter -A INPUT -i eth1 -p udp --dport 5003 -j ACCEPT

# libera trafego no tunel
$iptables -t filter -A FORWARD -i tun1 -j ACCEPT
$iptables -t filter -A INPUT -i tun1 -j ACCEPT
$iptables -t filter -A FORWARD -i tun2 -j ACCEPT
$iptables -t filter -A INPUT -i tun2 -j ACCEPT
$iptables -t filter -A FORWARD -i tun3 -j ACCEPT
$iptables -t filter -A INPUT -i tun3 -j ACCEPT
$iptables -t filter -A FORWARD -i tun4 -j ACCEPT
$iptables -t filter -A INPUT -i tun4 -j ACCEPT

$iptables -t nat -s 10.2.116.1 -A POSTROUTING -o eth0 -j MASQUERADE

#CONEXAO SEM PROXY
$iptables -t nat -A PREROUTING -s 10.2.111.204 -j ACCEPT



######################################################
# Otimiza acesso das paginas no tunel
$iptables -t filter -A PREROUTING -s 10.2.116.0/24 -d 10.2.111.204 -j DROP
$iptables -t filter -A PREROUTING -s 10.2.115.0/24 -d 10.2.111.204 -j DROP
$iptables -t filter -A PREROUTING -s 10.2.113.0/24 -d 10.2.111.204 -j DROP
#$iptables -t filter -A PREROUTING -s 10.2.111.0/24 -d 10.2.111.201 -j DROP

#################################################
# Tabela NAT
#################################################

# Ativa mascaramento de saída
# -------------------------------------------------------
$iptables -A POSTROUTING -t nat -o $IF_EXTERNA -j MASQUERADE
$iptables -A POSTROUTING -t nat -o $IF_EXTERNA2 -j MASQUERADE

#$iptables -A INPUT -s 0/0 -p tcp --dport 21 -j ACCEPT
#$iptables -A INPUT -s 0/0 -p tcp --dport 20 -j ACCEPT
#$iptables -A OUTPUT -d 0/0 -p tcp --sport 21 -j ACCEPT
#$iptables -A OUTPUT -d 0/0 -p tcp --sport 20 -j ACCEPT

#3$iptables -A FORWARD -d seti.br.gm.com -p tcp --dport 80 -j ACCEPT
#$iptables -A FORWARD -s seti.br.gm.com -p tcp --dport 80 -j ACCEPT
#$iptables -A FORWARD -d 192.168.10.84 -p tcp --dport 80 -j ACCEPT
#$iptables -A FORWARD -s 192.168.10.84 -p tcp --dport 80 -j ACCEPT

# Destinos que nao passa pelo Proxy
# $iptables -t nat -I PREROUTING -d bb.com.br -j RETURN
$iptables -t nat -I PREROUTING -d bancogmacweb.com.br -j RETURN
$iptables -t nat -I PREROUTING -d bgmweb.com.br -j RETURN
$iptables -t nat -I PREROUTING -d portal.gissonline.com.br -j RETURN


# Proxy
# -------------------------------------------------------
$iptables -t nat -A PREROUTING -i $IF_INTERNA -p tcp --dport 80 -j REDIRECT --to-port 5005
$iptables -t nat -A PREROUTING -i $IF_INTERNA -p tcp --dport 8080 -j REDIRECT --to-port 5005
############################################################################################

# teste paginas gm
#$iptables -t nat -A POSTROUTING -j MASQUERADE
#$iptables -t nat -A PREROUTING -s 10.2.0.0/24 -d 10.2.111.1 -j ACCEPT
#$iptables -t nat -A PREROUTING -s 10.2.0.0/24 -d 10.2.111.2 -j ACCEPT
#$iptables -t nat -A PREROUTING -s 10.2.0.0/24 -d 192.168.10.0/24 -j ACCEPT



# Servidor SERCON COM ACESSO A PAGINAS SEGURAS
#$iptables -t filter -I INPUT -p tcp --dport 443 -j ACCEPT
#$iptables -t filter -I FORWARD -p tcp --dport 443 -j DROP
#$iptables -t filter -I OUTPUT -p tcp --dport 443 -j ACCEPT
$iptables -A FORWARD -s 10.2.111.204 -p tcp --dport 443 -j ACCEPT
$iptables -t filter -A FORWARD -s 10.2.111.204 -p tcp --dport 443 -j ACCEPT

#$iptables -t filter -I INPUT -p tcp -d sefaz.nfeseg.com.br --dport 443 -j ACCEPT
#$iptables -t filter -I FORWARD -p tcp -d sefaz.nfeseg.com.br --dport 443 -j ACCEPT
#$iptables -t filter -I OUTPUT -p tcp -d sefaz.nfeseg.com.br --dport 443 -j ACCEPT

#$iptables -t nat -A PREROUTING -s 10.2.111.0/24 -d 192.168.10.84 -p tcp -m tcp --dport 80 -j REDIRECT --

renato_pacheco
(usa Debian)

Enviado em 17/10/2012 - 10:56h

Não entendi o pq dessas linhas abaixo:

        $iptables -t nat -A PREROUTING -s 10.2.111.0/24 -d www.facebook.com.br -p TCP --dport 443 -j DNAT --to 10.2.111.150:5005

        $iptables -t nat -A PREROUTING -i $IF_INTERNA -d www.facebook.com.br -p tcp --dport 443 -j REDIRECT --to-port 5005

        $iptables -t nat -A PREROUTING -s 10.2.111.0/24 -d pt-br.facebook.com -p TCP --dport 443 -j DNAT --to 10.2.111.150:5005

        $iptables -t nat -A PREROUTING -i $IF_INTERNA -d pt-br.facebook.com -p tcp --dport 443 -j REDIRECT --to-port 5005

 

Como o padrão da sua rede é DROP pra tudo, basta não mencionar liberação e nem redirecionamento para a porta 443.

isabellabelarte
(usa Ubuntu)

Enviado em 17/10/2012 - 14:30h

é so uma tentativa de bloquear acesso para alguns usuarios, ja estou tentando de tudo

isabellabelarte
(usa Ubuntu)

Enviado em 17/10/2012 - 14:36h

esta tudo funcionando bem, bloequeia normalmente os usuarios, separados por grupo, mas se eles colocarem https em qualquer paginas derruba e regras de acesso.

renato_pacheco
(usa Debian)

Enviado em 17/10/2012 - 14:45h

Notei q há 2 interfaces com endereços externos. A requisição HTTPS pode estar saindo d uma dessas interfaces, não acha? Em vez d mascarar as duas interfaces, tente mascarar apenas uma e veja se o sintoma persiste.

isabellabelarte
(usa Ubuntu)

Enviado em 17/10/2012 - 15:01h

ja fiz este teste e continua, oq percebi que o squid nao consegue trabalhar com dados criptografados, mas vou testar novamente e vou postar aqui

renato_pacheco
(usa Debian)

Enviado em 17/10/2012 - 15:10h

Realmente ele não consegue, mas trabalha com bloqueio d hosts. O certo é explicitar tudo q for referente a facebook.com para bloqueio no squid. Esqueci d perguntar: quando a pessoa muda para HTTPS, ele remove as configs d proxy do navegador? Se ele não remover, é problema no squid, caso contrário, é problema no firewall.

saitam
(usa Slackware)

Enviado em 17/10/2012 - 15:33h

@isabellabelarte

coloca essa regra iptables -I FORWARD -m string --algo bm --string "facebook.com" -j DROP
Depois tenta acessar https://facebook.com ...
Bloqueia de forma radical!

Maiores informações sobre proxy autenticado em: http://mundodacomputacaointegral.blogspot.com.br/2011/12/configurando-servidor-proxy-autenticado.htm...

isabellabelarte
(usa Ubuntu)

Enviado em 17/10/2012 - 16:13h

eu preciso liberar para alguns usuarios, do departamento de marketing

isabellabelarte
(usa Ubuntu)

Enviado em 17/10/2012 - 16:45h

desativei um link de cada vez e fiz o teste, nao deu certo continua saindo pelo porta 443 o face

saitam
(usa Slackware)

Enviado em 18/10/2012 - 08:18h

O método pra bloquear o facebook, mesmo digitando "https://facebook.com" continua negado, nem carrega a página, é o seguinte:
iptables -I FORWARD -m string --algo bm --string "facebook.com" -j DROP

Coloca essa regra no seu script firewall.

Outra forma seria iniciar suas regras INPUT,OUTPUT e FORWARD em DROP e NÃO deve liberar as portas 80 e 443 no FORWARD, essas portas deve estar no Squid, forçando assim TODOS terem que passar pelo PROXY, se tiver usuários separados por grupos restrito e livre, os que tiverem no grupo livre terão acesso normal.

Seque o how-to que funciona perfeitamente conforme explicado e o que você quer...
http://mundodacomputacaointegral.blogspot.com.br/2011/12/configurando-servidor-proxy-autenticado.htm...

isabellabelarte
(usa Ubuntu)

Enviado em 19/10/2012 - 09:59h

Saitan, realmente desta forma funciona, mas eu tenho que liberar para uma rande de 5 ips, do departamento de marketing e assim bloqueia tudo.