Como configurar a iptables e bloquear sites https [RESOLVIDO]

1. Como configurar a iptables e bloquear sites https [RESOLVIDO]

removido
(usa Nenhuma)

Enviado em 19/04/2012 - 13:17h

Boa tarde pessoal estou com um problema aqui na empresa,instalei o squid configurei os sites que quero bloquear tudo numa boa, mas sites https , eu não estou conseguindo bloquear, sei que tenho que configurar o iptables direcionar portas mas como faço isso ?? obrigado desde já.

aqui vai a configuração do meu squid

porta do squid onde vai trabalhar
http_port 3128

#hostname do squid
visible_hostname Squid-server
error_directory /usr/share/squid/errors/Portuguese

#acls de rede
acl all src 0.0.0.0/0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80
acl Safe_ports port 21
acl Safe_ports port 443 563
acl Safe_ports port 70 #protocolo gopher antig�o
acl Safe_ports port 210 #whais
acl Safe_ports port 1024-65535 #todas as outras portas
acl Safe_ports port 280 #http-mgmt
acl Safe_ports port 488 #gss-http
acl Safe_ports port 591 #filemaker
acl Safe_ports port 777 #multi http
acl Safe_ports port 901 #acesso Swat
acl purge method PURGE
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_PORTS

#memoria reservada para o cache, coloque um valor de preferencia 40%
# do total da sua maquina, e n�o mais.
cache_mem 512 MB

#m�ximo tamanho dos arquivo cache na memoria
maximum_object_size_in_memory 128 KB

#m�ximo tamanho dos arquivo cache no hd
maximum_object_size 100 MB
minimum_object_size 0 KB

#regra que come�a a esvaziar / substituir arquivos no cache em 90%
cache_swap_low 90
cache_swap_high 95

#indica��o de localiza��o da pasta de arquivos cache e em sequ�ncia valor
#total em MB de espa�o no hd a ser usado pelo cache, numero de pastas, e
#numero de subpastas do cache.
cache_dir ufs /var/spool/squid 24048 256 512

#intervalos de tempos que o proxy verificara os arquivos dos site acessado
#conferem com o do cache, o valor 4560 significa 04 dias
refresh_pattern ^ftp: 15 20% 4560
refresh_pattern ^gopher: 15 0% 4560
refresh_pattern . 15 20% 4560

#########################################################################################
### CONTROLE DE BANDA ###
#########################################################################################

#define banda de 64Kbits
acl banda64 src "/etc/squid/queues/64k.txt"
delay_pools 5
delay_class 1 1
delay_parameters 1 8000/8000 8000/8000
delay_access 1 allow banda64

#defini banda de 128Kbits
acl banda128 src "/etc/squid/queues/128k.txt"
delay_class 2 1
delay_parameters 2 16000/16000 16000/16000
delay_access 2 allow banda128

#defini banda de 256Kbits
acl banda256 src "/etc/squid/queues/256k.txt"
delay_class 3 1
delay_parameters 3 32000/32000 32000/32000
delay_access 3 allow banda256

#defini banda de 512Kbits
acl banda512 src "/etc/squid/queues/512k.txt"
delay_class 4 1
delay_parameters 4 64000/64000 64000/64000
delay_access 4 allow banda512

#defini banda de 1Mbits
acl banda1m src "/etc/squid/queues/1m.txt"
delay_class 5 1
delay_parameters 5 128000/128000 128000/128000
delay_access 5 allow banda1m

#acl que nega o twitter
acl twitter dstdomain twitter.com
http_access deny twitter

#acl libera ip para redes sociais e e-mails
acl ip_livre src "/etc/squid/liberado/ip_liberado.txt"
acl email_rede url_regex -i "/etc/squid/liberado/email_rede.txt"
http_access allow ip_livre email_rede

#acl bloqueia site
acl bloqueiasite dstdomain "/etc/squid/bloqueia/sites.txt"
http_access deny bloqueiasite

#acl libera palavras
acl liberapalavra url_regex "/etc/squid/liberado/palavras.txt"
http_access allow liberapalavra

#acl de união das palavras
acl palavrajunta url_regex -i "/etc/'squid/liberado/palavralivre.txt
http_access allow palavrajunta

#acl bloqueia palavras
acl bloqueiapalavra dstdom_regex "/etc/squid/bloqueia/palavras.txt"
http_access deny bloqueiapalavra

#acl bloqueia por ip
acl ip_negado src "/etc/squid/bloqueia/ip.txt"
http_access deny ip_negado

#acl bloqueia por mac
#acl arp_negado src "/etc/squid/bloqueia/mac.txt"
#http_access deny arp_negado

#acl bloqueia downloads por extensao
acl download urlpath_regex "/etc/squid/bloqueia/downloads.txt"
http_access deny download

#mantedor do cache so usa no ubuntu
cache_effective_user proxy
cache_effective_group proxy

#tenta fazer cache de video
acl googlevideo dstdomain .googlevideo.com
cache allow googlevideo
acl youtube dstdomain .youtube.com
cache allow youtube

#log de acesso
cache_access_log /var/log/squid/access.log

#log de armazenamento
cache_store_log /var/log/squid/store.log

#log do cache
cache_log /var/log/squid/cache.log

0 0

Quote

2. Re: Como configurar a iptables e bloquear sites https [RESOLVIDO]

phrich
(usa Slackware)

Enviado em 19/04/2012 - 17:46h

Não vc não precisa, basta apenas configurar o proxy no navegador, caso sejam muitas estações, se vc tiver um AD do windows vc pode criar uma GPO ou caso não, vc pode usar o Wpad.

Segue um tutorial para lhe dar uma luz:

http://www.vivaolinux.com.br/artigo/Squid-+-Iptables-Combinacao-Infalivel

0 0

Quote

3. Re: Como configurar a iptables e bloquear sites https [RESOLVIDO]

phrich
(usa Slackware)

Enviado em 19/04/2012 - 17:47h

Outro paenas de iptables:

http://www.vivaolinux.com.br/artigo/Iptables-Seguranca-total-para-sua-rede

0 0

Quote

4. Muito abrigado pela ajuda phrich

removido
(usa Nenhuma)

Enviado em 20/04/2012 - 08:26h

Phrich
Muito obrigado pela ajuda deu certinho aqui, esta tudo funcionando legal agora, realmente eu não tinha marcado para usar o mesmo proxy para todos os protocolos . também dei uma lida nos seus artigos, me ajudou muito, agora vou vou seguir o sua dica pra fazer autenticação de usuário também, pois onde este squid vai ficar não tem AD, e será suficiente ,novamente muito obrigado e VIVA O LINUX !!

0 0

Quote