[ajuda] Bloquear 443 de maneira transparente (Squid/Iptables)

valdemar_junior
(usa Ubuntu)

Enviado em 08/01/2014 - 11:06h

Bem galera tenho testados algumas formas de sites https tipo "facebook/youtube/orkut(vai que usam ainda)"

Tentei pelo squid (2.6 STABLE21)

criei o .crt e redirecionei via iptables a porta 443 pra uma https(3130) que coloquei no squid:

SQUID

####

http_port 3130 transparent cert=/etc/squid/openssl.crt key=/etc/squid/openssl.key

####



#iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 443 -j REDIRECT --to-port 3130

 

não consegui, o site ate abre mas dá erro de certificado.

ai parti para uma forma mais bruta e bloqueei pelo firewall, bem achei algo pelo fórum fiz umas mods e rodei só com o facebook e funcionou sendo que quando faço com youtube ou orkut (serviços do google)ele bloqueia o google de tabela que é fundamental para nós por causa do gmail.

######################

IPs_BLOCK="ip's que quero bloquear"

/sbin/iptables -N SITEBLOCK



/sbin/iptables -I FORWARD -m tcp -p tcp -m string --algo bm --string "facebook.com" -j SITEBLOCK

#/sbin/iptables -I FORWARD -m tcp -p tcp -m string --algo bm --string "youtube.com" -j SITEBLOCK



## BLOCK ##

for block in $IPs_BLOCK; do

/sbin/iptables -A SITEBLOCK -s $block -j REJECT

/sbin/iptables -A SITEBLOCK -d $block -j REJECT

done

######################

 

Bem se alguém puder ajudar esse jovem iniciante fico muito grato.

junior
(usa Ubuntu)

Enviado em 08/01/2014 - 11:52h

Para o squid funcionar bem como SSL Intercept o ideal é compilá-lo e não instá-lo via apt-get e afins.

Dê uma lida neste dcumento:
http://6pmsolutions.com/2013/11/18/squid-transparent-ssl-interception/

Um abraço.

valdemar_junior
(usa Ubuntu)

Enviado em 09/01/2014 - 10:16h

junior.rocha vlw pela dica instalei os pacotes e as ferramentas para compilar, mas lá só explica com uma nova instilação do squid e se eu quiser recompilar, o meu já esta em operação.

Quem puder me ajudar agradeço.

junior
(usa Ubuntu)

Enviado em 09/01/2014 - 10:18h

Entendo, mas se o SQUID não for compilado com os respectivos módulos SSL, não há muito o que fazer.

valdemar_junior
(usa Ubuntu)

Enviado em 09/01/2014 - 10:53h

então junior.rocha para compilar tenho que pegar uma nova source é isso ou seja baixa-lo novamente? não tem como eu fazer com a versão que esta em operação?

junior
(usa Ubuntu)

Enviado em 09/01/2014 - 10:54h

Isso, você tem que pegar o arquivo .tar.gz, extrair, rodar o configure, make e make install e no configure passar os parametros para habilitar o ssl.

valdemar_junior
(usa Ubuntu)

Enviado em 09/01/2014 - 12:15h

blz vou fazer isso depois posto aqui o resultado. vlw cara pelo auxilio.

junior
(usa Ubuntu)

Enviado em 09/01/2014 - 13:20h

Tranquilo.

Aguardamos seu retorno.

valdemar_junior
(usa Ubuntu)

Enviado em 13/01/2014 - 10:35h

junior.rocha segui o tutorial mas ainda da erro de certificado invalido no browser.

a algo que possa fazer quanto a isso? bem recompilei o squid.