Squid e bloqueios [RESOLVIDO]

RADER
(usa Ubuntu)

Enviado em 12/05/2018 - 12:03h

E ai pessoa, existe alguma forma de bloquear http e https pelo squid sem usar autenticação, pois não é muito prático configurar o Browser com as configurações do proxy, pois qualquer um mais espertinho, vai remover e navegar normalmente, qual a melhor maneira de usar o squid e fazer bloqueios, ou integrar com o AD do Windows.
Existe algum filtro melhor que o SquidGuard, e uma configuração que satisfaça as questões de segurança como limitar acesso a sites, torrents, downloads etc....sem precisar modificar as estações, sei que com o proxy transparente funciona de certa forma, menos no https.



PS: o squidGuard -C all esta retornando "ERR" ao rodar o comando, o Squid guard não esta rodando mas fica ativo.

Muito obrigado a todos

Giovanni_Menezes
(usa Devuan)

Enviado em 12/05/2018 - 12:18h

Estou enferrujado no Squid, mas, o problema da remoção das configurações de proxy no Browser você resolve colocando o Squid em modo transparente via Iptables, de uma pesquisada no VOl que tem artigos sobre isso.

Sobre o bloqueio, nada que umas ACL bloqueando algumas portas não resolvam, qualquer coisa você pode apelar para o Iptables também.



--------------------------------------------------------------------------
Somente o Software Livre lhe garante as 4 liberdades.
Open Source =/= Free Software.
https://encurtador.com.br/CGNU5
http://www.anahuac.eu/contrarrevolucao-osi/

***Diga NÃO ao consumo desenfreado de memoria ram das interfaces gráficas***
http://webm.land/media/nzgR.webm

removido
(usa Nenhuma)

Enviado em 12/05/2018 - 17:12h

Recomendo utilizar regras no iptables para bloqueio de torrents e outras aplicações, já sobre bloqueio de sites e downloads só pelo squid mesmo...
Faça uma regra para somente o servidor squid ter acesso as porta 80 e 443, assim evitara que um usuário desmarque o proxy, se fizer irá ficar sem navegar, ou utilize o proxy transparente conforme já citado.
Se for só pra bloquear apenas alguns sites como facebook, instagram, twitter até dá pra usar o iptables, porém quando é uma infinidade de sites é melhor usar o squid mesmo com o squidguard, que já tem vários dominios em uma blacklist.
Outra alternativa caso não tenha tanto conhecimento sobre regras do iptables é usar uma aplicação pronta como o pfsense.

Vinicinho052
(usa Ubuntu)

Enviado em 12/05/2018 - 22:43h

Squid Transparente

http_port 3128 transparent 

No Iptables
Como foi dito não é possível agir na porta 443 https. (Dependente de autenticação)

tabela nat PREROUTING o que entra no firewall será redirecionado para a porta do Squid.

iptables -t nat -A PREROUTING -i interface_de_rede -p tcp --dport 80 -j REDIRECT \--to-port 3128 

Você pode também colocar as regras direto no iptables para https:

Pacotes repassados --algo algorítmo.

iptables -A FORWARD -m string --algo bm --string 'facebook.com.br' -J DROP 

Quanto mais usar de string mais lento vai ficar.
Já no squid com acl para http.

Bem superficial o que escrevi. Fique a vontade para pesquisar.

Giovanni_Menezes
(usa Devuan)

Enviado em 12/05/2018 - 23:02h

Bloquear as portas 443 e 80 no iptables não seria uma opção também ? o usuário poderia até mudar as configurações no Browser, só que se mudar também não navega.



--------------------------------------------------------------------------
Somente o Software Livre lhe garante as 4 liberdades.
Open Source =/= Free Software.
https://encurtador.com.br/CGNU5
http://www.anahuac.eu/contrarrevolucao-osi/

***Diga NÃO ao consumo desenfreado de memoria ram das interfaces gráficas***
http://webm.land/media/nzgR.webm

Vinicinho052
(usa Ubuntu)

Enviado em 12/05/2018 - 23:12h

Em bom verificar se não vai impedir o acesso a outro serviço. Caso terá que ter uma regra especial.
Penso nisso.

LSSilva
(usa Outra)

Enviado em 12/05/2018 - 23:58h

Respondendo:

Sim, utilizando proxy transparente. (http_port xxx intercept) ou (http_port xxx transparent), essa segunda opção está "deprecated".
Quero filtrar https pelo squid em modo transparente, dá certo? Sim, utilizando um certificado ssl self-signed do servidor para que o mesmo intercepte as conexões, essa opção não é muito efetiva para redes onde existam celulares, pois terá que instalar o certificado em todos para navegação. Quer uma forma mais fácil e não há celulares na rede? Utilize squid autenticado com o squidGuard, assim como está tentando. Com squid autenticado você poderá bloquear http e https.


Sim, existem vários! O squidGuard está até parado há algum tempo. Este aqui está em andamento e tem release atual (https://www.urlfilterdb.com/). Porém sempre uso o squidGuard com duas listas (shallas e mesd) e faço bloqueios por ele sem problemas. Funciona muito bem, afinal, entendemos o propósito do squidGuard. Certo?


Utilizando firewall com DROP para política de FORWARD e liberando só o essencial deve resolver essa questão automaticamente. Apesar de ser um pouco trabalho no início (adaptação), quando chegar nas portas essenciais somente, bloqueando as demais, tudo ficará show.


Consegue postar a saída do log do squidGuard? (tail /var/log/squidguard/squidguard.log) ou (taill /var/log/squidGuard/squidGuard.log)
Geralmente a configuração do squidGuard agarra nas permissões.
Poste a saída do comando "squid -v" para gente poder ver o default user do proxy.

RADER
(usa Ubuntu)

Enviado em 14/05/2018 - 15:32h

Sim, fiz alguns bloqueios de sites pelo iptables, mas não é viável, pois quanto mais regras menos performance. Tenho vários serviços que rodam junto, configurei o redirecionamento de portas no iptables, esta tudo rodando, bloqueia todos os sites http, nas maquinas destinadas, somente o https que não, e como sabemos depende de autenticação, no caso pensei que poderia criar grupos com politicas especificas, como se faz no AD,


Segue as saídas dos comandos:
squid -v
Squid Cache: Version 3.5.20
Service Name: squid


tail /var/log/squidGuard/squidGuard.log
2018-04-11 12:56:49 [32133] New setting: dbhome: /var/squidGuard/blacklists
2018-04-11 12:56:49 [32133] squidGuard: setting dbhome is defined in configfile /etc/squid/squidGuard.conf
2018-04-11 12:56:49 [32133] Going into emergency mode
2018-04-13 12:33:11 [621] New setting: dbhome: /var/squidGuard/blacklists
2018-04-13 12:33:11 [621] squidGuard: setting dbhome is defined in configfile /etc/squid/squidGuard.conf
2018-04-13 12:33:11 [621] Going into emergency mode

RADER
(usa Ubuntu)

Enviado em 14/05/2018 - 18:46h

Existem muitos celulares, mais 100, e maquinas 126 ao total. o problema todo é o https.

silasmg
(usa Debian)

Enviado em 16/05/2018 - 10:30h

buenas, já procurei bastante por essa solução, e sempre tudo cheio de gambiarra pra poder funcionar, então desisti, o que faço atualmente é separar a rede dos celulares para uma vlan com limite de banda de somente 1mb (aqui a internet é de 1gb), para os computadores eu deixei o squid transparente, e bloquiei os ips dos principais serviços https pelo iptables, se usar "strings" no iptables ele vai bloquear não somente o site, e sim qlqr outro site que aponte para ele, por exemplo, se eu bloquear o facebook pelo iptables usando "facebook.com" ele vai bloquear inclusive sites que contenham algum botão para o facebook.

para bloquear por ips no iptables, eu isolo uma máquina na rede, acesso o site que eu quero e no servidor fico acompanhando os ips solicitados por essa máquina pelo comando tcpdump.