Alguma dica que realmente funcione para bloquear gmail e cia?

macelolaian
(usa Debian)

Enviado em 27/10/2011 - 20:19h

Não querendo ser rude, mas praticamente todas as dicas para bloquear gmail apontam somente para "bloquar chat do gmail" e ainda assim não funciona.

É possível bloquear o acesso ao EMAIL do gmail, ou seja, o indivíduo não conseguir ler email apartir do site, e consequentemente TAMBÉM bloquear o chat do gmail, embora acho q seja impossível um usuario acessar o chat se a página estará bloqueada, assim eu penso (e desejo). Tem como??

Se for por squid seria muito ótimo, mas por iptables também topo toda hora :)

grato povo pensante!!

DMS_
(usa elementary OS)

Enviado em 27/10/2011 - 20:45h

Aqui na empresa utilizo a seguinte regra.

Bloqueio TUDO, menos os sites da acl sitesOK,


acl sitesOK url_regex -i "/etc/squid/liberado/sitesOK"
http_access deny !sitesOK


Sendo assim, bloqueio TUDO, menos os sites que estejam na acl sitesOK, e libero os sites por departamento, Financeiro acessa bancos e afins, já o comercial não, etc.

Segue squid.conf espero que ajude. É autenticado.

http_port 3128

visible_hostname debian

error_directory /usr/share/squid/errors/Portuguese/



cache_mem 64 MB

maximum_object_size_in_memory 64 KB

maximum_object_size 512 MB

minimum_object_size 0 KB

cache_swap_low 90

cache_swap_high 95

cache_dir ufs /var/spool/squid 2048 16 256

cache_access_log /var/log/squid/access.log

refresh_pattern ^ftp: 15 20% 2280

refresh_pattern ^gopher: 15 0% 2280

refresh_pattern . 15 20% 2280



acl all src 0.0.0.0/0.0.0.0

acl manager proto cache_object

acl localhost src 127.0.0.1/255.255.255.255

acl SSL_ports port 443 563

acl Safe_ports port 21 80 443 563 70 210 488 59 777 901 1025-65535

acl purge method PURGE

acl CONNECT method CONNECT

http_access allow manager localhost

http_access deny manager

http_access allow purge localhost

http_access deny purge

http_access deny !Safe_ports

http_access deny CONNECT !SSL_ports



#Bloqueia acessos de fora da rede local

#antes de passar pela autenticacao

acl redelocal src 192.168.1.0/24

http_access deny !redelocal



### ACL CONTENDO IPs QUE NÃO PRECISAM DE AUTENTICAÇÃO ###

acl diretoria src "/etc/squid/diretoria"

http_access allow diretoria



###ACL CONTENDO SITESOK - Liberados ####

acl sitesOK url_regex -i "/etc/squid/liberado/sitesOK"





### AUTENTICA COM USUARIO E SENHA ###

auth_param basic realm Use a Internet com responsabilidade 

auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/squid.passwd

acl autenticados proxy_auth REQUIRED





#### ACL CONTENDO USUARIOS por NIVEIS #####

acl usuarios1 proxy_auth "/etc/squid/grupos/usuarios1"

acl usuarios2 proxy_auth "/etc/squid/grupos/usuarios2"

acl usuarios3 proxy_auth "/etc/squid/grupos/usuarios3"



#### ACL CONTENDO SITES LIBERADOS POR NIVEL DE USUARIO ####

acl sitesUsuarios1 url_regex -i "/etc/squid/liberado/sitesUsuarios/sitesUsuario1"

acl sitesUsuarios2 url_regex -i "/etc/squid/liberado/sitesUsuarios/sitesUsuario2"

acl sitesUsuarios3 url_regex -i "/etc/squid/liberado/sitesUsuarios/sitesUsuario3"



#### LIBERANDO ACESSO A DETERMINADO SITES POR NIVEL DE USUARIO ####

http_access allow sitesUsuarios1 usuarios1

http_access allow sitesUsuarios2 usuarios2

http_access allow sitesUsuarios3 usuarios3



#### BLOQUEIA TODOS OS SITES, MENOS OS QUE FAZEM PARTE DOS sitesUsuariosX e sitesOK ####

http_access deny !sitesOK

http_access allow autenticados



####Libera i acessi da rede local e localhost para os autenticados ####

http_access allow localhost

http_access allow redelocal

http_access deny all

 

macelolaian
(usa Debian)

Enviado em 27/10/2011 - 22:33h

Caro Demarchi, para vc entender melhor minha dúvida, experimenta bloquear o gmail na rede dessa empresa onde vc trabalha, q vc vai saber do que me refiro. Simplesmente não bloqueia!!

Em outros tópicos semelhantes, soube que o problema é porque a pagina inicial do gmail é uma pagina segura (https). Mas percebi também que o problema não é esse, porque se fosse, eu não conseguiria bloquear o orkut (que também usa https), mas não é o caso, sendo que o orkut está SIM bloqueado.

junior
(usa Ubuntu)

Enviado em 27/10/2011 - 22:48h

Macelo,
o gmail usa https. Sendo assim, o squid em modo transparente não "filtra" conexões https. Ele pode sim bloquear através do regex o http://gmail.com mas não irá bloquear o acesso via https ou simplesmente acessando o site do google e clicando em "Gmail".

Para bloquear o gmail (https) você deverá usar o iptables. Ou você bloqueia os ips de destino do gmail, ou bloqueia todo o tráfego https e libera somente o que for necessário (caixa, receita, bancos). O que eu penso ser mais seguro. Fora isso, não há pelo proxy maneira de bloquear https.

macelolaian
(usa Debian)

Enviado em 28/10/2011 - 01:35h

junior.rocha, eu concorso com a explicação, mas qual a mágia que o squid faz pra bloquear o orkut, sendo q a pagina é https??

Me diga ai como eu bloqueio os ips de destino do gmail no ip tables, please!!

DMS_
(usa elementary OS)

Enviado em 28/10/2011 - 08:08h

Sei que tem este problema com o Facebook, porém desse jeito que eu postei, bloqueia numa boa....
Só que dependendo de como são as coisas ai, tem que ter saco pra ir adicionando os sites que você necessita.

[]'s

junior
(usa Ubuntu)

Enviado em 28/10/2011 - 08:14h

Bom dia amigo,
Na raiz onde está o script do iptables, crie um arquivo chamado "ips_bloqueados_ssl".
Dentro desse arquivo, coloque os ips que quer bloquear, sem máscara. Sendo assim, você terá que pegar todos os ip`s que resolvem o "gmail.com".
No seu script do iptables, crie uma variável para "linkar" o arquivo:

BLACKLISTIPSSL=$(egrep -v -E "^#|^$" PASTA_ONDE_ESTA_O_SCRIPT_FIREWALL/ips_bloqueados_ssl)

Se você tem alguma regra que libera ou redireciona navegação SSL, insira as regras a seguir antes das suas regras:

for IP_BL in $BLACKLISTIPSSL
do
iptables -A FORWARD -p tcp --dport 443 -s $LAN -d $IP_BL -j DROP
iptables -t nat -A PREROUTING -p tcp --dport 443 -s $LAN -d $IP_BL -j DROP

done


Qualquer dúvida, retorne.

Um abraço.

macelolaian
(usa Debian)

Enviado em 03/11/2011 - 00:31h

Fiz iqualzinho como vc disse, mas da o seguinte erro:

iptables v1.4.2: host/network `eth0' not found
Try `iptables -h' or 'iptables --help' for more information.

pelo que percebo da erro na eth0, mas ela esta funfando de boa.

rodrigom
(usa Debian)

Enviado em 03/11/2011 - 00:56h

Tudo bem macelolaian ?

Cara, você postou ai o squid de maneira "crua", mas será que por exemplo as regras estão na ordem certa, tenho o squid bloqueando sites em um cliente, e funciona perfeitamente..

Tente fazer o seguinte: fica monitorando os acessos do squid quando alguem acessar o gmail tail -f /var/log/squid3/access.log e veja oque ele captura quando acessar o gmail...
depois faz uma regra com url_regex e coloca oque o squid capturou, e o http_access deny como a primeira dos http_access, somente para testar...
Se funcionar, é a ordem das regras, se não funcionar, não pode ter maquina passando por fora do firewall ?