Bloquear facebook https

ronaldossouza
(usa Ubuntu)

Enviado em 20/09/2011 - 23:43h

Galera, estou com o seguinte problema.

Na empresa utilizo o squid "Transparent" e algumas regras básicas no firewall iptables.
Surgiu um problema.
com o squid eu consigo bloquear sites e etc.
mas existe um domínio do facebook que é https://pt-br.facebook.com.br , o qual o squi deixa passar.

Já olhei varias regras de iptables, portas e afins, só que não funcionou.

Alguém pode me ajudar?

a ultima regra que utilizei foi a seguinte:


iptables -A FORWARD -p tcp -d 66.220.149.18 -j REJECT
iptables -A FORWARD -p tcp -d facebook.com -j REJECT
iptables -A FORWARD -d 192.168.10.0/24 -s www.facebook.com -j DROP

Observação: Não posso redirecionar a porta " HTTPS " pois sites de bancos param de funcionar.

Des de já agradeço!


Abraços

renato_pacheco
(usa Debian)

Enviado em 21/09/2011 - 00:13h

Um conselho: esqueça squid transparente e passe a usar squid autenticado, pois vai ficar complicado vc gerenciar todo o tráfego HTTPS. Caso queira arriscar nesse mundim, tente inserir essas regras:

iptables -I FORWARD -d pt-br.facebook.com.br -p tcp --dport 443 -j DROP

Reforçando, pense inserir um monte d endereço só pra impedir o acesso ao facebook... agora vamos impedir o orkut, twitter e afins! Haja saco!

thi
(usa Ubuntu)

Enviado em 22/09/2011 - 20:38h

Caro amigo Renato,

Estou na mesma situação do amigo acima, esta regra se perde automaticamente depois de um tempo, não sei pq....

tem ideia?

Abs.

ivo.becker
(usa Debian)

Enviado em 22/09/2011 - 20:51h

use o Bind, pegue o dominio e atribua a ip ficticio...
obs: redirecione todo tráfego da porta 53 para o servidor bind local...

renato_pacheco
(usa Debian)

Enviado em 23/09/2011 - 09:06h

Isso é gambiarra, não aconselho...



Pode "se perder" pq talvez ele deva usar outros domínios para autenticar-se. Isso é ruim, pois vc terá dificuldades em achar quais endereços a bloquear. O iptables não foi feito para esse tipo d filtro. Por isso q aconselho o proxy autenticado, assim todo tráfego passará pelo squid, sem a interferência do iptables.

ronaldossouza
(usa Ubuntu)

Enviado em 23/09/2011 - 09:11h

Opa galera, valeu mesmo por hora...
Vou testar a questão do proxy autenticado amanhã.

Mas obrigado pela ajuda.

Seria muito bom se houvesse um meio com o squid transparente. Ainda estou em busca de tal solução.
Mas vou testar todas as possiveis.

renato_pacheco
(usa Debian)

Enviado em 23/09/2011 - 09:26h

Vc pode usar o WPAD para configurar automaticamente o proxy no navegador. Basta escolher a opção "Autodetectar as configurações de proxy para essa rede". Segue o link:

http://www.vivaolinux.com.br/artigo/Configuracao-automatica-(mesmo)-de-proxy-com-WPAD/?pagina=1

ronaldossouza
(usa Ubuntu)

Enviado em 18/07/2012 - 10:37h

Senhores, infelizmente todas as tentativas com squid transparent não foram bem sucedidas.
Porem, consegui com auxilio do OpenDNS.

Basicamente fiz o bloqueio no open dns, e instalei o client no servidor DNS.

Para liberar pra algum diretor ou gerente algum site ou dominio, eu fiz a reserva do IP no servidor DHCP, e adicionei um DNS publido antes dos DNS dos servidores. exemplo.

ip. 192.168.0.40 router 192.168.0.10 dns primário 8.8.4.4 secundário 192.168.0.3

Para os demais da rede( restritos ) deixei o padrão do primário 192.168.0.3 secundário 192.168.0.4

" até o presente momento esta funcionando. " .

Valeu.

Obrigado ai pela força..


Ronaldo.