01 02

Bloqueio de Sites HTTPS que Squid nao consegue bloquear.

1. Bloqueio de Sites HTTPS que Squid nao consegue bloquear.

adonisdrummer
(usa Debian)

Enviado em 06/08/2013 - 16:38h

Oi galera, andei pesquisando bastante e aqui na empresa possuo squid 3 bloqueando os sites e liberando apenas para a diretoria.

O facebook, youtube e cia LTDA está bloqueado para os demais usuarios, porém o facebook sendo acessado via https, pois o proprio google está indexando, e estou sendo precionado para sanar essa problema.

Usei as seguintes regras:

#Libera Https - sites especificos abaixo - Ip que acessam#

#DIRETOR 1 #

iptables -A FORWARD -i eth0 -s 192.168.0.100 -m string --algo bm --string "facebook.com" -j ACCEPT #IP LIBERADO
iptables -A FORWARD -i eth1 -d 192.168.0.100 -m string --algo bm --string "facebook.com" -j ACCEPT #IP LIBERADO
iptables -A FORWARD -i eth0 -s 192.168.0.100 -m string --algo bm --string "youtube" -j ACCEPT #IP LIBERADO
iptables -A FORWARD -i eth1 -d 192.168.0.100 -m string --algo bm --string "youtube" -j ACCEPT #IP LIBERADO

# DIRETOR 2 #

iptables -A FORWARD -i eth0 -s 192.168.0.101 -m string --algo bm --string "facebook.com" -j ACCEPT #IP LIBERADO
iptables -A FORWARD -i eth1 -d 192.168.0.101 -m string --algo bm --string "facebook.com" -j ACCEPT #IP LIBERADO
iptables -A FORWARD -i eth0 -s 192.168.0.101 -m string --algo bm --string "youtube" -j ACCEPT #IP LIBERADO
iptables -A FORWARD -i eth1 -d 192.168.0.101 -m string --algo bm --string "youtube" -j ACCEPT #IP LIBERADO

###################### Bloqueia Sites para os demais #################################

iptables -A FORWARD -i eth0 -m string --algo bm --string "facebook.com" -j DROP
iptables -A FORWARD -i eth1 -d 192.168.0.0/24 -m string --algo bm --string "facebook.com" -j DROP
iptables -A FORWARD -i eth0 -m string --algo bm --string "youtube.com" -j DROP
iptables -A FORWARD -i eth1 -d 192.168.0.0/24 -m string --algo bm --string "youtube.com" -j DROP

A regra funciona, porém bloqueia todo trafego HTTPS para todos os sites, ai se eu setar o proxy ele volta a funcionar, sabendo que uso proxy transparente, ou seja, é paliativo para mim.

Com mais algumas pesquisas encontrei essa regra aqui.

slacker.d escreveu:

Como o Elgio falou não funciona, pois ao fazer isso, o squid não sabe lidar com os sertificados ssl. Se colocar o proxy no navegador, ai tu consegue fazer com que seja resolvido o ssl. Mas aplicações que tenham na rede que não passe pelo navegador, vão dar problema. No caso tive problema com o sistema da empresa, que tentava acessar o site do sefaz, via 443.

A solução mais viável foi a que o talis informou acima.
Segue o que foi dito pelo talis:

Eu tive o problema parecido, na verdade no meu caso eu teria que bloquear por horário. Logo os usuários descobriram que colocar um s no http poderia fazer eles acessarem o facebook sem problemas nenhum.

Eu tentei bloquear pelo endereço facebook.com, mas acabou que todas as páginas que tinham "eu curto" do facebook foram bloqueadas (globo.com, r7.com, etc.).

Então encontrei vários artigos falando sobre o módulo string e o módulo time do iptables. Eis que ficou perfeito:

# Bloqueio do Facebook da 07:30 às 11:45 e das 13:30 às 17:45
iptables -t filter -I FORWARD -p tcp --dport 443 -m string --algo bm --string "facebook.com" -m time --timestart 07:30 --timestop 11:45 -j DROP
iptables -t filter -I FORWARD -p tcp --sport 443 -m string --algo bm --string "facebook.com" -m time --timestart 07:30 --timestop 11:45 -j DROP
iptables -t filter -I FORWARD -p tcp --dport 443 -m string --algo bm --string "facebook.com" -m time --timestart 13:30 --timestop 17:45 -j DROP
iptables -t filter -I FORWARD -p tcp --sport 443 -m string --algo bm --string "facebook.com" -m time --timestart 13:30 --timestop 17:45 -j DROP

Porém nao quero regras por horario, quero fechar pra todos e liberar somente para os diretores.

Alquem pode me ajudar?

desde já agradeço..

Adonis Garcês

0 0

Quote

2. Re: Bloqueio de Sites HTTPS que Squid nao consegue bloquear.

danniel-lara
(usa Fedora)

Enviado em 06/08/2013 - 17:13h

testa

http://vivaolinux.com.br/dica/Bloqueando-Facebook-pelo-IPtables

em um cliente com proxy transparente esta funcionando

0 0

Quote

3. Re: Bloqueio de Sites HTTPS que Squid nao consegue bloquear.

adonisdrummer
(usa Debian)

Enviado em 07/08/2013 - 08:14h

danniel-lara escreveu:

testa

http://vivaolinux.com.br/dica/Bloqueando-Facebook-pelo-IPtables

em um cliente com proxy transparente esta funcionando

E como fazer pra liberar só pra diretoria?

0 0

Quote

4. Re: Bloqueio de Sites HTTPS que Squid nao consegue bloquear.

saitam
(usa Slackware)

Enviado em 07/08/2013 - 08:28h

proxy transparente não bloqueia https mesmo.

Use proxy autenticado divididos por grupos de acesso livre e restrito, é melhor forma.

http://mundodacomputacaointegral.blogspot.com.br/2011/12/configurando-servidor-proxy-autenticado.htm...

0 0

Quote

5. Re: Bloqueio de Sites HTTPS que Squid nao consegue bloquear.

adonisdrummer
(usa Debian)

Enviado em 07/08/2013 - 10:49h

danniel-lara escreveu:

testa

http://vivaolinux.com.br/dica/Bloqueando-Facebook-pelo-IPtables

em um cliente com proxy transparente esta funcionando

E como fazer pra liberar só pra diretoria?

saitam escreveu:

proxy transparente não bloqueia https mesmo.

Use proxy autenticado divididos por grupos de acesso livre e restrito, é melhor forma.

http://mundodacomputacaointegral.blogspot.com.br/2011/12/configurando-servidor-proxy-autenticado.htm...

Certo, preciso esclarecer essa duvida, pois o primeiro post funciona e o segundo diz que nao funciona.

Desculpa, mais sou novo em Linux e conheço pouco, ainda mais se tratando de segurança.

0 0

Quote

6. Re: Bloqueio de Sites HTTPS que Squid nao consegue bloquear.

px
(usa Debian)

Enviado em 07/08/2013 - 11:47h

A melhor solução é descontar do salário das pessoas que quebram as regras da firma, fica a dica!

brincadeiras a parte, você deveria bloquear todos os sites, via Forward e só permitir os que lhe são úteis para seu negócio, acho uma melhor solução. Ou aplicar politicas de controle como esta do squid, onde cada usuário tem permissão para acessar o que você configurar!

para liberar o da diretoria, você pode criar uma chain chamada DIRETORIA no iptables e permitir acesso a eles atravez do UID ou GUID, com a regra owner, segue:

Confere com o usuário que iniciou a conexão (somente OUTPUT)
--uid-owner UID -> Confere se o pacote foi criado por um processo com o UID especificado.
--gid-owner GID -> Confere se o pacote foi criado por um usuário pertencendo ao grupo GID.
--pid-owner PID -> Confere se o pacote foi criado por um processo com o PID especificado.
--sid-owner ID -> Confere se o pacote foi criado por um processo no grupo de seção especificado.

// Libera pacotes dos usuários pertencentes ao grupo 100 (DIRETORIA)
# iptables -A OUTPUT -m owner --gid-owner 100 -p tcp -j ACCEPT

// Bloqueia pacotes dos usuários pertencentes ao grupo 1000 (USUARIOS)
# iptables -A OUTPUT -m owner --gid-owner 1000 -p tcp -j DROP

---
Atenciosamente, Pedro.

Já leu meu último artigo?
LINK:
http://www.vivaolinux.com.br/artigos/userview.php?login=px

Dúvidas?! pergunte pra caixinha... ali em cima ---------------------------------------------------------------------------------------------------------------------------------------^

E seja feliz!

0 0

Quote

7. Re: Bloqueio de Sites HTTPS que Squid nao consegue bloquear.

brunarega
(usa Slackware)

Enviado em 07/08/2013 - 12:00h

O que você pode fazer é bloquear todos os IP's do facebook, e liberar pros IP's específicos que deseja.
Tenta isso.
http://www.vivaolinux.com.br/dica/Bloquear-Facebook-acessado-por-HTTPS-(iptables)

0 0

Quote

8. Consegui da seguinte forma

digaovaa
(usa Ubuntu)

Enviado em 30/10/2013 - 16:39h

Pelo squid consegui da seguinte forma:

#Crie uma ACL do tipo dstdomain
acl fb dstdomain .facebook.com

#Atente para o CONNECT depois do deny
http_access deny CONNECT fb accountant

Obs.: Tem que ser squid autenticado. No meu caso, tenho ele autenticado ao AD, sem popup (conecta pela sessão do windows com ntlm_auth)

0 0

Quote

9. Re: Bloqueio de Sites HTTPS que Squid nao consegue bloquear.

Buckminster
(usa Debian)

Enviado em 30/10/2013 - 17:23h

Proxy transparente não bloqueia https (porta 443).

Utilize um proxy autenticado.

0 0

Quote

10. paleativo para bloquear facebook https

rotaviano
(usa CentOS)

Enviado em 21/11/2013 - 16:10h

cara...é o seguinte...

tambem uso proxy transparente e consegui resolver barrando pela string

barrar pela resolução de nomes

echo “127.0.0.1 facebook.com” >> /etc/hosts
echo “127.0.0.1 m.facebook.com” >> /etc/hosts
echo “127.0.0.1 www.facebook.com” >> /etc/hosts

pra mim deu certo...testa ae

abraço

0 0

Quote

11. Re: Bloqueio de Sites HTTPS que Squid nao consegue bloquear.

Buckminster
(usa Debian)

Enviado em 21/11/2013 - 17:33h

rotaviano escreveu:

cara...é o seguinte...

tambem uso proxy transparente e consegui resolver barrando pela string

barrar pela resolução de nomes

echo “127.0.0.1 facebook.com” >> /etc/hosts
echo “127.0.0.1 m.facebook.com” >> /etc/hosts
echo “127.0.0.1 www.facebook.com” >> /etc/hosts

pra mim deu certo...testa ae

abraço

Isso que você fez foi bloquear os domínios para o localhost, ou seja, para o servidor. Funciona, mas isso não faz o proxy transparente bloquear https.

0 0

Quote

12. Re: Bloqueio de Sites HTTPS que Squid nao consegue bloquear.

rotaviano
(usa CentOS)

Enviado em 23/11/2013 - 16:54h

Buckminster escreveu:

Isso que você fez foi bloquear os domínios para o localhost, ou seja, para o servidor. Funciona, mas isso não faz o proxy transparente bloquear https.

sim buck

mas nao quero bloquear todos https...apenas o facebook

quando um cliente tentar acessar facebook por https

nao vai conseguir...pois o gtw dele é o 192.168.0.128 (127.0.0.1) como bloqueie os dominios para localhost ninguem consegue acessar.

mas q fique bem claro isso é um paleativo, pois nesse caso nao tem nada de squid envolvido...apenas rede.
como vc disse ... Funciona

a melhor opcao sem duvida é proxy autenticado !!!

vlw

Rodney

0 0

Quote