adonisdrummer
(usa Debian)
Enviado em 06/08/2013 - 16:38h
Oi galera, andei pesquisando bastante e aqui na empresa possuo squid 3 bloqueando os sites e liberando apenas para a diretoria.
O facebook, youtube e cia LTDA está bloqueado para os demais usuarios, porém o facebook sendo acessado via https, pois o proprio google está indexando, e estou sendo precionado para sanar essa problema.
Usei as seguintes regras:
#Libera Https - sites especificos abaixo - Ip que acessam#
#DIRETOR 1 #
iptables -A FORWARD -i eth0 -s 192.168.0.100 -m string --algo bm --string "facebook.com" -j ACCEPT #IP LIBERADO
iptables -A FORWARD -i eth1 -d 192.168.0.100 -m string --algo bm --string "facebook.com" -j ACCEPT #IP LIBERADO
iptables -A FORWARD -i eth0 -s 192.168.0.100 -m string --algo bm --string "youtube" -j ACCEPT #IP LIBERADO
iptables -A FORWARD -i eth1 -d 192.168.0.100 -m string --algo bm --string "youtube" -j ACCEPT #IP LIBERADO
# DIRETOR 2 #
iptables -A FORWARD -i eth0 -s 192.168.0.101 -m string --algo bm --string "facebook.com" -j ACCEPT #IP LIBERADO
iptables -A FORWARD -i eth1 -d 192.168.0.101 -m string --algo bm --string "facebook.com" -j ACCEPT #IP LIBERADO
iptables -A FORWARD -i eth0 -s 192.168.0.101 -m string --algo bm --string "youtube" -j ACCEPT #IP LIBERADO
iptables -A FORWARD -i eth1 -d 192.168.0.101 -m string --algo bm --string "youtube" -j ACCEPT #IP LIBERADO
###################### Bloqueia Sites para os demais #################################
iptables -A FORWARD -i eth0 -m string --algo bm --string "facebook.com" -j DROP
iptables -A FORWARD -i eth1 -d 192.168.0.0/24 -m string --algo bm --string "facebook.com" -j DROP
iptables -A FORWARD -i eth0 -m string --algo bm --string "youtube.com" -j DROP
iptables -A FORWARD -i eth1 -d 192.168.0.0/24 -m string --algo bm --string "youtube.com" -j DROP
A regra funciona, porém bloqueia todo trafego HTTPS para todos os sites, ai se eu setar o proxy ele volta a funcionar, sabendo que uso proxy transparente, ou seja, é paliativo para mim.
Com mais algumas pesquisas encontrei essa regra aqui.
slacker.d escreveu:
Como o Elgio falou não funciona, pois ao fazer isso, o squid não sabe lidar com os sertificados ssl. Se colocar o proxy no navegador, ai tu consegue fazer com que seja resolvido o ssl. Mas aplicações que tenham na rede que não passe pelo navegador, vão dar problema. No caso tive problema com o sistema da empresa, que tentava acessar o site do sefaz, via 443.
A solução mais viável foi a que o talis informou acima.
Segue o que foi dito pelo talis:
Eu tive o problema parecido, na verdade no meu caso eu teria que bloquear por horário. Logo os usuários descobriram que colocar um s no http poderia fazer eles acessarem o facebook sem problemas nenhum.
Eu tentei bloquear pelo endereço facebook.com, mas acabou que todas as páginas que tinham "eu curto" do facebook foram bloqueadas (globo.com, r7.com, etc.).
Então encontrei vários artigos falando sobre o módulo string e o módulo time do iptables. Eis que ficou perfeito:
# Bloqueio do Facebook da 07:30 às 11:45 e das 13:30 às 17:45
iptables -t filter -I FORWARD -p tcp --dport 443 -m string --algo bm --string "facebook.com" -m time --timestart 07:30 --timestop 11:45 -j DROP
iptables -t filter -I FORWARD -p tcp --sport 443 -m string --algo bm --string "facebook.com" -m time --timestart 07:30 --timestop 11:45 -j DROP
iptables -t filter -I FORWARD -p tcp --dport 443 -m string --algo bm --string "facebook.com" -m time --timestart 13:30 --timestop 17:45 -j DROP
iptables -t filter -I FORWARD -p tcp --sport 443 -m string --algo bm --string "facebook.com" -m time --timestart 13:30 --timestop 17:45 -j DROP
Porém nao quero regras por horario, quero fechar pra todos e liberar somente para os diretores.
Alquem pode me ajudar?
desde já agradeço..
Adonis Garcês