Bloqueio do https do Facebook

junior06_182
(usa Ubuntu)

Enviado em 06/09/2011 - 11:50h

Sim, mas nao fui eu que configurei este servidor da minha empresa, e sites em https nao passam pelo proxy, entao neste caso do https nao adiata bloquear o site ou algo do tipo, ele passa direto. estou testando e passo pra voces caso alguem tenha o mesmo problema que eu.

thi
(usa Ubuntu)

Enviado em 06/09/2011 - 18:15h

Estou passando pelo mesmo problema. Utilizo proxy transparent, logo as conexões https não são bloqueadas.

Eu sei que pelo squid não dá mas nem pelo IPTABLES eu estou conseguindo.

Ninguém tem essa regra pronta não?

Abs.

fs.schmidt
(usa CentOS)

Enviado em 06/09/2011 - 18:24h

Montei um squid para laborátorio, justamente para bloquear sites https quando se utiliza proxy transparente. A conclusão que cheguei é que é muito mais vantajoso utilizar WPAD, que é configurado de forma muito fácil no dhcp/dns: http://pt.wikipedia.org/wiki/WPAD

MAS também é necessário que nas estações esteja marcada a opção "detectar automaticamente a configuração" nos browsers, e se você não tiver um serviço de diretório ou um domínio para estações windows para definir como politica fica ruim pois se desmarcar ele passa fora do proxy.

Resumindo, o squid possui a diretiva https_port, que é para requisições https, mas não vem habilitado por padrão nos pacotes das distros que testei, para isso tem que recompilar com --enable-ssl.
Obs.: A parte ruim é que tem que utilizar um certificado que não seja auto assinado no servidor proxy, senão os sites acessados rejeitam a conexão.

thi
(usa Ubuntu)

Enviado em 06/09/2011 - 18:51h

Você poderia disponibilizar esse script de bloqueio no caso ao facebook a sites https?

Talvez o WPAD seja uma boa solução, porém listado pelo próprio amigo precisa de algumas configurações que já estejam pré-estabelecidas. Diante desses detalhes, seria até mais fácil sair do transparent e ir para o comum.

No meu caso eu já peguei o proxy transparent, e acaba sendo mais fácil administrar em virtude do nº de computadores.

Eu gostaria mesmo neste momento de resolver esse caso.

Abraços e Obrigado!

wesvia
(usa CentOS)

Enviado em 13/09/2011 - 09:13h

Junior conseguiu resolver o problema? estou com a mesma situação aqui na empresa.

wesvia
(usa CentOS)

Enviado em 13/09/2011 - 13:17h

Boa tarde pessoal do VOL, procurando aqui na internet consegui achar um scrip que resolve esse problema do https facebook, eu testei na empresa que trabalho e funcionou, ao adicionar esse scrip no firewall, o usuarios ao tentar acessar https://www.facebook.com, o site fica tentando carregar até dar erro de time out, os ip's: "192.168.1.12 192.168.1.14 192.168.1.111", são ip's liberados para o acesso ao facebook,vou postar aqui o scrip:

FACEBOOK_ALLOW="192.168.1.12 192.168.1.14 192.168.1.111"
iptables -N FACEBOOK

iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range 66.220.144.0-66.220.159.255 --dport 443 -j FACEBOOK
iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range 69.63.176.0-69.63.191.255 --dport 443 -j FACEBOOK
iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range 204.15.20.0-204.15.23.255 --dport 443 -j FACEBOOK
iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range 66.220.144.0-66.220.159.255 --dport 80 -j FACEBOOK
iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range 69.63.176.0-69.63.191.255 --dport 80 -j FACEBOOK
iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range 204.15.20.0-204.15.23.255 --dport 80 -j FACEBOOK

## FACEBOOK ALLOW
for face in $FACEBOOK_ALLOW; do
iptables -A FACEBOOK -s $face -j ACCEPT
done
iptables -A FACEBOOK -j REJECT

CREDITOS: http://kdn2.info/2010/11/block-facebook-com-with-iptables/

junior06_182
(usa Ubuntu)

Enviado em 14/09/2011 - 11:01h

Cara, parabéns, era isso mesmo a duvida, liberar o Https para algumas e bloquear para o resto, testei aqui e funcionou. Vou fazer mais alguns testes, caso de algum erro eu volto a postar, no mais esta tudo certo.
Obrigado pela ajuda.

thi
(usa Ubuntu)

Enviado em 14/09/2011 - 19:36h

Desculpe a ignorancia, mas como é que coloco esse comando no IPTABLES?

digita diretamente como root no console??? se puder colocar passo a passo, agradeço.

Abraço!

thi
(usa Ubuntu)

Enviado em 14/09/2011 - 20:51h

Galera,

Ele funcionou na hora, porem depois de um tempo, parou. A parte do IPTABLES referentes ao FOR, não gravou não sei pq....

Alguém tem ideia?

[]´s

thi
(usa Ubuntu)

Enviado em 15/09/2011 - 13:22h

Como é que salva a regra do FOR? a dúvida no caso acho que seria essa...

Abs.

wesvia
(usa CentOS)

Enviado em 15/09/2011 - 15:48h

Como você inseriu os comando? inseriu um por um na linha de comando? se sim, limpa o iptables, salva em um arquivo por exemplo "firewall.sh" e dentro deste arquivo você salva este comando, não esquecendo dos outros comandos para inciar o firewall, depois reinicie o firewall.

thi
(usa Ubuntu)

Enviado em 15/09/2011 - 15:58h

Amigo wesvia,

Neste momento, o comando esta funcionando. E sim, inseri um por um na linha de comando.

Toda regra do iptables eu salvo da seguinte forma:

após usar os comandos iptables:

iptables-save > /etc/network/iptables.regras
dps dou um update-rc.d regras defaults

Mas quando eu dou um iptables-L eu não listo as regras de FOR lá, somente as outras de range....