Porta 443 [RESOLVIDO]

13. Re: Porta 443 [RESOLVIDO]

Elgio Schlemer
elgio

(usa OpenSuSE)

Enviado em 27/04/2012 - 14:48h

andre.kenji escreveu:

Segue um link com uma possível "solução"...


http://www.rahulpahade.com/content/squid-transparent-proxy-over-ssl-https


Esta "solução" transforma o squid em um "homem do meio".

Impensável!

Impraticável!

Os usuários abaixo do proxy passariam a receber certificados inválidos e teriam que sempre aceitar um certificado falso (o que está cada vez mais burocrático nos navegadores atuais).

Foi como eu disse na explicação destaque: não dá. O squid teria que virar um atacante "homem do meio"


  


14. https como bloquear

marcelo
marcelobomg

(usa Debian)

Enviado em 28/05/2012 - 17:48h

Ja sei que voce disse que com squid transparente não ha como bloquear sites em https. Venho lhe pedir uma ajuda de como farei para bloquear o mesmo.


15. Bloqueio pelo firewall

Talis Paes
talis

(usa Ubuntu)

Enviado em 16/08/2012 - 14:12h

Eu tive o problema parecido, na verdade no meu caso eu teria que bloquear por horário. Logo os usuários descobriram que colocar um s no http poderia fazer eles acessarem o facebook sem problemas nenhum.

Eu tentei bloquear pelo endereço facebook.com, mas acabou que todas as páginas que tinham "eu curto" do facebook foram bloqueadas (globo.com, r7.com, etc.).

Então encontrei vários artigos falando sobre o módulo string e o módulo time do iptables. Eis que ficou perfeito:

# Bloqueio do Facebook da 07:30 às 11:45 e das 13:30 às 17:45
iptables -t filter -I FORWARD -p tcp --dport 443 -m string --algo bm --string "facebook.com" -m time --timestart 07:30 --timestop 11:45 -j DROP
iptables -t filter -I FORWARD -p tcp --sport 443 -m string --algo bm --string "facebook.com" -m time --timestart 07:30 --timestop 11:45 -j DROP
iptables -t filter -I FORWARD -p tcp --dport 443 -m string --algo bm --string "facebook.com" -m time --timestart 13:30 --timestop 17:45 -j DROP
iptables -t filter -I FORWARD -p tcp --sport 443 -m string --algo bm --string "facebook.com" -m time --timestart 13:30 --timestop 17:45 -j DROP



16. entendendo-e-configurando-squid.html

17. Re: Porta 443 [RESOLVIDO]

Felipe Dias Duarte
slacker.d

(usa Slackware)

Enviado em 16/03/2013 - 12:22h

Como o Elgio falou não funciona, pois ao fazer isso, o squid não sabe lidar com os sertificados ssl. Se colocar o proxy no navegador, ai tu consegue fazer com que seja resolvido o ssl. Mas aplicações que tenham na rede que não passe pelo navegador, vão dar problema. No caso tive problema com o sistema da empresa, que tentava acessar o site do sefaz, via 443.







A solução mais viável foi a que o talis informou acima.
Segue o que foi dito pelo talis:

Eu tive o problema parecido, na verdade no meu caso eu teria que bloquear por horário. Logo os usuários descobriram que colocar um s no http poderia fazer eles acessarem o facebook sem problemas nenhum.

Eu tentei bloquear pelo endereço facebook.com, mas acabou que todas as páginas que tinham "eu curto" do facebook foram bloqueadas (globo.com, r7.com, etc.).

Então encontrei vários artigos falando sobre o módulo string e o módulo time do iptables. Eis que ficou perfeito:

# Bloqueio do Facebook da 07:30 às 11:45 e das 13:30 às 17:45
iptables -t filter -I FORWARD -p tcp --dport 443 -m string --algo bm --string "facebook.com" -m time --timestart 07:30 --timestop 11:45 -j DROP
iptables -t filter -I FORWARD -p tcp --sport 443 -m string --algo bm --string "facebook.com" -m time --timestart 07:30 --timestop 11:45 -j DROP
iptables -t filter -I FORWARD -p tcp --dport 443 -m string --algo bm --string "facebook.com" -m time --timestart 13:30 --timestop 17:45 -j DROP
iptables -t filter -I FORWARD -p tcp --sport 443 -m string --algo bm --string "facebook.com" -m time --timestart 13:30 --timestop 17:45 -j DROP


18. Re: Porta 443 [RESOLVIDO]

Victor Figueira
mrjeday

(usa Debian)

Enviado em 27/04/2013 - 10:23h

talis escreveu:

Eu tive o problema parecido, na verdade no meu caso eu teria que bloquear por horário. Logo os usuários descobriram que colocar um s no http poderia fazer eles acessarem o facebook sem problemas nenhum.

Eu tentei bloquear pelo endereço facebook.com, mas acabou que todas as páginas que tinham "eu curto" do facebook foram bloqueadas (globo.com, r7.com, etc.).

Então encontrei vários artigos falando sobre o módulo string e o módulo time do iptables. Eis que ficou perfeito:

# Bloqueio do Facebook da 07:30 às 11:45 e das 13:30 às 17:45
iptables -t filter -I FORWARD -p tcp --dport 443 -m string --algo bm --string "facebook.com" -m time --timestart 07:30 --timestop 11:45 -j DROP
iptables -t filter -I FORWARD -p tcp --sport 443 -m string --algo bm --string "facebook.com" -m time --timestart 07:30 --timestop 11:45 -j DROP
iptables -t filter -I FORWARD -p tcp --dport 443 -m string --algo bm --string "facebook.com" -m time --timestart 13:30 --timestop 17:45 -j DROP
iptables -t filter -I FORWARD -p tcp --sport 443 -m string --algo bm --string "facebook.com" -m time --timestart 13:30 --timestop 17:45 -j DROP


Mas como colocariamos uma excessão nesta regra? Minha rede é subnetada e preciso que determinadas ranges estejem liberadas.


19. PORTA 443

Jackson Santana
jacksonsantana

(usa Debian)

Enviado em 10/07/2013 - 11:30h

# Bloqueio do Facebook da 07:30 às 11:45 e das 13:30 às 17:45
iptables -t filter -I FORWARD -p tcp --dport 443 -m string --algo bm --string "facebook.com" -m time --timestart 07:30 --timestop 11:45 -j DROP
iptables -t filter -I FORWARD -p tcp --sport 443 -m string --algo bm --string "facebook.com" -m time --timestart 07:30 --timestop 11:45 -j DROP
iptables -t filter -I FORWARD -p tcp --dport 443 -m string --algo bm --string "facebook.com" -m time --timestart 13:30 --timestop 17:45 -j DROP
iptables -t filter -I FORWARD -p tcp --sport 443 -m string --algo bm --string "facebook.com" -m time --timestart 13:30 --timestop 17:45 -j DROP

bom realmente essa regra é funcional.
mas como usá-la...colocando um ip pra poder usar o facebook, ou um determinado range, que possivelmente poderá obrigatoriamente usar o facebook, e outros não poderam ter acesso?

tentei colocar uma exceção (!), em uma regra anterior, mas não resolveu.
Quando consigo bloquear...é geral, mas preciso realmente de exceções, ou seja, o gerente tem que usar! Os funcionários não podem.

Que q eu faço?


20. Re: Porta 443 [RESOLVIDO]

adonis garces
adonisdrummer

(usa Debian)

Enviado em 06/08/2013 - 15:23h

Também fiquei na duvida.

Alguem pode ajudar?

vlw



21. Porta 443

Davi lima
verdinho

(usa Debian)

Enviado em 06/08/2013 - 17:06h

Amigo eu fiz essa regra!!! no que posso te ajudar? posso tirar suas duvidas? en ultomo caso posso fazer outrar conf.!!!


22. Re: Porta 443 [RESOLVIDO]

cleytom filho
meetgyn

(usa Suse)

Enviado em 21/05/2014 - 14:29h

Amigo o colega aqui deu uma explicação que pode ajuda-lo
http://tech-linux.blogspot.com.br/2012/05/bloqueando-o-facebook.html




jacksonsantana escreveu:

# Bloqueio do Facebook da 07:30 às 11:45 e das 13:30 às 17:45
iptables -t filter -I FORWARD -p tcp --dport 443 -m string --algo bm --string "facebook.com" -m time --timestart 07:30 --timestop 11:45 -j DROP
iptables -t filter -I FORWARD -p tcp --sport 443 -m string --algo bm --string "facebook.com" -m time --timestart 07:30 --timestop 11:45 -j DROP
iptables -t filter -I FORWARD -p tcp --dport 443 -m string --algo bm --string "facebook.com" -m time --timestart 13:30 --timestop 17:45 -j DROP
iptables -t filter -I FORWARD -p tcp --sport 443 -m string --algo bm --string "facebook.com" -m time --timestart 13:30 --timestop 17:45 -j DROP

bom realmente essa regra é funcional.
mas como usá-la...colocando um ip pra poder usar o facebook, ou um determinado range, que possivelmente poderá obrigatoriamente usar o facebook, e outros não poderam ter acesso?

tentei colocar uma exceção (!), em uma regra anterior, mas não resolveu.
Quando consigo bloquear...é geral, mas preciso realmente de exceções, ou seja, o gerente tem que usar! Os funcionários não podem.

Que q eu faço?





23. AQUI RESOLVI ASSIM !!!!

Jackson Santana
jacksonsantana

(usa Debian)

Enviado em 03/06/2014 - 11:01h

Um arquivo com regras de bloqueios so pra https...
coloca o caminho dele no seu script de firewall....

FAÇA O BLOQUEIO USANDO RANGE...
PRIMEIRA LINHA...BLOQUEIA TODO MUNDO, ATÉ O IP FINAL 13.
SEGUNDA LINHA,FINAL 14 E 15 LIBERADO.
TERCEIRA LINHA, FINAL 43 LIBERADO.
QUARTA LINHA, FINAL 178 LIBERADO.
FOI A MELHOR FORMA QUE CONSEGUI...TOTALMENTE FUNCIONAL...
TROQUE A PALAVRA FACEBOOK, PELA STRING NECESSARIA...


iptables -I FORWARD -m iprange --src-range 192.168.2.2-192.168.2.13 -m string --algo bm --string "facebook.com" -j DROP
iptables -I FORWARD -m iprange --src-range 192.168.2.16-192.168.2.42 -m string --algo bm --string "facebook.com" -j DROP
iptables -I FORWARD -m iprange --src-range 192.168.2.44-192.168.2.177 -m string --algo bm --string "facebook.com" -j DROP
iptables -I FORWARD -m iprange --src-range 192.168.2.179-192.168.2.254 -m string --algo bm --string "facebook.com" -j DROP



24. Exceções

Talis Paes
talis

(usa Ubuntu)

Enviado em 11/06/2014 - 23:23h

jacksonsantana escreveu:

# Bloqueio do Facebook da 07:30 às 11:45 e das 13:30 às 17:45
iptables -t filter -I FORWARD -p tcp --dport 443 -m string --algo bm --string "facebook.com" -m time --timestart 07:30 --timestop 11:45 -j DROP
iptables -t filter -I FORWARD -p tcp --sport 443 -m string --algo bm --string "facebook.com" -m time --timestart 07:30 --timestop 11:45 -j DROP
iptables -t filter -I FORWARD -p tcp --dport 443 -m string --algo bm --string "facebook.com" -m time --timestart 13:30 --timestop 17:45 -j DROP
iptables -t filter -I FORWARD -p tcp --sport 443 -m string --algo bm --string "facebook.com" -m time --timestart 13:30 --timestop 17:45 -j DROP

bom realmente essa regra é funcional.
mas como usá-la...colocando um ip pra poder usar o facebook, ou um determinado range, que possivelmente poderá obrigatoriamente usar o facebook, e outros não poderam ter acesso?

tentei colocar uma exceção (!), em uma regra anterior, mas não resolveu.
Quando consigo bloquear...é geral, mas preciso realmente de exceções, ou seja, o gerente tem que usar! Os funcionários não podem.

Que q eu faço?


É simples, tu pode liberar tudo para um ip (mas tudo mesmo), farei a liberação para o ip 10.1.1.223:
#iptables -t filter -I FORWARD -d 10.1.1.223 -j ACCEPT
#iptables -t filter -I FORWARD -s 10.1.1.223 -j ACCEPT
(Coloque estas duas linhas no final da lista de regras do fireall, pode fazer para quantos IPs você querer)

Mas se tu quer liberar para uma pessoa apenas o facebook, sem desproteger o computador (com a regra acima tu libera tudo, até torrent e emule), coloque o "!". Ex.

#iptables -t filter -I FORWARD ! -d 10.1.1.223 -p tcp --dport 443 -m string --algo bm --string "facebook.com" -m time --timestart 07:30 --timestop 11:45 -j DROP
#iptables -t filter -I FORWARD ! -s 10.1.1.223 -p tcp --sport 443 -m string --algo bm --string "facebook.com" -m time --timestart 07:30 --timestop 11:45 -j DROP

tu pode trocar por uma rage de IPs, basta fazer o calculo da mascara. Onde tu usaria "! -d 10.1.1.223" tu colocar "! -d 10.1.1.0/255.255.255.192". Nesta faixa, todos os ips entre 10.1.1.1 ao 10.1.1.62 estarão exclusos do bloqueio da regra.





  
01 02 03



Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts