Preciso de ajuda para fazer um bloqueio

novato2007
(usa Conectiva)

Enviado em 30/08/2007 - 09:39h

eu li o conteudo desse topic http://www.vivaolinux.com.br/conf/verConf.php?codigo=642 e postei la, mas ninguem me respondeu.. to postando aqui então...

Eu preciso fazer aqui na empresa um bloqueio de acesso de sites na propria maquina linux da empresa que usamos como servidor do sistema da empresa, como o sistema é leve e a empresa não é grande, usamos a maquina como estação de trabalho, no caso tenho percebido que quem está utilizando ela constantemente vem abrindo site "orkut, webmessenger, webmail".. nesse pc tem linux conectiva 10, gostaria de saber como faço desde o começo para criar algum comando que impessa a placa de rede dele (eth0) de enviar os dados desses sites para o modem qdo ele tentar acessar no navegador.... não é para bloquear os pcs que conectam nele para usar o sistema e sim bloquear ele mesmo, mas apenas alguns sites... o acesso a net aqui na empresa é feito atravez de modem adsl que está ligado no hub e cada pc está ligado tbem no hub... então de qualquer maquina vai direto para o modem, sem passar por um servidor de controle de trafego, queria bloquear apenas nessa propria maquina linux alguns sites... não sei como fazer, alguém pode me ajudar?

PS. tentei instalar o Squid, porém devido alguns scripts do nosso sistema, ele não aceita instalar...

rodrigom
(usa Debian)

Enviado em 30/08/2007 - 09:55h

Olha, acho que a maneira mais fácil de fazer isso e usando o squid, tambem tem a opção do iptables, (é mais dificel) só me diz uma coisa, porque que não da de instalar o squid, da algum erro ?

elgio
(usa OpenSuSE)

Enviado em 30/08/2007 - 10:39h

Se é somente uma máquina e é nela própria, realmente seria como levar um canhão para caçar passarinho (teria que instalar squid, capturar na mesma máquina a saida porta 80...)

Se tu precisa de solução simples, acho que iptables te resolve. Bloqueia os ips que tu não quer no OUTPUT do iptables:

iptables -A OUTPUT -d www.orkut.com -j REJECT
(sugiro neste caso usar REJECT).

Pergunta: os usuários não usam a máquina como root, usam?

juno
(usa Linux Mint)

Enviado em 30/08/2007 - 12:03h

Cara,

Posta o erro do squid aqui, assim te ajudamos.

A combinação iptables + squid é muito boa ;)

Falou =)

novato2007
(usa Conectiva)

Enviado em 30/08/2007 - 14:11h

Esse é o erro:


[root@servidor root]# apt-get install squid squid-*
Lendo Listas de Pacotes... Feito
Construindo Árvore de Dependências... Feito
Selecionando squid-extra-templates para 'squid-*'
Selecionando config(squid) para 'squid-*'
Selecionando squid para 'config(squid)'
Selecionando linuxconf-squid para 'squid-*'
Selecionando squid-auth para 'squid-*'
Selecionando config(squid-auth) para 'squid-*'
Selecionando squid-auth para 'config(squid-auth)'
Selecionando squid para 'squid-*'
Selecionando squid-doc para 'squid-*'
Selecionando squid.so.1 para 'squid-*'
Selecionando linuxconf-squid para 'squid.so.1'
Selecionando squid-templates para 'squid-*'
Você pode querer rodar `apt-get -f install' para corrigir estas:
Os seguintes pacotes têm dependências não resolvidas:
ssi-ecf_server: Depende: ssi-scripts (>= 2.0) mas este não é instalável
ssi-scripts-patch: Depende: ssi-scripts (>= 0.0) mas este não é instalável
E: Dependências não resolvidas. Tente 'apt-get -f install' sem pacotes (ou especifique uma solução).
[root@servidor root]#


Não posso substituir esses scripts, se não meu sistema para de funcionar, inclusive temos sistemas de conexão remota tanto aqui qto nas filiais da empresa, e o bloqueio será nessa maquina aqui mesmo que ta com o sistema rodando, o root como me pediram, somente eu uso..


por iptables, aonde coloco esses codigos?
posso colocar dentro de /etc/rc.local ?

mas ai tenho que carregar os modulos de iptables certo? assim: (dentro de rc.local)

# Carregando iptables
modprobe ip_tables
modprobe iptable_filter
modprobe iptable_mangle
modprobe iptable_nat
modprobe ipt_MASQUERADE
# iptables carregado
#
# Bloqueio por IPTables
iptables -A OUTPUT -d www.orkut.com -j REJECT
# Fim de bloqueio


fica assim o codigo todo ou tenho que coloca mais algo?

posso usar iptables sem usar squid?

valeu pela ajuda até o momento :)

novato2007
(usa Conectiva)

Enviado em 30/08/2007 - 14:14h

deu erro daquela maneira de iptables...

[root@servidor etc]# ./rc.local
iptables v1.2.9: host/network `www.orkut.com' not found
Try `iptables -h' or 'iptables --help' for more information.
[root@servidor etc]#


o que tenho que mudar no codigo?

juno
(usa Linux Mint)

Enviado em 30/08/2007 - 14:27h

Cara,
No apt-get você coloca assim:

apt-get -f install
-> isso é para resolver o problema com os pacotes que não foram instalados corretamente;

agora :

apt-get install squid
-> o próprio apt vai resolver as dependências.

depois disso feito você deve ter o squid pronto para ser configurado.

OBS1. o squid não deve bloquear nada nos seus redirecionamentos.

Bom quanto ao iptables você tem que salvar em um arquivo tipo firewall.sh em uma pasta no linux .
Depois você tem quer dar permissão de execução nele:
Ex. chmod 775 firewall.sh

Depois edita ele e coloca os comandos.

Espero ter lhe ajudado !

Falou =)

novato2007
(usa Conectiva)

Enviado em 30/08/2007 - 14:32h

Se eu usar o -f no apt-get install...
ele vai substituir alguns scripts que tenho rodando...
certo?


se for.. não posso fazer isso.


sobre o problema de antes de rodar o iptables, se eu coloca o ip do www.orkut.com ele aceita... mas como todo host pode ter varios servidores redirecionando.. o ideal seria faze um com www.orkut.com... tem como?

juno
(usa Linux Mint)

Enviado em 30/08/2007 - 14:49h

Cara,
esse comando "apt-get -f install" apenas vai retirar do seu sistema os pacotes que não puderam ser instalados e causam alguma dependência.

Qual ditro você está usando ?

esta máquina é o que especificamente?

Falou =)

novato2007
(usa Conectiva)

Enviado em 30/08/2007 - 15:41h

"esse comando "apt-get -f install" apenas vai retirar do seu sistema os pacotes que não puderam ser instalados e causam alguma dependência."


esses pacotes instalados seria os scripts que tem rodando no pc ou os pacotes do squid que não puderam ser instalados?


esse pc aqui é o servidor da empresa, a empresa é pequena, mas tem servidor linux para rodar o sistema que somente funciona em linux... (sistema de estoque, clientes, vendas, financeiro) e por isso não posso tirar nada do que está rodando atualmente no servidor, a distro aqui é conectiva linux 10, infelizmente.... eu somente uso conectiva aqui, não gosto dele, por isso as vezes fico meio perdido, em casa uso slack11 que é bem diferente desse aqui.


to testando aquele comando via iptables que foi postado acima:

iptables -A OUTPUT -d www.orkut.com -j REJECT

mas em vez de www.orkut.com, coloquei o IP dele.. ai o comando deu certo...
com ip do msn.com, msn.com.br e mais alguns ta certo... bloquiou.. mas com terra, uol, google, orkut.. não deu certo, então como posso fazer pra usar o www.end-do-site.com(ou .com.br) pra funcionar por iptables???

pois vejo que alguns sites como www.google.com ou www.google.com.br (sites que possuem varios servidores) está passando ainda pelo bloqueio, se conseguir bloquear esses 2 ja é uma mão na roda pra mim.

juno
(usa Linux Mint)

Enviado em 31/08/2007 - 01:08h

Cara ,
O apt-get -f install vai desinstalar os arquivos de instalação do squid "presos" no repositório.

Faz o seguinte, executa o comando apt-get -f install
que ele vai trazer logo depois os arquivos truncados e o que ele vai executar e posta aqui.
Assim vamos ter certeza do que faremos ;)
Falou !

novato2007
(usa Conectiva)

Enviado em 31/08/2007 - 08:42h

Não deu certo pra instalar o Squid, mesmo com -f

[root@servidor /]# apt-get -f install squid squid-*
Lendo Listas de Pacotes... Feito
Construindo Árvore de Dependências... Feito
Selecionando squid-extra-templates para 'squid-*'
Selecionando config(squid) para 'squid-*'
Selecionando squid para 'config(squid)'
Selecionando linuxconf-squid para 'squid-*'
Selecionando squid-auth para 'squid-*'
Selecionando config(squid-auth) para 'squid-*'
Selecionando squid-auth para 'config(squid-auth)'
Selecionando squid para 'squid-*'
Selecionando squid-doc para 'squid-*'
Selecionando squid.so.1 para 'squid-*'
Selecionando linuxconf-squid para 'squid.so.1'
Selecionando squid-templates para 'squid-*'
Você pode querer rodar `apt-get -f install' para corrigir estas:
Os seguintes pacotes têm dependências não resolvidas:
ssi-ecf_server: Depende: ssi-scripts (>= 2.0) mas este não é instalável
ssi-scripts-patch: Depende: ssi-scripts (>= 0.0) mas este não é instalável
E: Dependências não resolvidas. Tente 'apt-get -f install' sem pacotes (ou especifique uma solução).
[root@servidor /]#