Squid nao bloqueia https://www.facebook.com

fs.schmidt
(usa CentOS)

Enviado em 28/07/2011 - 22:13h

Pois é Bonder, essa seria uma alternativa, porém sites como o facebook possuem balanceamento de requisições, cada conexão pode retornar um ip diferente.

bonder.stgo
(usa Ubuntu)

Enviado em 03/08/2011 - 10:55h

Voce está correto fs.schmidt.

E se adicionarmos uma regra $IPTABLES -A FORWARD -p tcp -s IP_REDE_INTERNA -d www.facebook.com -j DROP
Derrepende implementando ela com a porta 443.

fs.schmidt
(usa CentOS)

Enviado em 03/08/2011 - 11:56h

Olá bonder, se colocar a regra como voce falou ele simplesmente resolve o nome para o ip q responder no momento. Vi aqui no vol alguns scripts interessantes, q de tempo em tempo pega o ip que o facebook responder e bloqueia.

Montei um squid para laborátorio, justamente para bloquear sites https quando se utiliza proxy transparente. A conclusão que cheguei é que é muito mais vantajoso utilizar WPAD, que é configurado de forma muito fácil no dhcp/dns: http://pt.wikipedia.org/wiki/WPAD

MAS também é necessário nas estações que esteja marcada a opção "detectar automaticamente a configuração" nos browsers, e se você não tiver um serviço de diretório ou um domínio para estações windows para definir como politica fica ruim pois se desmarcar ele passa fora do proxy.

Resumindo, o squid possui a diretiva https_port, que é para requisições https, mas não vem habilitado por padrão nos pacotes das distros que testei, para isso tem que recompilar com --enable-ssl.
Obs.: A parte ruim é que tem que utilizar um certificado que não seja auto assinado no servidor proxy, senão os sites acessados rejeitam a conexão.

marcelobomg
(usa Debian)

Enviado em 29/05/2012 - 18:38h

como que eu copilo o squid oara aceitar https.

andrecanhadas
(usa Debian)

Enviado em 29/05/2012 - 18:54h

Quando tiver alguma duvida abra um novo post com sua duvida não use post ja aberto por outro.

Quanto a compilar com --enable-ssl como dito acima vai precisar de um certificado valido.
Da uma lida:
http://www.vivaolinux.com.br/dica/Bloquear-Facebook-e-Youtube-por-HTTPS

rotaviano
(usa CentOS)

Enviado em 21/11/2013 - 16:09h

cara...é o seguinte...

tambem uso proxy transparente e consegui resolver barrando pela string

barrar pela resolução de nomes

echo “127.0.0.1 facebook.com” >> /etc/hosts
echo “127.0.0.1 m.facebook.com” >> /etc/hosts
echo “127.0.0.1 www.facebook.com” >> /etc/hosts

pra mim deu certo...

abraço

adonisgarces
(usa Debian)

Enviado em 22/11/2013 - 20:49h

amigo,

usa essa regra, funciona muito bem...uso na minha empresa, também tenho proxy transparente.

insira na seu arquivo de firewall.

################################ LIBERA POR RANGE DE IP - EX: DIRETORES #############################



#iptables -t filter -A FORWARD -p tcp --dport 443 -m iprange --src-range 192.168.1.10-192.168.1.20 -m string --algo bm --string "facebook.com" -j ACCEPT

#iptables -t filter -A FORWARD -p tcp --dport 443 -m iprange --src-range 192.168.1.10-192.168.1.20 -m string --algo bm --string "facebook.com" -j ACCEPT



############################### BLOQUEIA PRA TODOS OS USUARIOS DA REDE ##############################



#iptables -t filter -A FORWARD p tcp --dport 443 -m string --algo bm --string "facebook.com" -j DROP

#iptables -t filter -A FORWARD p tcp --sport 443 -m string --algo bm --string "facebook.com" -j DROP

 

Ps: Lembre-se que é necessario setar o proxy nas estações dos diretores. Essa regra bloqueia ate quem usa android o facebook recebe as notificaçoes se tiver conectados a rede, todavia o usuario do celular nao consegue ver nada. hahahaa, nao atualiza!!!

Espero que te ajude!!

Qualquer dúvida posta ai que gente tenta de outra forma.!

Abs.