Fórum Ubuntu Linux - PT
Suporte Técnico => Servidores => Tópico iniciado por: righteous em 02 de Abril de 2014, 17:11
-
Olá.
A dias que pesquiso uma forma eficaz de bloquear o Facebook, Youtube, Twitter (HTTPS), mas até agora não consegui. Tentei via Iptables, pelo Squid, mas nada! Achei até uma dica para filtrar o https pelo squid mas tem falhas. Alguém já conseguiu resolver esse problema?
Uso o Squid Cache: Version 3.1.19
Ubuntu Linux 12.04.4
-
Tentei via Iptables
Má idéia.
pelo Squid, mas nada!
Este deveria ser o caminho...
Achei até uma dica para filtrar o https pelo squid mas tem falhas.
Ah, agora entendi o problema.
A falha chama-se "Proxy Transparente".
É fácil resolver: não use proxy transparente.
Como fazer:
1. Bloqueie todos os acessos diretos no seu firewall.
2. Informe seus usuários a configurarem o endereço do seu servidor como proxy.
Pronto, problema resolvido.
-
O problema é porque é uma rede grande, colocar proxy em todos os terminais é pedreira. Outro ponto é que meu conhecimento em firewall é pouco, pode me dar "caminho das pedras"?
Desde já obrigado.
-
Uso aqui com proxy transparente e bloqueio o Facebook normal, mas bloqueio por palavras!
-
Certo! Mas isso é pra porta 80, ou seja, facebook.com se o cara for no google e digitar facebook, o mesmo leva você para https://facebook.com, ou seja https (443) aí é que quebra as pernas, o squid não trata https com proxy transparente. Esse é meu dilema! :/
-
Não sei se é bem o que você procura, mas por aqui sempre utilizo os seguintes procedimentos, os quais são bastante simples e funcionam perfeitamente:
1- Bloqueio de sites pornográficos:
Utilize os DNS do OpenDNS, adicionando-os nas configurações de sua rede. Maiores informações no link abaixo:
http://www.tecmundo.com.br/seguranca/4495-aprenda-a-bloquear-sites-pornograficos-e-perigosos-no-computador.htm#ixzz2bJnbSRIW (http://www.tecmundo.com.br/seguranca/4495-aprenda-a-bloquear-sites-pornograficos-e-perigosos-no-computador.htm#ixzz2bJnbSRIW)
2- Bloqueio de sites específicos:
Abra o terminal e digite o comando abaixo:
sudo gedit /etc/hosts
Adicione uma linha com o site que deseja bloquear precedida pelo IP 127.0.0.1. Por exemplo, para bloquear o site da uol, adicione a linha abaixo:
127.0.0.1 www.uol.com.br
Salvo o arquivo e feche-o.
Em seguida basta desconectar-se e conectar-se na rede novamente para testar se as mudanças fizeram efeitos.
Abraço.
-
[...]
2- Bloqueio de sites específicos:
Abra o terminal e digite o comando abaixo:
sudo gedit /etc/hosts
Adicione uma linha com o site que deseja bloquear precedida pelo IP 127.0.0.1. Por exemplo, para bloquear o site da uol, adicione a linha abaixo:
127.0.0.1 www.uol.com.br
[...]
Uma vez fiz esta recomendação de inclusão de endereços no arquivo hosts para o https do Facebook e zekkerj me alertou que não é muito recomendável fazer este tipo de modificação. Agora o porquê desta ressalva, somente ele explicando...!!!
-
Não é que não seja recomendável, apenas não é eficiente. Tudo bem, bloqueia, mas só enquanto estiver lá --- e com três palitos o usuário tira isso do arquivo hosts da máquina. Ou então, ele dá boot com um LiveCD e acessa na boa...
Enfim: qualquer bloqueio baseado na máquina do usuário não é eficiente.
-
Não é que não seja recomendável, apenas não é eficiente. Tudo bem, bloqueia, mas só enquanto estiver lá --- e com três palitos o usuário tira isso do arquivo hosts da máquina. Ou então, ele dá boot com um LiveCD e acessa na boa...
Enfim: qualquer bloqueio baseado na máquina do usuário não é eficiente.
Concordo, zekkerj.
Mas esse procedimento utilizo aqui para as crianças (06 e 08 anos), sendo assim atende perfeitamente as minhas necessidades.
De qualquer forma, obrigado pela observação.
-
Não é praga, mas... até os 14 anos eles já vão ter descoberto como contornar. :D
-
KKKKkk. Verdade! 14 anos é muito... com 10 a moçada já está dando trabalho.
Ainda sem consegui bloquear o facebook! Lembrando que bloquear, bloquear até consegui, problema é que tenho que criar regras liberando para uma grupo de pessoas, por horário e etc.
-
Não é praga, mas... até os 14 anos eles já vão ter descoberto como contornar. :D
É verdade. ;D ;D ;D
Mais aí parto para medidas mais radicais.
Abraço.
PS: Uma pergunta: simplesmente criando um usuário específico para elas, sem acesso a root, e bloqueando o arquivo hosts para que seja editado apenas pelo administrador não impediria que elas burlassem o bloqueio? Neste caso a única forma de evitar o bloqueio seria elas utilizarem um LiveCD ou algo do tipo, confere?
-
Não é que não seja recomendável, apenas não é eficiente. Tudo bem, bloqueia, mas só enquanto estiver lá --- e com três palitos o usuário tira isso do arquivo hosts da máquina. Ou então, ele dá boot com um LiveCD e acessa na boa...
Enfim: qualquer bloqueio baseado na máquina do usuário não é eficiente.
Sejamos um pouco dramáticos, então...!!!
Edita o arquivo hosts e coloca senha na BIOS...
-
KKKKkk. Verdade! 14 anos é muito... com 10 a moçada já está dando trabalho.
Ainda sem consegui bloquear o facebook! Lembrando que bloquear, bloquear até consegui, problema é que tenho que criar regras liberando para uma grupo de pessoas, por horário e etc.
Uma alternativa é você usar a auto-detecção de proxy. Com isso o navegador é levado automaticamente ao seu squid, mesmo para endereços HTTPS.
Não é que não seja recomendável, apenas não é eficiente. Tudo bem, bloqueia, mas só enquanto estiver lá --- e com três palitos o usuário tira isso do arquivo hosts da máquina. Ou então, ele dá boot com um LiveCD e acessa na boa...
Enfim: qualquer bloqueio baseado na máquina do usuário não é eficiente.
Sejamos um pouco dramáticos, então...!!!
Edita o arquivo hosts e coloca senha na BIOS...
Aí ele traz um note de casa e pluga na tua rede. Ou faz isso com o smartphone.
-
Juro que não atendo porque não bloqueio dessa forma, jurava que assim matava o facebook:
Crie um arquivo chamado malware.cf. Pode ser qualquer nome. Este é o nome que uso.
Inclua neste arquivo as seguintes linhas:
^http\:\/\/(.+@)?(.+.)?facebook\.com
^https\:\/\/(.+@)?(.+.)?facebook\.com
Depois inclua duas linhas no squid.conf:
acl MALWARE dstdomain "/etc/squid/malware.cf"
http_access deny MALWARE
:(
-
Não bloqueia pq não passa por vc. Pra passar, vc tem que direcionar o tráfego da porta 443, o que faz com que o HTTPS pare de funcionar (todos os certificados falham); ou então... configurar o proxy no navegador.
A melhor alternativa é usar a auto-detecção de proxy (WPAD).
-
Não funciona com HTTPS e FTP;
Não funciona com sites que não operam na porta 80;
É facilmente burlável;
A autenticação *não funciona*;
Podem haver problemas com refresh de páginas.
http://www.vivaolinux.com.br/artigo/Configuracao-automatica-(mesmo)-de-proxy-com-WPAD
Uso IP estático. A grande questão é acabar com facebook, youtube, twitter e Ultrasurf. Pelo que diz esse post não vai dar certo.
-
Acho que você não entendeu direito... o post só confirma o que eu disse. Esses defeitos que você elencou são do proxy transparente, e o WPAD é a solução para isso.
-
Opps! Verdade! Lendo agora, reporto o resultado.
Obrigado!
-
righteous, desiste amigo. Bloquear https só com proxy transparente, qualquer outra forma é além de amadora ineficaz no médio e longo prazo.
Eu trabalho com firewalls e proxies há alguns anos e posso te dizer que todas as opções que exijam controle do lado cliente são fracas e lhe trarão muito mais trabalho que reconfigurar um proxy.
Resumindo... Faça o transparente na porta 80 e 443, daí quem não tiver proxy configurado ao menos conseguirá ver o e-mail, na maioria dos provedores, e quem precisar de https que chame o suporte de TI.
iptables -t nat -I PREROUTING -s ipredeinterna -p tcp --dport 80 -j DNAT --to ipservidorproxy
iptables -t nat -I PREROUTING -s ipredeinterna -p tcp --dport 443 -j DNAT --to ipservidorproxy
Isso vai resolver seu problema além de garantir profissionalismo no seu trabalho.
-
OK, você faz proxy transparente na porta 443. Mas como faz os certificados dos sites funcionarem?
-
zekkerj a tansparência na porta 443 tem o mesmo resultado que o bloqueio, eu não quero ninguém navegando https via transparência. Quando o usuário, sem proxy configurado, chama o endereço ele recebe erro de conexão. Só há navegação transparente por http. O objetivo é bloquear a porta 443 e permitir transparencia na porta 80.
-
- https://www.facebook.com/l.php?u=https%3A%2F%2Fthejimmahknows.com%2Fsquid-3-1-caching-proxy-with-ssl%2F&h=FAQHaYI82 (https://www.facebook.com/l.php?u=https%3A%2F%2Fthejimmahknows.com%2Fsquid-3-1-caching-proxy-with-ssl%2F&h=FAQHaYI82)
-
zekkerj a tansparência na porta 443 tem o mesmo resultado que o bloqueio, eu não quero ninguém navegando https via transparência. Quando o usuário, sem proxy configurado, chama o endereço ele recebe erro de conexão. Só há navegação transparente por http. O objetivo é bloquear a porta 443 e permitir transparencia na porta 80.
Ah, então vc admite que não funciona. Mas e se eu te disser que tem como fazer funcionar, sem ser transparente, e sem exigir que o usuário configure o proxy no navegador?
-
Opa! A discussão renasce! (risos)! Então moçada, essa regra eu coloco no firewall e faço mais alguma coisa? Explica melhor novaisjp... Faço um proxy autenticado e implemento essa regra no firewall? Mais o autenticado já não filtra o trafego https?
Eu não parei ainda para seguir a dica do zekkerj. A real é que não queria colocar proxy autenticado, nada nas máquinas dos usuários era a minha vontade. Agora deixar o facebook passando pela https não posso deixar isso continuar.
-
Eu poderia obrigar o usuário a usar o facebook somente pela porta 80, bloqueando somente o acesso via https no Firewall, daí o proxy resolveria o resto.
Vejam:
iptables -I FORWARD -d pt-br.facebook.com -p tcp --dport 443 -j DROP
Porém fiz isso acessou normal! :/
-
Eu poderia obrigar o usuário a usar o facebook somente pela porta 80, bloqueando somente o acesso via https no Firewall, daí o proxy resolveria o resto.
Vejam:
iptables -I FORWARD -d pt-br.facebook.com -p tcp --dport 443 -j DROP
Porém fiz isso acessou normal! :/
Eu coloquei: iptables -I FORWARD -m string --algo bm --string "facebook.com" -j DROP
Daí bloqueou legal, mas é aí que tá! Quero que passa o facebook pelo http. Porque daí o squid faz os devidos bloqueios. :)
-
Mas o facebook não usa HTTP, usa HTTPS, você não pode (e não deve) obrigá-lo a usar um protocolo menos seguro.