Olá pessoal, estou com um problema em minha rede que não sei como solucionar, na empresa em que trabalho vários usuários estão burlando o servidor proxy acessando a internet pelo navegador Tor (o navegador utilizado na Deep Web), acontece que olhando o log do sarg eu vi que o acesso é feito atravez do ip de um servidor qualquer.

Não sei se minha ideia funcionaria, mas queria colocar algum comando que impeça o usuário de digitar o ip do site que quer abrir, por exemplo, quero entrar no google, se eu digitar www.google.com ou 74.125.234.242(que é o ip do google ele entra), queria uma forma de bloquear o acesso aos sites pelo ip, por exemplo, se o usuário digitar www.google.com entra, mas se digitar 74.125.234.242 ele não entra, assim talvez eu consiga barrar esse Tor.

No relatorio do Sarg aparece como abaixo

137.56.163.64:8080
171.25.193.21:443
www.globo.com/
www2.bancobrasil.com.br:443 sn109ds.mail.services.live.com/DeltaSync_v2.0.0/ItemOperations.aspx
204.45.16.2:443
sup.live.com/whatsnew/whatsnewservice.asmx
68.169.35.102:443

Quando ta o nome do site é que eles estão usando o navegador normal, quando ta os IPs é quando estão usando o Tor.

Detalhe, não sei os IPs dos servidores do Tor, então é impossível barrar um IP específico, eu preciso barrar todos os IPs deixando o usuário navegar apenas se ele digitar o endereço do site.

Vi esse comando uma vez, mas já tem muito tempo, nas pesquisas que fiz não consegui encontrar ele novamente e por ter pouca experiência eu não sei como fazer isso.

Alguém tem alguma solução?

acl sites_ip dstdom_regex [0-9]+\.[0-9]+\.[0-9]+\.[0-9]+

http_access deny sites_ip

nao eh uma dica mas sei que funciona ;)

trabalhei em uma empresa em que um funcionário que usava o tor foi demitido...

eritonalmeida

Valeu cara, sua dica funcionou, pelo menos temporariamente.

Testei o Tor na minha máquina e ele não conecta de maneira nenhuma, olhei o relatorio do sarg e o usuário teve várias tentativas bloqueadas de acesso, porém na parte da tarde praticamente na hora de ir embora ele disse que mesmo assim da pra usar se configurar de outra maneira la, ele disse que chegou a usar, mas não vi relatorio do sarg dizendo que tava liberado, vou ter que olhar na máquina dele se realmente ta funcionando com alguma outra configuração, fiquei na dúvida se realmente ta funcionando ou ele falou só pra falar que não consigo bloquear.

O duro é que nem ameaças de demissão não adianta porque todo mundo aqui sabe que o patrão não demite ninguém por conta disso, em 14 anos de empresa só houve 2 demissões e foi por algo mais grave que isso, então o pessoal nem esquenta.

Obrigado pelas dicas, vou espiar a máquina do indivíduo, se realmente estiver funcionando volto aqui no tópico pra dizer.

A dica do @eritonalmeida funciona se o seu proxy estiver configurado no navegador. Se ele for transparente, só funcionará se o usuário estiver acessando via porta 80. Se tentar outras portas (443, por exemplo), não passará pelo squid. O certo é bloquear o acesso a todas as portas e liberar alguns IP's para acessar sites seguros (bancos, e-mails etc.). Outra opção é remover o proxy transparente e usar proxy autenticado (bem melhor!).

usando o proxy autenticado é melhor como o Renato sugeriu

O Proxy já é autenticado, sempre foi.

Então é o seu firewall q tá com brechas. Imponha a política d DROP para INPUT e FORWARD da tabela filter e libere apenas o necessário.

Mas o Tor usa a porta padrão da net 80 e 443 pra conexão, se eu barrar essa porta eu fico sem net, nem os navegadores normais funcionam.

Na verdade ta tudo sendo direcionado pra 3128, por isso quando o usuário usava o Tor ele aparecia no relatório do Sarg, sendo assim após adicionar os comandos do colega lá em cima no Squid toda vez que o usuário tentava acessar ele recebia acesso negado na cara, porém ele me disse que configurou o Tor de outra forma e que funciona, só não sei se é verdade ou onda dele, porque tentei configurar na minha máquina e não conecta nem a pau.

Como o proxy tá autenticado, tudo vai para o squid. A partir dae, vc bloqueia as conexões, d acordo com as opções dadas. Outro lance é liberar apenas o necessário (como disse antes) e inserir, no final das regras, a linha http_access deny all, para bloquear tudo menos o q foi liberado explicitamente.

Realmente o problema está resolvido, o usuário estava era de onda falando que continuava a funcionar hehe, tão simples como duas(no meu caso 3 porque adicionei excessões) pequenas linhas podem resolver um problema assim rsrsrsrs

Problema resolvido até encontrarem outra forma de burlar as regras novamente, infelizmente aqui só trabalham programadores, que por sua vez não são bobos como qualquer leigo, sendo assim sempre arrumam um jeitinho e burlar, mas se burlar basta descobrir e bloquear, só tem uma forma completamente efetiva de acessar tudo sem restrição e sem ter como bloquear, que é acessando um computador externamente via logmein, teamviewer ou algo parecido, pois não posso bloquear porque damos suporte online, ou seja, se lerem esse post e começarem a fazer isso aí ferrou a funcionalidade do proxy kkkkkkkkkkkkkkkkkkkkkk

Grato pela ajuda de todos.