Squid 3 [RESOLVIDO]

1. Squid 3 [RESOLVIDO]

aioriaman
(usa BackTrack)

Enviado em 07/08/2013 - 22:13h

Prezados, estou tendo bastante dor de cabeça com bloqueio de vídeos online na porta 443. Meu squid não é transparente, ou seja eu o configuro manualmente em todas as estações, ultimamente estou tendo este problema principalmente com o youtube. Fiz o bloqueio com rep_mime_tipe e funcionou de boa, mas se o usuário digitar https antes do endereço ele passa tranquilamente. Com o facebook funcionou tranquilamente, se alguém souber de algo que possa me ajudar por favor compartilhe.

Muito Obrigado a TODOS!

0 0

Quote

2. Re: Squid 3 [RESOLVIDO]

andrecanhadas
(usa Debian)

Enviado em 07/08/2013 - 22:26h

Tenta assim:



iptables -A FORWARD -p tcp -d 190.98.170.0/23 -m multiport --dports 80,443 -j DROP

# para liberar pro chefe

iptables -A FORWARD -p tcp -d 190.98.170.0/23 -s 192.168.0.2 -m multiport --dports 80,443 -j ACCEPT

Bloqueando este range os videos não carregam apesar da pagina inicial carregar normalmente

Tem outros ranges como facebook e twitter se precisar:
http://www.vivaolinux.com.br/topico/Squid-Iptables/Bloquear-Range-de-IPS-HTTPS-do-YOUTUBE

0 0

Quote

3. Re: Squid 3 [RESOLVIDO]

souzacarlos
(usa Outra)

Enviado em 07/08/2013 - 23:55h

Boa noite, explica ai sua estrutura, quantas placas de rede se esta usando o server pra nat, coisas desse tipo são importantes para resolução

Aguardo

0 0

Quote

4. Re: Squid 3 [RESOLVIDO]

Buckminster
(usa Debian)

Enviado em 08/08/2013 - 06:47h

Já que teu Squid não é transparente e se você tem o Iptables, redireciona todas as requisições da porta 443 para a 3128 no Iptables:

iptables -t nat -A PREROUTING -i ethx -p tcp --dport 443 -j REDIRECT --to-port 3128 <<< onde ethx é a placa da tua rede interna (eth0, eth1, etc...).

E daí é só bloquear ou liberar no Squid.

0 0

Quote

5. BLOQUEIO DE SITES VIA IPTABLES

adonisdrummer
(usa Debian)

Enviado em 08/08/2013 - 08:45h

eth0 = LAN
eth1 = WAN

#Libera Https para o chefe #

iptables -A FORWARD -i eth0 -s 192.168.0.100 -m string --algo bm --string "facebook.com" -j ACCEPT #IP LIBERADO
iptables -A FORWARD -i eth1 -d 192.168.0.100 -m string --algo bm --string "facebook.com" -j ACCEPT #IP LIBERADO
iptables -A FORWARD -i eth0 -s 192.168.0.100 -m string --algo bm --string "youtube.com" -j ACCEPT #IP LIBERADO
iptables -A FORWARD -i eth1 -d 192.168.0.100 -m string --algo bm --string "youtube.com" -j ACCEPT #IP LIBERADO

###################### Bloqueia Sites para os demais #################################

iptables -A FORWARD -i eth0 -m string --algo bm --string "facebook.com" -j DROP
iptables -A FORWARD -i eth1 -d 192.168.0.0/24 -m string --algo bm --string "facebook.com" -j DROP
iptables -A FORWARD -i eth0 -m string --algo bm --string "youtube.com" -j DROP
iptables -A FORWARD -i eth1 -d 192.168.0.0/24 -m string --algo bm --string "youtube.com" -j DROP

Amigo, se vc não usa proxy transparente segue as regras.

Comigo funcionou, porém como eu uso transparente ainda estou buscando uma solução para isso.

Você pode fazer para os sites que vc precisar.

Avisa ae se funcionou.

Abs,

Adonis

0 0

Quote

6. Re: Squid 3 [RESOLVIDO]

Buckminster
(usa Debian)

Enviado em 08/08/2013 - 08:50h

adonisdrummer escreveu:

eth0 = LAN
eth1 = WAN

#Libera Https para o chefe #

iptables -A FORWARD -i eth0 -s 192.168.0.100 -m string --algo bm --string "facebook.com" -j ACCEPT #IP LIBERADO
iptables -A FORWARD -i eth1 -d 192.168.0.100 -m string --algo bm --string "facebook.com" -j ACCEPT #IP LIBERADO
iptables -A FORWARD -i eth0 -s 192.168.0.100 -m string --algo bm --string "youtube" -j ACCEPT #IP LIBERADO
iptables -A FORWARD -i eth1 -d 192.168.0.100 -m string --algo bm --string "youtube" -j ACCEPT #IP LIBERADO

###################### Bloqueia Sites para os demais #################################

iptables -A FORWARD -i eth0 -m string --algo bm --string "facebook.com" -j DROP
iptables -A FORWARD -i eth1 -d 192.168.0.0/24 -m string --algo bm --string "facebook.com" -j DROP
iptables -A FORWARD -i eth0 -m string --algo bm --string "youtube.com" -j DROP
iptables -A FORWARD -i eth1 -d 192.168.0.0/24 -m string --algo bm --string "youtube.com" -j DROP

Amigo, se vc não usa proxy transparente segue as regras.

Comigo funcionou, porém como eu uso transparente ainda estou buscando uma solução para isso.

Avisa ae se funcionou.

Abs,

Adonis

Squid transparente não bloqueia SSL, o popular HTTPS.

0 0

Quote

7. Re: Squid 3 [RESOLVIDO]

adonisdrummer
(usa Debian)

Enviado em 08/08/2013 - 09:13h

Buckminster escreveu:

adonisdrummer escreveu:

eth0 = LAN
eth1 = WAN

#Libera Https para o chefe #

iptables -A FORWARD -i eth0 -s 192.168.0.100 -m string --algo bm --string "facebook.com" -j ACCEPT #IP LIBERADO
iptables -A FORWARD -i eth1 -d 192.168.0.100 -m string --algo bm --string "facebook.com" -j ACCEPT #IP LIBERADO
iptables -A FORWARD -i eth0 -s 192.168.0.100 -m string --algo bm --string "youtube" -j ACCEPT #IP LIBERADO
iptables -A FORWARD -i eth1 -d 192.168.0.100 -m string --algo bm --string "youtube" -j ACCEPT #IP LIBERADO

###################### Bloqueia Sites para os demais #################################

iptables -A FORWARD -i eth0 -m string --algo bm --string "facebook.com" -j DROP
iptables -A FORWARD -i eth1 -d 192.168.0.0/24 -m string --algo bm --string "facebook.com" -j DROP
iptables -A FORWARD -i eth0 -m string --algo bm --string "youtube.com" -j DROP
iptables -A FORWARD -i eth1 -d 192.168.0.0/24 -m string --algo bm --string "youtube.com" -j DROP

Amigo, se vc não usa proxy transparente segue as regras.

Comigo funcionou, porém como eu uso transparente ainda estou buscando uma solução para isso.

Avisa ae se funcionou.

Abs,

Adonis

Squid transparente não bloqueia SSL, o popular HTTPS.

Bem colocado amigo, mais nesse caso ele nao usa proxy transparente. no caso sim, essa regra nao me ajudou mto pq eu uso transparente, agora enquanto a solicitaçao acima funciona eu testei na minha empresa.

Vlw pela dica.

0 0

Quote

8. Resolvido

aioriaman
(usa BackTrack)

Enviado em 19/08/2013 - 20:42h

Pessoal, muito obrigado pela ajuda, fiz o bloqueio por string. Foi o que me pareceu mais facil... rs Muito obrigado mais uma vez pela ajuda dos companheiros.

0 0

Quote