Existe alguma maneira de bloquear o facebook na rede definitivamente ? COM IPTABLES ? FIREWALL ? O S

maicomitalo
(usa Ubuntu)

Enviado em 18/07/2013 - 11:34h

Existe alguma maneira de bloquear o facebook na rede definitivamente ? COM IPTABLES ? FIREWALL ? O SQUID NÃO CONSEGUE BARRAR USUÁRIOS AVANÇADOS !,


no meu squid tem essas acls :


acl [*****] url_regex "/etc/squid/[*****]"

http_access deny [*****] all

dentro do arquivo [*****] tem

facebook.com
facebook

tambem tem no meu squid.conf assim :

acl all src 0.0.0.0/0.0.0.0

http_access deny all
http_reply_access allow all

porem os usuarios ainda consegue acessar o facebook . eu sei que eles usam duas formas uma é entrando no ubuntu desktop como usuario convidado e outra é depois que eles entra na pagina facebook.com , eles desativa o proxy e recarrega a pagina e o facebook funciona . e tambem usam outras forma pra burla o proxy








>>> segue meu squid completo >>>>




http_port 3128
extension_methods REPORT MERGE MKACTIVITY CHECKOUT
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
cache deny QUERYsup
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
cache_mem 64 MB
maximum_object_size 8192 KB
maximum_object_size_in_memory 64 KB
cache_dir ufs /var/spool/squid 400 64 64
access_log /var/log/squid/access.log squid
ftp_passive on
dns_nameservers 10.46.136.4 10.46.136.11 10.46.136.12
hosts_file /etc/hosts
auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/passwd
auth_param basic children 5
auth_param basic realm Servidor Proxy da 3a. DL
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
acl password proxy_auth REQUIRED


acl nivel1 proxy_auth "/etc/squid3/senhaNivel1"
acl nivel2 proxy_auth "/etc/squid3/senhaNivel2"
acl nivel3 proxy_auth "/etc/squid3/senhaNivel3"




acl site_google dstdom_regex "/etc/squid/google_terra"
acl ip_google src "/etc/squid/arq_google"
acl gov dstdom_regex "/etc/squid/governo"
acl arregomsn req_mime_type -i ^application/x-msn-messenger$
acl [*****] url_regex "/etc/squid/[*****]"
acl nporno url_regex "/etc/squid/nporno"
acl webmail src 10.46.136.9
acl negado src "/etc/squid/negado"
acl acessototal src "/etc/squid/acessototal"
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 # https
acl SSL_ports port 563 # snews
acl SSL_ports port 873 # rsync
acl Safe_ports port 80 # http
acl fap port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWAT
acl Safe_ports port 81 # teste
acl Safe_ports port 1863 #MSN
acl Safe_ports port 23000 # teste
acl purge method PURGE
acl CONNECT method CONNECT
acl HorarioExpediente time MTWH 07:30-16:15
acl HorarioSexta time F 07:30-12:30
acl Intervalo time MTWHF 11:30-13:20
acl sec_infor src 10.46.139.20 10.46.136.25 10.46.136.6 10.46.136.5
acl chefia src 10.46.136.2 10.46.136.20 10.46.136.25 10.46.136.230 10.46.138.31 10.46.139.21
acl sec_imagem src 10.46.137.77 10.46.137.70 10.46.137.24 10.46.136.251 10.46.139.19
acl html rep_mime_type text/html
acl Tarifador src 10.46.136.92

acl block url_regex -i "/etc/squid3/block.txt"


#aqui autentica os usuarios nivel3 em "/etc/squid3/senhaNivel3"
acl nivel3 proxy_auth "/etc/squid3/senhaNivel3"

# aqui são os sites liberados pra usuarios nivel3
acl sites_nivel3 url_regex -i "/etc/squid3/sitesNivel3"


http_access allow nivel1

http_access allow fap
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access allow gov
http_access allow site_google ip_google
http_access deny negado all
http_access allow acessototal
http_access allow webmail
http_access deny arregomsn
http_access allow nporno all
http_access deny [*****] all
http_access allow password

http_access deny block

http_access allow nivel2


# regra: http permitido pra os sites escritos no arquivo sitesNivel3
http_access allow sites_Nivel3

#http negado pra os usuarios nivel3 !com exceção dos sites descritos no aruivo sitesNivel3
http_access deny nivel3 !sites_Nivel3 !site_google !gov !nporno !webmail


http_access deny all
http_reply_access allow all
icp_access allow all

reply_body_max_size 0 allow sec_infor
reply_body_max_size 0 allow chefia
reply_body_max_size 0 allow sec_imagem
reply_body_max_size 0 allow html
reply_body_max_size 10000000 allow Tarifador HorarioExpediente
reply_body_max_size 10000000 allow Tarifador HorarioSexta
reply_body_max_size 50000000 allow !HorarioExpediente !HorarioSexta
reply_body_max_size 50000000 allow Intervalo
reply_body_max_size 6000000 allow all
cache_effective_group proxy
visible_hostname nautilus2.3dl.eb.mil.br

error_directory /usr/share/squid/errors/Portuguese
coredump_dir /var/spool/squid

danniel-lara
(usa Fedora)

Enviado em 18/07/2013 - 11:52h

bom eu fiz assim

meu script

# cat /root/list.txt

31.13.24.0/21

31.13.64.0/18

66.220.144.0/20

69.63.176.0/20

69.171.224.0/19

74.119.76.0/22

103.4.96.0/22

173.252.64.0/18

204.15.20.0/22

 

#cat /root/firewall.sh

#!/bin/bash



REDE_INTERNA="10.0.0.0/8"





iptables -F

iptables -X

iptables -t nat -F

iptables -t nat -X

iptables -t mangle -F

iptables -t mangle -X

iptables -P INPUT ACCEPT

iptables -P OUTPUT ACCEPT

iptables -P FORWARD ACCEPT





modprobe iptable_nat

echo "1" > /proc/sys/net/ipv4/ip_forward

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE



iptables -N FACEBOOK

iptables -I FORWARD -s $REDE_INTERNA -j FACEBOOK

for face in `cat /root/list.txt`;do



 

#LIBERANDO FACEBOOK PARA ALGUMAS MASQUINAS POR MAC NA REDE

iptables -A FACEBOOK -d $face -j REJECT

iptables -I FORWARD -m mac --mac-source 00:26:18:F7:84:E0 -d $face -j ACCEPT



done



iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128







 

espero que ajude

pakitao
(usa Debian)

Enviado em 18/07/2013 - 13:53h

O que o danniel disse funciona beleza comigo.
Agora com relação ao acesso pelo Ubuntu, por questões de segurança, você deveria ter desativado desde o início a conta convidado do ubuntu.

SK5_RJ
(usa Debian)

Enviado em 18/07/2013 - 14:12h

Sempre bloquei pelo Iptables e nunca falhou, basta apenas acrescentar o modulo abaixo!

modprobe ipt_string



iptables -I FORWARD -m string --algo bm --string "facebook.com" -j DROP

iptables -I OUTPUT -m string --algo bm --string "facebook.com" -j DROP

 

maicomitalo
(usa Ubuntu)

Enviado em 18/07/2013 - 20:46h

MUITO OBRIGADOOO PERFEITO , POREM DEPOIS DE APLICA ESSA REGRA , COMO POSSO LIBERA O FACEBOOK PARA O CHEFE ? o ip do meu chefe é 10.46.136.19

SK5_RJ
(usa Debian)

Enviado em 18/07/2013 - 21:20h

Neste caso a dica do Daniel lara é mais indicada para você, nunca a experimentei mas vou tentar agora mesmo!!!

coelhoposa
(usa Arch Linux)

Enviado em 18/07/2013 - 21:44h

Pelo que sei, no antivírus Avast! tem essa opção... será que na versão Linux existe essa função?