Encaminhamento de requisições https para sites proibidos

paulocljr
(usa Debian)

Enviado em 13/05/2013 - 14:22h

Olá a toda comunidade;

Estou aos poucos aprendendo sobre Firewall e me surgiu uma dúvida a respeito de algo que preciso implementar.

No Squid transparente estou bloqueando YouTube; preciso agora bloquear as requisições https para esse site também.

Vi que no IpTables, via layer7, eu consigo... porém eu não queria simplesmente 'negar' e sim fazer aparecer no navegador uma cópia do err_access_denied do próprio Squid, já que tenho um Apache instalado por causa do Sarg.

Na verdade é um encaminhamento né...

Alguém poderia me dar uma ajuda? Agradeço imensamente...

stefaniobrunhara
(usa CentOS)

Enviado em 13/05/2013 - 21:07h

Se você não contemplar no seu firewall "iptables" o acesso a porta 443 de forma livre, o bloqueio do facebook será 100% pelo squid, então mensagem de acesso negado será do squid.

paulocljr
(usa Debian)

Enviado em 14/05/2013 - 01:18h

Olá EstefanioBrunha;

Por tudo que eu li, creio que não tenha como eu bloquear Youtube 100% via Squid Transparente, pois o usuário digita https://www.youtube.com no navegador e burla o bloqueio, não?

Confirmando isso, preciso de algo que inspecione os pacotes https para liberá-los ou não, daí vi que o IpTables com layer7 implementado faria isso...

Mas se eu simplesmente negar o tráfego, o usuário não vai entender o recado: 'não pode abrir isso', por isso queria direcionar para uma página de erro, idêntica a do squid, certo?

Buckminster
(usa Debian)

Enviado em 14/05/2013 - 02:04h

Faça a tua página de erro pelo Apache.
E os bloqueios pelo Squid e pelo Iptables.

Pode fazer por string pelo IPtables:

iptables -A FORWARD -m string --algo bm --string "https://www.youtube.com" -j DROP

Se você quer só bloquear poucos sites. Regras do tipo aí de cima não são aconselháveis colocar muitas no IPtables. O bm da regra é um algoritmo de busca, ele buscará no cabeçalho do pacote tudo que coincidir com o que está no meio das aspas.

Não tenho uma estatística, mas acredito que até umas dez regras dessas funciona a contento. Claro que isso depende do teu link de banda larga e da robustez do hardware do teu servidor e do tráfego na tua rede.

Para o Squid ler as requisições https, você deverá compila-lo habilitado para isso (--enable-ssl).

johnnyb
(usa Fedora)

Enviado em 18/05/2013 - 21:47h

Amigo pesquise sobre wpad que distribuir o proxy via dhcp
dessa forma você podera fecha o fire e tirar o modo transparent do squid para que ele possa ler o cabeçaçho do site e assim bloquealo

paulocljr
(usa Debian)

Enviado em 20/05/2013 - 12:56h

Olá Buckminster , meu hardware não é tão bom assim e talvez eu vá ter que bloquear um número razoável de sites... Bom, mas vou testar... obrigado pela dica

Johnnyb -> a possibilidade é boa, pois já testei via proxy não transparente e daí fica tranquilo bloquear. Eu uso proxy transparente pois são mais de 200 estações na rede, daí configurar proxy de uma em uma é fogo, e dentre essas 200, tem os notebooks que são usados aqui e em vários outros lugares.

Se não tiver que configurar proxy e não precisar de autenticação, vai cair como uma luva.

gnumoksha
(usa Debian)

Enviado em 25/05/2013 - 11:59h

Respondendo sua pergunta inicial, voce pode criar um virtual host no apache, na porta 83 por exemplo, e ao inves de bloquear o acesso ao youtube voce redireciona para a porta 83. No virtual host voce cria um arquivo html chamado index.html contendo a mensagem que voce quer passar.

WPAD é uma boa no teu caso.

Buckminster
(usa Debian)

Enviado em 25/05/2013 - 14:04h

Veja isto:
http://www.vivaolinux.com.br/dica/Squid-Personalizando-o-arquivo-ERR_ACCESS_DENIED-ACESSO-NEGADO

O caminho depende da versão do teu Squid.

/usr/share/squid/errors/Portuguese

ou

/usr/share/squid3/errors/Portuguese


E concordo, WPAD.

paulocljr
(usa Debian)

Enviado em 27/05/2013 - 11:20h

Olá a todos, agradeço as postagens, vou começar a estudar um pouco de WPAD então...

Na minha rede, atualmente, o DHCP está num servidor Windows... vou desativar lá e instalar o dhcp3 no meu server para implementar o wpad.

Abçs a todos.