Squid nao bloqueia https://www.facebook.com

islan
(usa Debian)

Enviado em 07/07/2011 - 14:14h

Boa tarde a todos!

Pessoal, mesmo adcionando a palavra facebook na acl com palavras proibidas e colocando o dominio https://www.facebook.com na acl de sites bloqueados no squid, ele nao consegue bloquear esse dominio https.

alguem me da alguma dica ai, os usuarios de uma empresa que presto servico tao furando o bloqueio usando esse site seguro.

fs.schmidt
(usa CentOS)

Enviado em 07/07/2011 - 14:55h

Olá Islan, você está usando proxy transparente?

islan
(usa Debian)

Enviado em 08/07/2011 - 22:35h

estou usando proxy transparente sim!

fs.schmidt
(usa CentOS)

Enviado em 08/07/2011 - 22:56h

Certamente esse é o motivo de não estar sendo bloqueado, o proxy transparente está tratando somente http...você direcionou a porta 80 para o seu squid nao é isso?

Não sei como está a estrutura da sua rede, mas creio que configuração automática de proxy com WPAD pode ser mais efetivo.

aline.abreu
(usa Debian)

Enviado em 08/07/2011 - 23:56h

Você tem que fazer uma regra no firewall que encaminhe as requisições das portas ssl para o squid tbm, assim você consegue bloquear os https.
eu tive um problema parecido com emails configurados no outlook, que bloqueei pela porta.

islan
(usa Debian)

Enviado em 11/07/2011 - 11:09h

Obrigado Shmidt e Aline! Aline, pra eu direcionar todo o trafego https é direcionando o trafego da porta 443? acabei de fazer isso usando o seguinte comando e nao funcionou:

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 443 -j REDIRECT --to-port 8080

islan
(usa Debian)

Enviado em 14/07/2011 - 14:24h

Pessoal, boa tarde!

Ao longo desses dias eu pesquisei em busca de uma solucao para bloquear sites https, e fiquei sabendo que o squid ate o presente momento nao faz isso, encontrei muitas regras do iptables, e tentei usar uma dessas, porem quando reinicio o meu compartilhamento, aparece a seguinte mensagem:

root@debian:~# /etc/init.d/compartilhamento restart
iptables v1.4.8:
The "nat" table is not intended for filtering, the use of DROP is therefore inhibited.


Alguem pode me dar uma dica de como faco para resolver essa mensagem? A regra que usei foi a seguinte:

iptables -t nat -I PREROUTING -m tcp -p tcp -d www.facebook.com --dport 443 -j DROP

fabianocoisa
(usa Debian)

Enviado em 14/07/2011 - 15:05h

Amigo

Você não pode bloquear na tabela nat deve fazer isto na filter e mesmo que faça isto não vai resolver teu problema pois o dominio www.facebook.com faz balanceamento apontando para vários endereços de rede. Se voce precisa fazer este bloqueio e não esta conseguindo pelo fato do squid estar trabalahando em modo transparente acho que esta na hora de pensar em outra implmentação da solução que atenda melhor as necessidades.

chris-zinho
(usa Debian)

Enviado em 19/07/2011 - 11:37h

Alguém já conseguiu realizar este bloqueio do facebook? Estou com o msm problema, qdo se coloca o https, o site funciona. Abs,

leitaox
(usa Debian)

Enviado em 22/07/2011 - 08:01h

Estou com o mesmo problema, ontem ativei um novo proxy na empresa que trabalho e acabei de verificar que tudo que for via https o sistema deixa passar. Tambem testei a regra de redirecionamento de porta no iptables, porém, não funcionou. Pesquisando na net eu um comentário de que seria necessário configurar um certificado SSL.

Pretendo resolver isto agora no periodo da manha e caso encontre uma solução eu aviso.

Se alguem tiver mais informações avisa ai.

[]'s

bonder.stgo
(usa Ubuntu)

Enviado em 28/07/2011 - 19:56h

Acredito que voce deve criar uma regra no seu firewall bloqueando da seguinte forma
tudo q for saida de sua rede ex: 192.168.x.x com destino a o ipdo facebook www.facebook.com (66.220.153.15) DROP

iptables -A FORWARD -s 10.0.0.0/8 -d 66.220.153.15 -j DROP

fs.schmidt
(usa CentOS)

Enviado em 28/07/2011 - 22:12h

Olá, o squid com a diretiva "http_port" e você direcionando a porta 80 para o mesmo realmente só irá tratar requisições http.

Voce tem essas alternativas:

- Deixar de utilizar proxy transparente, WPAD é uma boa solução.
- Compilar o squid com suporte a ssl para poder utilizar a diretiva https_port e poder direcionar a porta para esta.