Re: Bloquear Youtube pelo proxy autenticado por usuários (ainda!!!!!)
usando firewall somente a máquina do proxy teria acesso a internet pelas portas http 80 e https. E nela você configura as ACL's. Vou dar um exemplo usando horários, em uma rede específica para bloquear sites de redes sociais, como youtube, facebook twitter acl rede_academica src 192.168.32.0/24 RESTRICAO de sites por horario academica acl h_manha_academica time MTWHF 08:00-12:00 acl h_tarde_academica time MTWHF 14:00-18:00 acl sites_hrcomercial_academica url_regex -i "/etc/squid3/sites_bloq_hrcomercial_academica" http_access deny rede_academica sites_hrcomercial_academica h_manha_academica http_access deny rede_academica sites_hrcomercial_academica h_tarde_academica deny_info http://intranet/bloqueio/hrcom.php h_manha_academica deny_info http://intranet/bloqueio/hrcom.php h_tarde_academica http_access deny !CONNECT rede_academica sites_hrcomercial_academica h_manha_academica http_access deny !CONNECT rede_academica sites_hrcomercial_academica h_tarde_academica O bloqueio de https acontece justamente na !connect pois não permite abrir a conexão SSL com o dito site, sem essa tag o acesso https aconteceria normalmente iria bloquear somente no http (http_access). *Rodrigo Germano de Paula* Técnico em Tecnologia da Informação IFB Campus Planaltina Contato: (61) 21962601 Em 22 de janeiro de 2016 10:28, Lucas Castro escreveu: > Eu uso squid+ssl_bump, > e redireciono todo trafego 80 e 443 para portas especificas configurada > no proxy. > http://wiki.squid-cache.org/ConfigExamples/Intercept/SslBumpExplicit > > Outra forma de fazer, mas não acho muito interessante, > é configurar servidor de dns interno, e criar views com as zonas do > endereços que desejar "bloqueiar" > e apontar, por exemplo youtube.com, e direcionar para seu servidor > local, ou pra lugar nenhum. > > On 06-01-2016 15:58, Paulo wrote: > > J., Boa Tarde. > > > > Já tive dores de cabeça como esta que está passando. > > Mas é simples de se resolver. > > > > No navegador tudo (http e https irá para o ip-do-proxy e porta-do-proxy). > > > > No proxy basta colocar uma regra que a porta 443 e 80 que rejeite. > > Exemplos: > > IPTABLES -A INPUT -p tcp -s ip-da-maquina_ou_range --dport 80 -j REJECT > > IPTABLES -A INPUT -p tcp -s ip-da-maquina_ou_range --dport 443 -j REJECT > Não vejo como isso pode funcionar, pois o trafego que passa pelo > firewall, não passa pela INPUT, e sim por FORWARD. > > > > Para bloquear a todos da rede vai usar o range (Exemplo: > > 192.168.0.0/24) = [ de 192.168.0.1 até 192.168.0.254 ]. > > > > Para bloquear por máquina vai usar o ip-da-maquina (Exemplo: 192.168.0.1) > > > > Para liberar uma máquina não coloque o ip da mesma nas regras de > > rejeição, contanto que ela não faça parte do range de ip, ou libere o > > ip da mesma antes da regra de rejeição trocando o REJECT por ACCEPT. > > > > Consulte se as regras ficaram na ordem desejada com o comando IPTABLES > > -S ou IPTABLES -n -L > > > > As máquinas terão que ter IP fixo, ou o TTL (Tempo de vida do DHCP) > > será maior que 30 dias. > > > > Assim se um usuário tirar o proxy do navegador ele não navegará para > > fora. > > > > Espero ter ajudado, > > > > Paulo. > > > > > > Em 06/01/2016 16:26, Keppler escreveu: > >> Boa tarde pessoal. > >> Estou procurando há um tempão na internet como bloquear sites "https" > >> e não estou conseguindo, por exemplo, o que está me dando dor de > >> cabeça é o YOUTUBE!! > >> > >> Vou tentar explicar o que já fiz e como é minha estrutura: > >> > >> 1) Estrutura: Squid/Proxy autenticando por usuários: > >> Se o usuários desmarca a solicitação do proxy nos browsers e depois > >> colocar: https://www.youtube.com aí já era!...eles conseguem navegar. > >> > >> 2) Já tentei, via iptables, o seguinte: > >> > >> for ips_liberados in `cat /root/Firewall/IPS_LIBERADOS_YOUTUBE` ; do > >> $iptables -I FORWARD -i $LAN -m string --algo bm --string > >> "youtube.com" -j DROP ! -s $ips_liberados > >> $iptables -I FORWARD -i $LAN -m string --algo bm --string > >> "twitter.com" -j DROP ! -s $ips_liberados > >> done > >> > >> Nas regras acima estou tentando bloquear o YOUTUBE para a rede toda, > >> com exceção de alguns IPs que estão no arquivo > >> "/root/Firewall/IPS_LIBERADOS_YOUTUBE" > >> > >> > >> Na verdade, este é umas das tentativas minha, pois tentei diversas > >> variações dessas regras e não deu certo. O maximo que consegui foi > >> bloquear todo o acesso, inclusive bloqueando o Google. E na melhor > >> das vezes, quando consegui liberar para os IPs que eu queria mas > >> ficar para lenta a navegação, principalmente quando os sites > >> "mencionam" ou usam algumas APIs do Google. > >> > >> > >> Enfim, o que vocês estão fazendo para solucionar este problema, ou > >> seja, bloquear o Youtube e somente liberar para algumas máquinas da > >> rede. isto, claro, de forma eficiente! > >> > >> grato, > >> J. > >> > > > >
Re: Bloquear Youtube pelo proxy autenticado por usuários (ainda!!!!!)
Eu uso squid+ssl_bump, e redireciono todo trafego 80 e 443 para portas especificas configurada no proxy. http://wiki.squid-cache.org/ConfigExamples/Intercept/SslBumpExplicit Outra forma de fazer, mas não acho muito interessante, é configurar servidor de dns interno, e criar views com as zonas do endereços que desejar "bloqueiar" e apontar, por exemplo youtube.com, e direcionar para seu servidor local, ou pra lugar nenhum. On 06-01-2016 15:58, Paulo wrote: > J., Boa Tarde. > > Já tive dores de cabeça como esta que está passando. > Mas é simples de se resolver. > > No navegador tudo (http e https irá para o ip-do-proxy e porta-do-proxy). > > No proxy basta colocar uma regra que a porta 443 e 80 que rejeite. > Exemplos: > IPTABLES -A INPUT -p tcp -s ip-da-maquina_ou_range --dport 80 -j REJECT > IPTABLES -A INPUT -p tcp -s ip-da-maquina_ou_range --dport 443 -j REJECT Não vejo como isso pode funcionar, pois o trafego que passa pelo firewall, não passa pela INPUT, e sim por FORWARD. > > Para bloquear a todos da rede vai usar o range (Exemplo: > 192.168.0.0/24) = [ de 192.168.0.1 até 192.168.0.254 ]. > > Para bloquear por máquina vai usar o ip-da-maquina (Exemplo: 192.168.0.1) > > Para liberar uma máquina não coloque o ip da mesma nas regras de > rejeição, contanto que ela não faça parte do range de ip, ou libere o > ip da mesma antes da regra de rejeição trocando o REJECT por ACCEPT. > > Consulte se as regras ficaram na ordem desejada com o comando IPTABLES > -S ou IPTABLES -n -L > > As máquinas terão que ter IP fixo, ou o TTL (Tempo de vida do DHCP) > será maior que 30 dias. > > Assim se um usuário tirar o proxy do navegador ele não navegará para > fora. > > Espero ter ajudado, > > Paulo. > > > Em 06/01/2016 16:26, Keppler escreveu: >> Boa tarde pessoal. >> Estou procurando há um tempão na internet como bloquear sites "https" >> e não estou conseguindo, por exemplo, o que está me dando dor de >> cabeça é o YOUTUBE!! >> >> Vou tentar explicar o que já fiz e como é minha estrutura: >> >> 1) Estrutura: Squid/Proxy autenticando por usuários: >> Se o usuários desmarca a solicitação do proxy nos browsers e depois >> colocar: https://www.youtube.com aí já era!...eles conseguem navegar. >> >> 2) Já tentei, via iptables, o seguinte: >> >> for ips_liberados in `cat /root/Firewall/IPS_LIBERADOS_YOUTUBE` ; do >> $iptables -I FORWARD -i $LAN -m string --algo bm --string >> "youtube.com" -j DROP ! -s $ips_liberados >> $iptables -I FORWARD -i $LAN -m string --algo bm --string >> "twitter.com" -j DROP ! -s $ips_liberados >> done >> >> Nas regras acima estou tentando bloquear o YOUTUBE para a rede toda, >> com exceção de alguns IPs que estão no arquivo >> "/root/Firewall/IPS_LIBERADOS_YOUTUBE" >> >> >> Na verdade, este é umas das tentativas minha, pois tentei diversas >> variações dessas regras e não deu certo. O maximo que consegui foi >> bloquear todo o acesso, inclusive bloqueando o Google. E na melhor >> das vezes, quando consegui liberar para os IPs que eu queria mas >> ficar para lenta a navegação, principalmente quando os sites >> "mencionam" ou usam algumas APIs do Google. >> >> >> Enfim, o que vocês estão fazendo para solucionar este problema, ou >> seja, bloquear o Youtube e somente liberar para algumas máquinas da >> rede. isto, claro, de forma eficiente! >> >> grato, >> J. >> >
Re: Bloquear Youtube pelo proxy autenticado por usuários (ainda!!!!!)
J., Boa Tarde. Já tive dores de cabeça como esta que está passando. Mas é simples de se resolver. No navegador tudo (http e https irá para o ip-do-proxy e porta-do-proxy). No proxy basta colocar uma regra que a porta 443 e 80 que rejeite. Exemplos: IPTABLES -A INPUT -p tcp -s ip-da-maquina_ou_range --dport 80 -j REJECT IPTABLES -A INPUT -p tcp -s ip-da-maquina_ou_range --dport 443 -j REJECT Para bloquear a todos da rede vai usar o range (Exemplo: 192.168.0.0/24) = [ de 192.168.0.1 até 192.168.0.254 ]. Para bloquear por máquina vai usar o ip-da-maquina (Exemplo: 192.168.0.1) Para liberar uma máquina não coloque o ip da mesma nas regras de rejeição, contanto que ela não faça parte do range de ip, ou libere o ip da mesma antes da regra de rejeição trocando o REJECT por ACCEPT. Consulte se as regras ficaram na ordem desejada com o comando IPTABLES -S ou IPTABLES -n -L As máquinas terão que ter IP fixo, ou o TTL (Tempo de vida do DHCP) será maior que 30 dias. Assim se um usuário tirar o proxy do navegador ele não navegará para fora. Espero ter ajudado, Paulo. Em 06/01/2016 16:26, Keppler escreveu: Boa tarde pessoal. Estou procurando há um tempão na internet como bloquear sites "https" e não estou conseguindo, por exemplo, o que está me dando dor de cabeça é o YOUTUBE!! Vou tentar explicar o que já fiz e como é minha estrutura: 1) Estrutura: Squid/Proxy autenticando por usuários: Se o usuários desmarca a solicitação do proxy nos browsers e depois colocar: https://www.youtube.com aí já era!...eles conseguem navegar. 2) Já tentei, via iptables, o seguinte: for ips_liberados in `cat /root/Firewall/IPS_LIBERADOS_YOUTUBE` ; do $iptables -I FORWARD -i $LAN -m string --algo bm --string "youtube.com" -j DROP ! -s $ips_liberados $iptables -I FORWARD -i $LAN -m string --algo bm --string "twitter.com" -j DROP ! -s $ips_liberados done Nas regras acima estou tentando bloquear o YOUTUBE para a rede toda, com exceção de alguns IPs que estão no arquivo "/root/Firewall/IPS_LIBERADOS_YOUTUBE" Na verdade, este é umas das tentativas minha, pois tentei diversas variações dessas regras e não deu certo. O maximo que consegui foi bloquear todo o acesso, inclusive bloqueando o Google. E na melhor das vezes, quando consegui liberar para os IPs que eu queria mas ficar para lenta a navegação, principalmente quando os sites "mencionam" ou usam algumas APIs do Google. Enfim, o que vocês estão fazendo para solucionar este problema, ou seja, bloquear o Youtube e somente liberar para algumas máquinas da rede. isto, claro, de forma eficiente! grato, J.
Re: Bloquear Youtube pelo proxy autenticado por usuários (ainda!!!!!)
Boa tarde... Eu estava com esse problema aqui na rede da empresa também. Como resolvi. Simplesmente fiz o bloqueio geral da porta 443, obrigando assim a todos navegarem passando pelo squid. Att, Cássio Elias. Em 06/01/2016 16:26, Keppler escreveu: Boa tarde pessoal. Estou procurando há um tempão na internet como bloquear sites "https" e não estou conseguindo, por exemplo, o que está me dando dor de cabeça é o YOUTUBE!! Vou tentar explicar o que já fiz e como é minha estrutura: 1) Estrutura: Squid/Proxy autenticando por usuários: Se o usuários desmarca a solicitação do proxy nos browsers e depois colocar: https://www.youtube.com aí já era!...eles conseguem navegar. 2) Já tentei, via iptables, o seguinte: for ips_liberados in `cat /root/Firewall/IPS_LIBERADOS_YOUTUBE` ; do $iptables -I FORWARD -i $LAN -m string --algo bm --string "youtube.com" -j DROP ! -s $ips_liberados $iptables -I FORWARD -i $LAN -m string --algo bm --string "twitter.com" -j DROP ! -s $ips_liberados done Nas regras acima estou tentando bloquear o YOUTUBE para a rede toda, com exceção de alguns IPs que estão no arquivo "/root/Firewall/IPS_LIBERADOS_YOUTUBE" Na verdade, este é umas das tentativas minha, pois tentei diversas variações dessas regras e não deu certo. O maximo que consegui foi bloquear todo o acesso, inclusive bloqueando o Google. E na melhor das vezes, quando consegui liberar para os IPs que eu queria mas ficar para lenta a navegação, principalmente quando os sites "mencionam" ou usam algumas APIs do Google. Enfim, o que vocês estão fazendo para solucionar este problema, ou seja, bloquear o Youtube e somente liberar para algumas máquinas da rede. isto, claro, de forma eficiente! grato, J.
Re: Bloquear Youtube pelo proxy autenticado por usuários (ainda!!!!!)
verdade o Rafael tem razão Att Renan On 06-01-2016 15:39, Rafael Bedendo wrote: Boa tarde, se estão navegando fora do proxy é esse o problema, você estar com a porta 443 liberada no firewall, faz o bloqueio e controle somente pelo squid com as regras que precisa. Você deve ter algo do tipo iptables -A FORWARD -s 192.168.0.0/24 -p tcp --dport 443 -j ACCEPT em seu firewall Abraço Rafael Bedendo Em 06/01/2016 16:26, Keppler escreveu: Boa tarde pessoal. Estou procurando há um tempão na internet como bloquear sites "https" e não estou conseguindo, por exemplo, o que está me dando dor de cabeça é o YOUTUBE!! Vou tentar explicar o que já fiz e como é minha estrutura: 1) Estrutura: Squid/Proxy autenticando por usuários: Se o usuários desmarca a solicitação do proxy nos browsers e depois colocar: https://www.youtube.com aí já era!...eles conseguem navegar. 2) Já tentei, via iptables, o seguinte: for ips_liberados in `cat /root/Firewall/IPS_LIBERADOS_YOUTUBE` ; do $iptables -I FORWARD -i $LAN -m string --algo bm --string "youtube.com" -j DROP ! -s $ips_liberados $iptables -I FORWARD -i $LAN -m string --algo bm --string "twitter.com" -j DROP ! -s $ips_liberados done Nas regras acima estou tentando bloquear o YOUTUBE para a rede toda, com exceção de alguns IPs que estão no arquivo "/root/Firewall/IPS_LIBERADOS_YOUTUBE" Na verdade, este é umas das tentativas minha, pois tentei diversas variações dessas regras e não deu certo. O maximo que consegui foi bloquear todo o acesso, inclusive bloqueando o Google. E na melhor das vezes, quando consegui liberar para os IPs que eu queria mas ficar para lenta a navegação, principalmente quando os sites "mencionam" ou usam algumas APIs do Google. Enfim, o que vocês estão fazendo para solucionar este problema, ou seja, bloquear o Youtube e somente liberar para algumas máquinas da rede. isto, claro, de forma eficiente! grato, J.
Re: Bloquear Youtube pelo proxy autenticado por usuários (ainda!!!!!)
Boa tarde, se estão navegando fora do proxy é esse o problema, você estar com a porta 443 liberada no firewall, faz o bloqueio e controle somente pelo squid com as regras que precisa. Você deve ter algo do tipo iptables -A FORWARD -s 192.168.0.0/24 -p tcp --dport 443 -j ACCEPT em seu firewall Abraço Rafael Bedendo Em 06/01/2016 16:26, Keppler escreveu: Boa tarde pessoal. Estou procurando há um tempão na internet como bloquear sites "https" e não estou conseguindo, por exemplo, o que está me dando dor de cabeça é o YOUTUBE!! Vou tentar explicar o que já fiz e como é minha estrutura: 1) Estrutura: Squid/Proxy autenticando por usuários: Se o usuários desmarca a solicitação do proxy nos browsers e depois colocar: https://www.youtube.com aí já era!...eles conseguem navegar. 2) Já tentei, via iptables, o seguinte: for ips_liberados in `cat /root/Firewall/IPS_LIBERADOS_YOUTUBE` ; do $iptables -I FORWARD -i $LAN -m string --algo bm --string "youtube.com" -j DROP ! -s $ips_liberados $iptables -I FORWARD -i $LAN -m string --algo bm --string "twitter.com" -j DROP ! -s $ips_liberados done Nas regras acima estou tentando bloquear o YOUTUBE para a rede toda, com exceção de alguns IPs que estão no arquivo "/root/Firewall/IPS_LIBERADOS_YOUTUBE" Na verdade, este é umas das tentativas minha, pois tentei diversas variações dessas regras e não deu certo. O maximo que consegui foi bloquear todo o acesso, inclusive bloqueando o Google. E na melhor das vezes, quando consegui liberar para os IPs que eu queria mas ficar para lenta a navegação, principalmente quando os sites "mencionam" ou usam algumas APIs do Google. Enfim, o que vocês estão fazendo para solucionar este problema, ou seja, bloquear o Youtube e somente liberar para algumas máquinas da rede. isto, claro, de forma eficiente! grato, J.
Bloquear Youtube pelo proxy autenticado por usuários (ainda!!!!!)
Boa tarde pessoal. Estou procurando há um tempão na internet como bloquear sites "https" e não estou conseguindo, por exemplo, o que está me dando dor de cabeça é o YOUTUBE!! Vou tentar explicar o que já fiz e como é minha estrutura: 1) Estrutura: Squid/Proxy autenticando por usuários: Se o usuários desmarca a solicitação do proxy nos browsers e depois colocar: https://www.youtube.com aí já era!...eles conseguem navegar. 2) Já tentei, via iptables, o seguinte: for ips_liberados in `cat /root/Firewall/IPS_LIBERADOS_YOUTUBE` ; do $iptables -I FORWARD -i $LAN -m string --algo bm --string "youtube.com" -j DROP ! -s $ips_liberados $iptables -I FORWARD -i $LAN -m string --algo bm --string "twitter.com" -j DROP ! -s $ips_liberados done Nas regras acima estou tentando bloquear o YOUTUBE para a rede toda, com exceção de alguns IPs que estão no arquivo "/root/Firewall/IPS_LIBERADOS_YOUTUBE" Na verdade, este é umas das tentativas minha, pois tentei diversas variações dessas regras e não deu certo. O maximo que consegui foi bloquear todo o acesso, inclusive bloqueando o Google. E na melhor das vezes, quando consegui liberar para os IPs que eu queria mas ficar para lenta a navegação, principalmente quando os sites "mencionam" ou usam algumas APIs do Google. Enfim, o que vocês estão fazendo para solucionar este problema, ou seja, bloquear o Youtube e somente liberar para algumas máquinas da rede. isto, claro, de forma eficiente! grato, J.
