Bloqueio de streaming
-
Se possível use proxy por WPAD e bloqueie com o SquidGard.
-
Boa noite
Obrigado a todos pelas respostas.Verone, realmente muito boa essa opção. Meu único problema quanto a isso é o youtube que continua passando por causa do https.
Reinaldo, sobre o wpad, é excelente mas será que funciona no meu ambiente? Aqui quem gerencia o dhcp e o dns é o controlador de domínio do qual não sou responsável. Para que funcione o pfsense precisa gerenciar esses caras, certo?
Avner, estou estudando a opção de proxy com o endereço e a porta no navegador mas meu problema por enquanto é que sem essas configurações setadas a conexão passa direto. Se os caras descobrirem vão burlar. Sabe como resolvo isso?
Outro problema é que as máquinas da diretoria precisam passar direto pelo filtro do proxy e eu não encontrei como fazer isso -
Para que funcione o pfsense precisa gerenciar esses caras, certo?
Não, seu DHCP Server e DNS pode ser outro sem nenhum problema, basta ter a entrada WPAD apontando para o pfSense e no DHCP a configuração que será entregue aos clientes.
Se os caras descobrirem vão burlar. Sabe como resolvo isso?
Você precisa desabilitar a regra padrão, e criar regras especificas para cada serviço, no caso só libere a porta 3128 para sair pelo proxy e os demais serviços, DNS, etc…
Outro problema é que as máquinas da diretoria precisam passar direto pelo filtro do proxy e eu não encontrei como fazer isso
Só criar um grupo no Suidguard e colocar os IPs de origem e não colocar nenhum filtro.
-
Avner, estou estudando a opção de proxy com o endereço e a porta no navegador mas meu problema por enquanto é que sem essas configurações setadas a conexão passa direto. Se os caras descobrirem vão burlar. Sabe como resolvo isso?
O Tomas Waldow respondeu muito bem vfpv30. Com proxy setado quem abre a conexão é o proxy e não o cliente, portanto não é preciso liberar a porta 80 na interface LAN. Isso vai te dar um bom controle, inclusive sobre conexões HTTPS.
-
Lembrando, tem que criar regra para cada serviço, DNS, Proxy, etc…
O que não é liberado por padrão é bloqueado. -
Obrigado pessoal! Me deram várias opções, vou focar em uma.
Agora, pra ficar documentado, quando tento editar a regra padrão de navegação "Anti-Lockout Rule" o pfsense me joga para "System -> Advanced". Pelo o que entendi existe uma opção que preciso alterar lá para poder editar a regra. Mas qual essa opção?Abraço
-
Esta regra não deve ser alterada pois ela garante o acesso a interface de configuração do pfSense.
Ela somente libera acesso para o pfSense. -
Fiz o seguinte:
Setei o proxy nos navegadores bloqueando as categorias music e movies, já foi uma mão na roda. Configurei as regras de forma que sem o proxy no navegador o cara não navega:
Depois comecei a estudar o wpad e deu certo com este tutorial:
http://www.pfsense-br.org/blog/2013/12/configuracao-wpad-no-pfsense-2-1/
Segui o tutorial diretinho mas o proxy não conseguiu barrar https do youtube. Minha outra dúvida é como posso utilizar wpad em um ambiente que o pfsense não é o servidor dhpc? Tem um passo neste tutorial que precisa configurar BOOTP Options.
Estou no caminho certo?
-
Bom, para encerrar o tópico.
Fiz com o proxy não transparente, habilitei o bloqueio de music e movies no SquidGuard e criei uma nova categoria onde limitei o acesso ao youtube e demais sites que forem surgindo.Abraços
-
@avner_ads said in Bloqueio de streaming:
vfpv30 você está utilizando proxy transparente? Se sim vai ser um pouco difícil, pois nesse modo a conexão é fim-afim, entre o cliente e o servidor. O bloqueio por rede do google também pode te causar esse problema (que você citou), são várias redes e o serviço sempre busca uma nova conexão para reproduzir o vídeo. Mas caso queira fazer por rede, pode ir monitorando pelo pftop ou tcpdump e abrindo vídeos para ver a rede que é conectada para carregar o vídeo e ir adicionando as redes em aliases e depois criando regras de bloqueio, ou até pode colocar uma limitação de banda para essas redes com o Limiter do Traffic Shapper.
Utilizar o squid ssl filter (Atualizado pelo marcelloc) pode ser uma alternativa, ele vai interceptar todas as conexões 443, abrindo o pacote e atuando como man-in-the-middle. É preciso ter o certificado gerado instalado nas máquinas clientes. E isso pode incrementar o processamento, pois é mais uma função que será acrescentada.
https://forum.pfsense.org/index.php?topic=62263.0
Se estiver usando o proxy com endereço setado nos clientes fica mais tranquilo, pode bloquear a URL no proxy (ACL > Blocklist), porque a conexão do cliente é com o squid ou utilizar o squidguard assim como nosso amigo verone que faz o bloqueio pelas lista de movies.
Nas opções de Traffic do squid (Services>Proxy Server> Traffic Mgmt) tem opções de largura de banda para arquivos de midia. Um paralelo interessante é como alguns serviços online oferecem alternativas simples de acesso, tipo o https://mostbet1.com.pt/promo/bonus-sem-deposito/ que libera bônus sem depósito de forma direta.
Além de poder utilizar Expressão Regurar no squidguard criando um novo Target Categories: Assim como o exemplo abaixo:
(./..(asf|wm|wma|wmv|wav|m4a|cue|ape|ogg|wave|midi|mov|vob|mkv|3gp|mp4|avi|mpg|rmvb|mkv|flv|swf|mpeg|mp.|mpv|mp3|wm.|vpu))
Também estou começando a utilizar o PFsense e já estou fascinado pelas possibilidades.
Minha experiência: só ficou consistente quando bloqueei QUIC (UDP/443) numa floating rule para forçar HTTPS via proxy, ativei pfBlockerNG DNSBL com domínios tipo *.googlevideo.com e lista de endpoints DoH (pra evitar bypass de DNS) e, quando eu só queria “desmotivar”, apliquei Limiter por ASN do Google — foi o único setup que travou YouTube sem caça eterna a IPs.