Squidguard não bloqueando Facebook.
-
testei agora
quando acesso www.facebook.com ele bloqueia, mas se eu acessar https://www.facebook.com ele está liberado.
Acredito que tenha que bloquear nas regras do firewall para não passar o https. Mas não queria criar problemas com outros sites como internetbaking e outros sites.
Danilo,
Você pode criar uma regra no seu firewall bloqueando a rede do Facebook, pois caso você esteja utilizando proxy transparente o protocolo https (443) não é checado , por este motivo que o acesso ao Facebook via https é liberado.
Segue as redes do Facebook.
66.220.0.0/16
69.171.0.0/16
31.13.0.0/16
173.152.0.0/16
173.252.0.0/16Neste caso você deve criar um regra no firewall de reject da sua rede lan para as redes citadas.
Você pode criar um aliases com as redes, e depois só criar a regra.
-
O processo de bloqueio de acesso evolui junto com a vontade do usuário acessar, são grandezas diretamente proporcionais.
-
você habilita o proxy transparente, o usuario acessa via https
-
você bloqueia a faixa do facebook, o usuário procura um proxy public(via google) para acessar.
-
você bloqueia os proxies publicos mais conhecidos, o usuário instala o ultrasurf, tor
-
você bloqueio tudo e libera só os sites necessários para a empresa, o usuário chora ou tenta te agredir :)
Pule alguns passos e mude a configuração do seu firewall para evitar esta briga de gato e rato.
att,
Marcello Coutinho -
-
O processo de bloqueio de acesso evolui junto com a vontade do usuário acessar, são grandezas diretamente proporcionais.
-
você habilita o proxy transparente, o usuario acessa via https
-
você bloqueia a faixa do facebook, o usuário procura um proxy public(via google) para acessar.
-
você bloqueia os proxies publicos mais conhecidos, o usuário instala o ultrasurf, tor
-
você bloqueio tudo e libera só os sites necessários para a empresa, o usuário chora ou tenta te agredir :)
Pule alguns passos e mude a configuração do seu firewall para evitar esta briga de gato e rato.
att,
Marcello CoutinhoMarcello, entao mesmo bloqueando as faixas do facebook na porta 433 utilizando um proxy public acessa?
Eu fui por esse tutorial http://nextsense.com.br/blog/archives/402
Bloqueio por alias em proxy transparente.
Mas nao atentei a proxy publico. To aprendendo ainda.. agora do ultrasurf eu ja sabia. -
-
O processo de bloqueio de acesso evolui junto com a vontade do usuário acessar, são grandezas diretamente proporcionais.
-
você habilita o proxy transparente, o usuario acessa via https
-
você bloqueia a faixa do facebook, o usuário procura um proxy public(via google) para acessar.
-
você bloqueia os proxies publicos mais conhecidos, o usuário instala o ultrasurf, tor
-
você bloqueio tudo e libera só os sites necessários para a empresa, o usuário chora ou tenta te agredir :)
Pule alguns passos e mude a configuração do seu firewall para evitar esta briga de gato e rato.
att,
Marcello CoutinhoMarcello, entao mesmo bloqueando as faixas do facebook na porta 433 utilizando um proxy public acessa?
Eu fui por esse tutorial http://nextsense.com.br/blog/archives/402
Bloqueio por alias em proxy transparente.
Mas nao atentei a proxy publico. To aprendendo ainda.. agora do ultrasurf eu ja sabia.Danilo,
O que o Marcelo, falou ele esta correto.
Você pode bloquear a porta 443 no seu firewall é ir liberando os sites que sua empresa deve ter acesso utilizando o aliases para adicionar os domínios que serão liberado, fica muito bom depois de tudo configurado mas no começo e trabalhoso será necessário ficar liberando vários sites.
Aqui na empresa onde eu trabalho eu fiz uma regra para bloquear a porta 443 no firewall evitando assim o uso do ultra surf para bular o firewall, ficou muito bom.
Dica Faz primeiro um levantamento quais os sites mais utilizados pelos departamento da sua empresa, e já deixa liberado assim o impacto vai ser menor.
-
-
Eu bloqueio todas as portas, não só a 443.
-
Tentei fazer um bloqueio através das regras e aliases do firewall, só que não consegui fazer a regra para desbloqueio de alguns IPs.
Fiz o aliase da liberacao mais não funciona.
Minhas regras ficaram assim
-
-
- LAN Address
80 * * Anti-Lockout Rule
- LAN Address
-
TCP IPs_liberados * Facebook 80 - 443 * none Ips com facebook liberado
TCP LAN net * Facebook 80 - 443 * none Bloqueio_facebook
- LAN net * * * * none Default allow LAN to any rule
-
-
Além do que o Marcelloc falou sobre o bloqueio das portas de saida.
Ainda existem problemas em escritórios de contabilidade, por exemplo, onde programas maléficos da receita federal se comportam de maneira quase aleatória.
A questão do Facebook não é só Técnica, você precisa fazer a administração da empresa entender que não é só bloquear, senão a culpa recai sobre você e não sobre o usuário.
Vocês devem criar uma politica de segurança, uma espécie de regulamento, definindo o que os usuários podem acessar e conseguir apoio da administração para punir estes usuários "espertinhos".Sem essa politica, sempre que o usuário conseguir acessar alguma coisa a culpa é do TI que não bloqueou adequadamente… :'(
-
Além do que o Marcelloc falou sobre o bloqueio das portas de saida.
Ainda existem problemas em escritórios de contabilidade, por exemplo, onde programas maléficos da receita federal se comportam de maneira quase aleatória.
A questão do Facebook não é só Técnica, você precisa fazer a administração da empresa entender que não é só bloquear, senão a culpa recai sobre você e não sobre o usuário.
Vocês devem criar uma politica de segurança, uma espécie de regulamento, definindo o que os usuários podem acessar e conseguir apoio da administração para punir estes usuários "espertinhos".Sem essa politica, sempre que o usuário conseguir acessar alguma coisa a culpa é do TI que não bloqueou adequadamente… :'(
Apoiado!
-
Costumo fazer o mesmo que o Marcelloc faz.
Defino as portas e os endereços que serão liberados.
Então o que não esta definido o pfsense já entende que é bloqueado pelo pfsense. -
Costumo fazer o mesmo que o Marcelloc faz.
Defino as portas e os endereços que serão liberados.Isso não impede que alguns usuários mais espertos façam uso indevido. Por sinal, nosso colega LFCavalcanti fez uma excelente colocação a respeito da política de acessos. Todo e qualquer administrador de redes deve, além de implantar essa política, divulgá-la entre os usuários. Inclusive com aceite.
Não vou entrar em detalhes, mas há várias formas de se burlar um firewall/proxy.
Portanto, com a política de acesso devidamente divulgada, os "espertos" podem ser devidamente advertidos. Ou pior. -
Não vou entrar em detalhes, mas há várias formas de se burlar um firewall/proxy.
Com tudo bloqueado, a chance é quase 0.
O que vejo acontecer muito hoje em dia é o usuário passar a usar o facebook via 3g no celular.
-
Não vou entrar em detalhes, mas há várias formas de se burlar um firewall/proxy.
Com tudo bloqueado, a chance é quase 0.
O que vejo acontecer muito hoje em dia é o usuário passar a usar o facebook via 3g no celular.
Marcelloc,
Concordo com você, mas infelizmente não é todo cenário que permite isso de imediato. Escritórios contábeis, por exemplo, já desisti de bloquear tudo. A receita federal e caixa economica vivem alterando e lançando sistemas que exigem um "abrir de pernas" da segurança de rede, tanto dos SO quando por parte de Firewalls. Além disso ser trabalhoso o cliente quer tudo na hora e acaba gerando conflito. Ai faço um termo de responsabilidade e o cliente que se responsabilize pelos eventuais danos.
-
Ai faço um termo de responsabilidade e o cliente que se responsabilize pelos eventuais danos.
Excelente!
Só configuro redes bloqueadas quando o cliente autoriza / solicita. :)
-
Ai faço um termo de responsabilidade e o cliente que se responsabilize pelos eventuais danos.
Excelente!
Só configuro redes bloqueadas quando o cliente autoriza / solicita. :)
Tres! ;D
-
Entendo o lado de vocês e concordo, só que lá é uma empresa de turismo e teria muita apurrinhação para desbloqueio de sites e tal.
Se alguem puder me ajudar a fazer o bloqueio do facebook para a rede e liberar o acesso para determinados ips via Aliase e regras de firewall eu agradeço.
Consegui aplicar a regra de bloqueio, mas nao consegui liberar os ips livres.
Abraços
-
Se alguem puder me ajudar a fazer o bloqueio do facebook para a rede e liberar o acesso para determinados ips via Aliase e regras de firewall eu agradeço.
Consegui aplicar a regra de bloqueio, mas nao consegui liberar os ips livres.
Não está claro o que você disse sobre "Consegui aplicar a regra de bloqueio". Foi com aliases e regras ou apenas com o Squidguard?
Por que você não coloca algumas cópias de tela?
-
Vou explicar melhor, estou tentando bloquear apenas o facebook na minha rede. Usei o squidguard e consegui fazer o bloqueio parcial porque ainda acessa via https:.
Segui o tutorial para bloqueio do facebook direto pelo firewall com criação de Aliases e regras de firewall onde consigo fazer o bloqueio das duas portas (http e https) só que eu preciso que algumas máquinas tenham o acesso ao facebook.Tentei fazer outro aliase com os ips que quero o desbloqueio e apliquei uma regra para liberação destes ips. Só que não deu certo, quando apliquei essa regra o firewall liberou o facebook novamente para todas as máquinas, apesar de ter a regra de bloqueio logo após.
Vou mostrar como estão minhas regras de firewall.
Gostaria de saber se é possivel fazer esse tipo de coisa com Regras e Aliases!
-
Quer a solução ideal?
Use Proxy Não-Transparente e bloqueie a porta 443 no Firewall. Se precisar Liberar a 443 para alguma finalidade, apenas para sites e ips especificos.
Pronto, acabaram seus problemas. E você falou sobre apurrinhação… se é determinado o que deve ser bloqueado, não têm que haver "bla bla bla" nenhum dos usuários.
-
Bloquear algo que pode ser acessado de inúmeras formas é praticamente impossível em uma rede onde só um coisa ou outra é bloqueada.
Solicite autorização para fazer o serviço como deve ser feito ou via bloqueio ou via termo de responsabilidade/ politica de acesso.
-
Ola boa tarde! Olha não sei se esta correto, em termos de segurança, eu sei que se tiver alguem mais espertinho vai conseguir bular. A melhor forma de bloquear é do jeito como foi citado pelo LFCavalcanti e Marcelloc.
Porem eu utilizo em um cenario parecido com o seu eu utilizo proxy transparente e bloqueando https e liberando por aliases.
01. Criei um aliases com os ranges dos IP do facebook de nome por exemplo "facebook"
02. Depois criei um aliases com os IPs dos clientes com nome "Lib_https" do tipo Host(s).Na regra firewall na aba Lan.
01. Criei uma regra chamada "block_facebook"
- Action: Reject
- Interface: LAN
- Protocal: TCP
- Source: Type: LAN Subnet
- Destination: Type: Single host or Alias / Address: Facebook
- Destination port Range: From: https / to: https
02. Acima da regra "block_facebook" criei uma regra chamada "lib_facebook"
- Action: Pass
- Interface: LAN
- Protocal: TCP
- Source: Type: Single host or Alias / lib_https (é o aliases que foi criado com ip dos que terao acesso)
- Destination: Type: Single host or Alias / Address: Facebook
- Destination port Range: From: https / to: https
Feito assim funcionou aqui. Ao meu entender (desculpem sou leigo na parte de firewall redes etc) como ele le de cima para baixo ele verifica os ips que listei e libera acesso para aqueles ip. Se o ip nao se encontra na regra acredito que ele pula para regra de baixo e bloqueia.
Nao sei se é certo fazer isso, porem esta funcionando.Se alguem quiser melhorar a dica ai.. fique a vontade.
Abraços e espero que tenah ajudado. ;D
