Squidguard não bloqueando Facebook.
-
Costumo fazer o mesmo que o Marcelloc faz.
Defino as portas e os endereços que serão liberados.Isso não impede que alguns usuários mais espertos façam uso indevido. Por sinal, nosso colega LFCavalcanti fez uma excelente colocação a respeito da política de acessos. Todo e qualquer administrador de redes deve, além de implantar essa política, divulgá-la entre os usuários. Inclusive com aceite.
Não vou entrar em detalhes, mas há várias formas de se burlar um firewall/proxy.
Portanto, com a política de acesso devidamente divulgada, os "espertos" podem ser devidamente advertidos. Ou pior. -
Não vou entrar em detalhes, mas há várias formas de se burlar um firewall/proxy.
Com tudo bloqueado, a chance é quase 0.
O que vejo acontecer muito hoje em dia é o usuário passar a usar o facebook via 3g no celular.
-
Não vou entrar em detalhes, mas há várias formas de se burlar um firewall/proxy.
Com tudo bloqueado, a chance é quase 0.
O que vejo acontecer muito hoje em dia é o usuário passar a usar o facebook via 3g no celular.
Marcelloc,
Concordo com você, mas infelizmente não é todo cenário que permite isso de imediato. Escritórios contábeis, por exemplo, já desisti de bloquear tudo. A receita federal e caixa economica vivem alterando e lançando sistemas que exigem um "abrir de pernas" da segurança de rede, tanto dos SO quando por parte de Firewalls. Além disso ser trabalhoso o cliente quer tudo na hora e acaba gerando conflito. Ai faço um termo de responsabilidade e o cliente que se responsabilize pelos eventuais danos.
-
Ai faço um termo de responsabilidade e o cliente que se responsabilize pelos eventuais danos.
Excelente!
Só configuro redes bloqueadas quando o cliente autoriza / solicita. :)
-
Ai faço um termo de responsabilidade e o cliente que se responsabilize pelos eventuais danos.
Excelente!
Só configuro redes bloqueadas quando o cliente autoriza / solicita. :)
Tres! ;D
-
Entendo o lado de vocês e concordo, só que lá é uma empresa de turismo e teria muita apurrinhação para desbloqueio de sites e tal.
Se alguem puder me ajudar a fazer o bloqueio do facebook para a rede e liberar o acesso para determinados ips via Aliase e regras de firewall eu agradeço.
Consegui aplicar a regra de bloqueio, mas nao consegui liberar os ips livres.
Abraços
-
Se alguem puder me ajudar a fazer o bloqueio do facebook para a rede e liberar o acesso para determinados ips via Aliase e regras de firewall eu agradeço.
Consegui aplicar a regra de bloqueio, mas nao consegui liberar os ips livres.
Não está claro o que você disse sobre "Consegui aplicar a regra de bloqueio". Foi com aliases e regras ou apenas com o Squidguard?
Por que você não coloca algumas cópias de tela?
-
Vou explicar melhor, estou tentando bloquear apenas o facebook na minha rede. Usei o squidguard e consegui fazer o bloqueio parcial porque ainda acessa via https:.
Segui o tutorial para bloqueio do facebook direto pelo firewall com criação de Aliases e regras de firewall onde consigo fazer o bloqueio das duas portas (http e https) só que eu preciso que algumas máquinas tenham o acesso ao facebook.Tentei fazer outro aliase com os ips que quero o desbloqueio e apliquei uma regra para liberação destes ips. Só que não deu certo, quando apliquei essa regra o firewall liberou o facebook novamente para todas as máquinas, apesar de ter a regra de bloqueio logo após.
Vou mostrar como estão minhas regras de firewall.
Gostaria de saber se é possivel fazer esse tipo de coisa com Regras e Aliases!
-
Quer a solução ideal?
Use Proxy Não-Transparente e bloqueie a porta 443 no Firewall. Se precisar Liberar a 443 para alguma finalidade, apenas para sites e ips especificos.
Pronto, acabaram seus problemas. E você falou sobre apurrinhação… se é determinado o que deve ser bloqueado, não têm que haver "bla bla bla" nenhum dos usuários.
-
Bloquear algo que pode ser acessado de inúmeras formas é praticamente impossível em uma rede onde só um coisa ou outra é bloqueada.
Solicite autorização para fazer o serviço como deve ser feito ou via bloqueio ou via termo de responsabilidade/ politica de acesso.
-
Ola boa tarde! Olha não sei se esta correto, em termos de segurança, eu sei que se tiver alguem mais espertinho vai conseguir bular. A melhor forma de bloquear é do jeito como foi citado pelo LFCavalcanti e Marcelloc.
Porem eu utilizo em um cenario parecido com o seu eu utilizo proxy transparente e bloqueando https e liberando por aliases.
01. Criei um aliases com os ranges dos IP do facebook de nome por exemplo "facebook"
02. Depois criei um aliases com os IPs dos clientes com nome "Lib_https" do tipo Host(s).Na regra firewall na aba Lan.
01. Criei uma regra chamada "block_facebook"
- Action: Reject
- Interface: LAN
- Protocal: TCP
- Source: Type: LAN Subnet
- Destination: Type: Single host or Alias / Address: Facebook
- Destination port Range: From: https / to: https
02. Acima da regra "block_facebook" criei uma regra chamada "lib_facebook"
- Action: Pass
- Interface: LAN
- Protocal: TCP
- Source: Type: Single host or Alias / lib_https (é o aliases que foi criado com ip dos que terao acesso)
- Destination: Type: Single host or Alias / Address: Facebook
- Destination port Range: From: https / to: https
Feito assim funcionou aqui. Ao meu entender (desculpem sou leigo na parte de firewall redes etc) como ele le de cima para baixo ele verifica os ips que listei e libera acesso para aqueles ip. Se o ip nao se encontra na regra acredito que ele pula para regra de baixo e bloqueia.
Nao sei se é certo fazer isso, porem esta funcionando.Se alguem quiser melhorar a dica ai.. fique a vontade.
Abraços e espero que tenah ajudado. ;D
-
Eu fui por esse tutorial http://nextsense.com.br/blog/archives/402
Bloqueio por alias em proxy transparente.…. eu utilizo proxy transparente e bloqueando https e liberando por aliases.
01. Criei um aliases com os ranges dos IP do facebook de nome por exemplo "facebook"
02. Depois criei um aliases com os IPs dos clientes com nome "Lib_https" do tipo Host(s).Na regra firewall na aba Lan.
01. Criei uma regra chamada "block_facebook"
- Action: Reject
- Interface: LAN
- Protocal: TCP
- Source: Type: LAN Subnet
- Destination: Type: Single host or Alias / Address: Facebook
- Destination port Range: From: https / to: https
02. Acima da regra "block_facebook" criei uma regra chamada "lib_facebook"
- Action: Pass
- Interface: LAN
- Protocal: TCP
- Source: Type: Single host or Alias / lib_https (é o aliases que foi criado com ip dos que terao acesso)
- Destination: Type: Single host or Alias / Address: Facebook
- Destination port Range: From: https / to: https
Feito assim funcionou aqui.
djblade,
Então você confirma que usando Proxy transparente, da forma como você criou as regras, funciona? Gostaria que você confirmasse isso mais uma vez porque há alguns comentários no Blog Nextsense dizendo que não funciona. Só para citar um desses comentários:
http://nextsense.com.br/blog/archives/402#comment-500Os motivos que tenho para pedir esse feedback são óbvios:
1- Provar que o bloqueio funciona de fato usando proxy transparente ou não.
2- Sendo eu o autor do Tutorial, corrigir eventuais falhas ou erros que eu tenha cometido. -
Eu fui por esse tutorial http://nextsense.com.br/blog/archives/402
Bloqueio por alias em proxy transparente.…. eu utilizo proxy transparente e bloqueando https e liberando por aliases.
01. Criei um aliases com os ranges dos IP do facebook de nome por exemplo "facebook"
02. Depois criei um aliases com os IPs dos clientes com nome "Lib_https" do tipo Host(s).Na regra firewall na aba Lan.
01. Criei uma regra chamada "block_facebook"
- Action: Reject
- Interface: LAN
- Protocal: TCP
- Source: Type: LAN Subnet
- Destination: Type: Single host or Alias / Address: Facebook
- Destination port Range: From: https / to: https
02. Acima da regra "block_facebook" criei uma regra chamada "lib_facebook"
- Action: Pass
- Interface: LAN
- Protocal: TCP
- Source: Type: Single host or Alias / lib_https (é o aliases que foi criado com ip dos que terao acesso)
- Destination: Type: Single host or Alias / Address: Facebook
- Destination port Range: From: https / to: https
Feito assim funcionou aqui.
djblade,
Então você confirma que usando Proxy transparente, da forma como você criou as regras, funciona? Gostaria que você confirmasse isso mais uma vez porque há alguns comentários no Blog Nextsense dizendo que não funciona. Só para citar um desses comentários:
http://nextsense.com.br/blog/archives/402#comment-500Os motivos que tenho para pedir esse feedback são óbvios:
1- Provar que o bloqueio funciona de fato usando proxy transparente ou não.
2- Sendo eu o autor do Tutorial, corrigir eventuais falhas ou erros que eu tenha cometido.Fala ai Johnnybe
Cara não sabia que você era o autor do tutorial no http://nextsense.com.br/blog/archives/402.
Eu atualmente estou usando proxy transparente na empresa e o bloqueio que faço do facebook/orkut/twitter/gmail faço através das regras que você colocou no seu tutorial e aqui funciona 100%…
Se a galera quiser posto umas screen das regras... Mais segui exatamente seu tuto... Mais uma vez parabens pelo belo tutorial!!!
-
Ola johnnybe.
Primeiramente parabens pelos tutoriais!Estou com esse cenario em dois clientes com proxy transparente e fazendo o bloqueio por esse metodo. Porem como não fico alocado no cliente entao não faço verificação constantes, porem até agora esta funcionando, alem disso fiz para o twitter e youtube tambem.
Tambem aqui tenho um para testes e funcionando tambem. Vou postar as screens das minhas configurações para voce comparar e verificar ok.Como pode ver primeiro eu coloquei os alias de quem quero liberar.
Depois coloquei os de bloqueio.Sendo que o lib_https contem os ips dos computadores que tem acesso. No meu caso sao o pessoal que tem acesso total a internet.
Porem a unica coisa que aconteceu, mas nao sei se tem relação, é que se digito facebook.com mesmo liberado ele aparece pagina de bloqueado.
Se digito www.facebook.com entra normalmente. Porem em outro cliente o erro nao ocorre. e é a mesma configuracao. No meu ambiente de teste aconteceu mesma coisa. Porem desabilitando as regras continua a mesma coisa. Assim acredito que nao é essa regra, mas é informatica…Entao johnnybe até o presado momento esta funcionando perfertamente com essa regra. ;D
-
Opa! Muito obrigado pelo feedback a ambos: LCantano e djblade. :)
-
Olá!!!
Além de inserir os sites do facebook na "domaind list", inseri os termos abaixo na "regular expression".
Para mim bloqueou, podem testar também?Termos:
https://www.facebook.com ^http:VV(.+@)?(.+.)facebook.com^https:VV(.+@)?(.+.)facebook.com ^http:VV(.+@)?(.+.)live.com ^https:VV(.+@)?(.+.)live.com -
Funcionou perfeitamente a solução de FW do djblade!
Obrigado a todos.
-
Perfeito este post. Parabens ao Johnnybe e ao djblade !
Alguém do forum teria os IP´s ( como os da regra do facebook ) para os bloqueios do youtube / Twitter para bloqueio HTTPS ?
Valeu
-
Ai faço um termo de responsabilidade e o cliente que se responsabilize pelos eventuais danos.
Excelente!
Só configuro redes bloqueadas quando o cliente autoriza / solicita. :)
aqui eu fiz uma regra na lan bloqueando todas as portas, liberei a porta 3128 do proxy e mais algumas que preciso.. sqlserver oracle.. essas coisas.. mas o acesso no facebook via https:// continua.. e não uso proxy transparente..não to entendendo nada.. :-)
-
Ai faço um termo de responsabilidade e o cliente que se responsabilize pelos eventuais danos.
Excelente!
Só configuro redes bloqueadas quando o cliente autoriza / solicita. :)
aqui eu fiz uma regra na lan bloqueando todas as portas, liberei a porta 3128 do proxy e mais algumas que preciso.. sqlserver oracle.. essas coisas.. mas o acesso no facebook via https:// continua.. e não uso proxy transparente..não to entendendo nada.. :-)
Só uma pergunta:
O PFSense por padrão possui uma regra na interface LAN que libera todo trafego de saida, você desabilitou essa regra?