Squidguard não bloqueando Facebook.
-
Vou explicar melhor, estou tentando bloquear apenas o facebook na minha rede. Usei o squidguard e consegui fazer o bloqueio parcial porque ainda acessa via https:.
Segui o tutorial para bloqueio do facebook direto pelo firewall com criação de Aliases e regras de firewall onde consigo fazer o bloqueio das duas portas (http e https) só que eu preciso que algumas máquinas tenham o acesso ao facebook.Tentei fazer outro aliase com os ips que quero o desbloqueio e apliquei uma regra para liberação destes ips. Só que não deu certo, quando apliquei essa regra o firewall liberou o facebook novamente para todas as máquinas, apesar de ter a regra de bloqueio logo após.
Vou mostrar como estão minhas regras de firewall.
Gostaria de saber se é possivel fazer esse tipo de coisa com Regras e Aliases!
-
Quer a solução ideal?
Use Proxy Não-Transparente e bloqueie a porta 443 no Firewall. Se precisar Liberar a 443 para alguma finalidade, apenas para sites e ips especificos.
Pronto, acabaram seus problemas. E você falou sobre apurrinhação… se é determinado o que deve ser bloqueado, não têm que haver "bla bla bla" nenhum dos usuários.
-
Bloquear algo que pode ser acessado de inúmeras formas é praticamente impossível em uma rede onde só um coisa ou outra é bloqueada.
Solicite autorização para fazer o serviço como deve ser feito ou via bloqueio ou via termo de responsabilidade/ politica de acesso.
-
Ola boa tarde! Olha não sei se esta correto, em termos de segurança, eu sei que se tiver alguem mais espertinho vai conseguir bular. A melhor forma de bloquear é do jeito como foi citado pelo LFCavalcanti e Marcelloc.
Porem eu utilizo em um cenario parecido com o seu eu utilizo proxy transparente e bloqueando https e liberando por aliases.
01. Criei um aliases com os ranges dos IP do facebook de nome por exemplo "facebook"
02. Depois criei um aliases com os IPs dos clientes com nome "Lib_https" do tipo Host(s).Na regra firewall na aba Lan.
01. Criei uma regra chamada "block_facebook"
- Action: Reject
- Interface: LAN
- Protocal: TCP
- Source: Type: LAN Subnet
- Destination: Type: Single host or Alias / Address: Facebook
- Destination port Range: From: https / to: https
02. Acima da regra "block_facebook" criei uma regra chamada "lib_facebook"
- Action: Pass
- Interface: LAN
- Protocal: TCP
- Source: Type: Single host or Alias / lib_https (é o aliases que foi criado com ip dos que terao acesso)
- Destination: Type: Single host or Alias / Address: Facebook
- Destination port Range: From: https / to: https
Feito assim funcionou aqui. Ao meu entender (desculpem sou leigo na parte de firewall redes etc) como ele le de cima para baixo ele verifica os ips que listei e libera acesso para aqueles ip. Se o ip nao se encontra na regra acredito que ele pula para regra de baixo e bloqueia.
Nao sei se é certo fazer isso, porem esta funcionando.Se alguem quiser melhorar a dica ai.. fique a vontade.
Abraços e espero que tenah ajudado. ;D
-
Eu fui por esse tutorial http://nextsense.com.br/blog/archives/402
Bloqueio por alias em proxy transparente.…. eu utilizo proxy transparente e bloqueando https e liberando por aliases.
01. Criei um aliases com os ranges dos IP do facebook de nome por exemplo "facebook"
02. Depois criei um aliases com os IPs dos clientes com nome "Lib_https" do tipo Host(s).Na regra firewall na aba Lan.
01. Criei uma regra chamada "block_facebook"
- Action: Reject
- Interface: LAN
- Protocal: TCP
- Source: Type: LAN Subnet
- Destination: Type: Single host or Alias / Address: Facebook
- Destination port Range: From: https / to: https
02. Acima da regra "block_facebook" criei uma regra chamada "lib_facebook"
- Action: Pass
- Interface: LAN
- Protocal: TCP
- Source: Type: Single host or Alias / lib_https (é o aliases que foi criado com ip dos que terao acesso)
- Destination: Type: Single host or Alias / Address: Facebook
- Destination port Range: From: https / to: https
Feito assim funcionou aqui.
djblade,
Então você confirma que usando Proxy transparente, da forma como você criou as regras, funciona? Gostaria que você confirmasse isso mais uma vez porque há alguns comentários no Blog Nextsense dizendo que não funciona. Só para citar um desses comentários:
http://nextsense.com.br/blog/archives/402#comment-500Os motivos que tenho para pedir esse feedback são óbvios:
1- Provar que o bloqueio funciona de fato usando proxy transparente ou não.
2- Sendo eu o autor do Tutorial, corrigir eventuais falhas ou erros que eu tenha cometido. -
Eu fui por esse tutorial http://nextsense.com.br/blog/archives/402
Bloqueio por alias em proxy transparente.…. eu utilizo proxy transparente e bloqueando https e liberando por aliases.
01. Criei um aliases com os ranges dos IP do facebook de nome por exemplo "facebook"
02. Depois criei um aliases com os IPs dos clientes com nome "Lib_https" do tipo Host(s).Na regra firewall na aba Lan.
01. Criei uma regra chamada "block_facebook"
- Action: Reject
- Interface: LAN
- Protocal: TCP
- Source: Type: LAN Subnet
- Destination: Type: Single host or Alias / Address: Facebook
- Destination port Range: From: https / to: https
02. Acima da regra "block_facebook" criei uma regra chamada "lib_facebook"
- Action: Pass
- Interface: LAN
- Protocal: TCP
- Source: Type: Single host or Alias / lib_https (é o aliases que foi criado com ip dos que terao acesso)
- Destination: Type: Single host or Alias / Address: Facebook
- Destination port Range: From: https / to: https
Feito assim funcionou aqui.
djblade,
Então você confirma que usando Proxy transparente, da forma como você criou as regras, funciona? Gostaria que você confirmasse isso mais uma vez porque há alguns comentários no Blog Nextsense dizendo que não funciona. Só para citar um desses comentários:
http://nextsense.com.br/blog/archives/402#comment-500Os motivos que tenho para pedir esse feedback são óbvios:
1- Provar que o bloqueio funciona de fato usando proxy transparente ou não.
2- Sendo eu o autor do Tutorial, corrigir eventuais falhas ou erros que eu tenha cometido.Fala ai Johnnybe
Cara não sabia que você era o autor do tutorial no http://nextsense.com.br/blog/archives/402.
Eu atualmente estou usando proxy transparente na empresa e o bloqueio que faço do facebook/orkut/twitter/gmail faço através das regras que você colocou no seu tutorial e aqui funciona 100%…
Se a galera quiser posto umas screen das regras... Mais segui exatamente seu tuto... Mais uma vez parabens pelo belo tutorial!!!
-
Ola johnnybe.
Primeiramente parabens pelos tutoriais!Estou com esse cenario em dois clientes com proxy transparente e fazendo o bloqueio por esse metodo. Porem como não fico alocado no cliente entao não faço verificação constantes, porem até agora esta funcionando, alem disso fiz para o twitter e youtube tambem.
Tambem aqui tenho um para testes e funcionando tambem. Vou postar as screens das minhas configurações para voce comparar e verificar ok.Como pode ver primeiro eu coloquei os alias de quem quero liberar.
Depois coloquei os de bloqueio.Sendo que o lib_https contem os ips dos computadores que tem acesso. No meu caso sao o pessoal que tem acesso total a internet.
Porem a unica coisa que aconteceu, mas nao sei se tem relação, é que se digito facebook.com mesmo liberado ele aparece pagina de bloqueado.
Se digito www.facebook.com entra normalmente. Porem em outro cliente o erro nao ocorre. e é a mesma configuracao. No meu ambiente de teste aconteceu mesma coisa. Porem desabilitando as regras continua a mesma coisa. Assim acredito que nao é essa regra, mas é informatica…Entao johnnybe até o presado momento esta funcionando perfertamente com essa regra. ;D
-
Opa! Muito obrigado pelo feedback a ambos: LCantano e djblade. :)
-
Olá!!!
Além de inserir os sites do facebook na "domaind list", inseri os termos abaixo na "regular expression".
Para mim bloqueou, podem testar também?Termos:
https://www.facebook.com ^http:VV(.+@)?(.+.)facebook.com^https:VV(.+@)?(.+.)facebook.com ^http:VV(.+@)?(.+.)live.com ^https:VV(.+@)?(.+.)live.com -
Funcionou perfeitamente a solução de FW do djblade!
Obrigado a todos.
-
Perfeito este post. Parabens ao Johnnybe e ao djblade !
Alguém do forum teria os IP´s ( como os da regra do facebook ) para os bloqueios do youtube / Twitter para bloqueio HTTPS ?
Valeu
-
Ai faço um termo de responsabilidade e o cliente que se responsabilize pelos eventuais danos.
Excelente!
Só configuro redes bloqueadas quando o cliente autoriza / solicita. :)
aqui eu fiz uma regra na lan bloqueando todas as portas, liberei a porta 3128 do proxy e mais algumas que preciso.. sqlserver oracle.. essas coisas.. mas o acesso no facebook via https:// continua.. e não uso proxy transparente..não to entendendo nada.. :-)
-
Ai faço um termo de responsabilidade e o cliente que se responsabilize pelos eventuais danos.
Excelente!
Só configuro redes bloqueadas quando o cliente autoriza / solicita. :)
aqui eu fiz uma regra na lan bloqueando todas as portas, liberei a porta 3128 do proxy e mais algumas que preciso.. sqlserver oracle.. essas coisas.. mas o acesso no facebook via https:// continua.. e não uso proxy transparente..não to entendendo nada.. :-)
Só uma pergunta:
O PFSense por padrão possui uma regra na interface LAN que libera todo trafego de saida, você desabilitou essa regra?
-
Ai faço um termo de responsabilidade e o cliente que se responsabilize pelos eventuais danos.
Excelente!
Só configuro redes bloqueadas quando o cliente autoriza / solicita. :)
aqui eu fiz uma regra na lan bloqueando todas as portas, liberei a porta 3128 do proxy e mais algumas que preciso.. sqlserver oracle.. essas coisas.. mas o acesso no facebook via https:// continua.. e não uso proxy transparente..não to entendendo nada.. :-)
Só uma pergunta:
O PFSense por padrão possui uma regra na interface LAN que libera todo trafego de saida, você desabilitou essa regra?
esta regra esta desabilitada…
-
Ai faço um termo de responsabilidade e o cliente que se responsabilize pelos eventuais danos.
Excelente!
Só configuro redes bloqueadas quando o cliente autoriza / solicita. :)
aqui eu fiz uma regra na lan bloqueando todas as portas, liberei a porta 3128 do proxy e mais algumas que preciso.. sqlserver oracle.. essas coisas.. mas o acesso no facebook via https:// continua.. e não uso proxy transparente..não to entendendo nada.. :-)
Só uma pergunta:
O PFSense por padrão possui uma regra na interface LAN que libera todo trafego de saida, você desabilitou essa regra?
esta regra esta desabilitada…
Eu respondi seu outro tópico, da uma olhada lá. Pode ser algo com a ordem em que as regras estão organizadas.
