Bloquear Youtube http e https e liberar por IP

doguibnu · Mar 13, 2015, 12:00 PM

Bom dia Amigos!
Tudo bem?

Nós precisamos fazer o bloqueio do Youtube por HTTP e HTTPS e liberar somente para alguns IPs. Qual seria o melhor método?. Fazer regras?

Muito obrigado pela atenção!

Fiquem com Deus!

tomaswaldow · Mar 13, 2015, 12:25 PM

Chegou a pesquisar no forum? Tem bastante coisa sobre isso.

Se você usa proxy é a forma mais simples, por firewall é mais complexo e exige mais manutenção.
Seria com Squid (proxy ativo)+ Squidguard com regras por grupo.

doguibnu · Mar 13, 2015, 1:26 PM

Obrigado por responder Tomas!

Nós usamos proxy transparente. Sim já pesquisamos algumas opções. Vamos pesquisar mais algumas.

Obrigado por enquanto!

Douglas

hugoteleco · Mar 13, 2015, 2:36 PM

Pessoal, tudo bem?

Vocês encontraram uma solução que realmente funcione para o bloqueio do Youtube( https)? Eu já tentei algumas garimpando na NET, mas não encontrei.

A última eu fiz igual a do Facebook, usando bloqueio via firewall. A do Facebook funcionou, mas na do Youtube não está adiantando.

Queria mesmo era uma maneira de fazer via proxy, usando squidguard autenticado via AD por grupos. Alguém já conseguiu isso?

Cenário ideal:

Rede Lan com acesso Internet, filtrada com squidguard autenticado, de forma transparente, por grupos do AD.

Desde já agradeço

Hugo

doguibnu · Mar 13, 2015, 7:49 PM

Pessoal,
Tudo bem?

Então, lendo vários tópicos referentes ao assunto, chegamos a fazer de um usuário daqui, o "manoveio":

"Eu criei uma categoria chamada de rede social no squidguard e em domainlist coloquei www.youtube.com e salvei… criei um grupo chamado de administrador e neste grupo em Target Rules coloqui deny na categoria mencionada e tá bloqueando bacana o youtube... espero ter ajudado"

Nosso Firewall é o pfsense 2.1.4 32 bits. Já com o squidguard3. Ele faz o bloqueio do Facebook https, porém se colocarmos pra bloquear o Youtube ele bloqueia o Google e alguns serviços google e também pelo que vimos o Yahoo, o Projudi do Paraná entre outros. Se colocarmos o google.com e o google.com.br na whitelist do squid ele acessa normalmente porém, permite que as pessoas utilizem o https do youtube e assim acessam o youtube.

Alguém teria uma sugestão de como podemos fazer uma configuração que apenas alguns ips pudessem acessar o youtube porém, que não fizesse derrubar o google e outros sites.

Muito obrigado

Douglas

Fiquem com Deus

claudevan · Mar 13, 2015, 8:59 PM

doguibnu

Cara faz o seguinte cria um Aliases como descrito abaixo!

Firewall: Aliases/Alias Edit
Name: Youtube
Description: Block Youtube
Type: Network(s)

Coloca todas essas CIDR! que esta aqui em baixo.

Depois vá em: Firewall: Rules/LAN e crie uma regra de "BLOCK" em "Sorce" coloca o IP que você quer bloqueia e em
"Destination" coloca o Aliases que você criou "Youtube"

74.125.239.128/32 74.125.239.0/24 74.125.239.128/32 74.125.0.0/16 74.125.239.132/32 74.125.239.0/24 74.125.239.132/32 74.125.0.0/16 74.125.239.133/32 74.125.239.0/24 74.125.239.133/32 74.125.0.0/16 74.125.239.134/32 74.125.239.0/24 74.125.239.134/32 74.125.0.0/16 74.125.239.142/32 74.125.239.0/24 74.125.239.142/32 74.125.0.0/16 74.125.239.135/32 74.125.239.0/24 74.125.239.135/32 74.125.0.0/16 74.125.239.130/32 74.125.239.0/24 74.125.239.130/32 74.125.0.0/16 74.125.239.137/32 74.125.239.0/24 74.125.239.137/32 74.125.0.0/16 74.125.239.131/32 74.125.239.0/24 74.125.239.131/32 74.125.0.0/16 74.125.239.136/32 74.125.239.0/24 74.125.239.136/32 74.125.0.0/16 74.125.239.129/32 74.125.239.0/24 74.125.239.129/32 74.125.0.0/16 74.125.239.128/32 74.125.239.132/32 74.125.239.133/32 74.125.239.134/32 74.125.239.142/32 74.125.239.135/32 74.125.239.130/32 74.125.239.137/32 74.125.239.131/32 74.125.239.136/32 74.125.239.129/32 82.129.37.0/32 64.15.127.0/32 64.15.126.0/32 64.15.125.0/32 64.15.124.0/32 64.15.123.0/32 64.15.122.0/32 64.15.121.0/32 64.15.120.0/32 64.15.119.0/32 64.15.118.0/32 64.15.117.0/32 64.15.116.0/32 64.15.115.0/32 64.15.114.0/32 64.15.113.0/32 64.15.112.0/32 213.146.171.0/32 208.65.155.0/32 208.65.154.0/32 208.65.153.0/32 208.65.152.0/32 208.117.255.0/32 208.117.254.0/32 208.117.253.0/32 208.117.252.0/32 208.117.251.0/32 208.117.250.0/32 208.117.249.0/32 208.117.248.0/32 208.117.247.0/32 208.117.246.0/32 208.117.245.0/32 208.117.244.0/32 208.117.243.0/32 208.117.242.0/32 208.117.241.0/32 208.117.240.0/32 208.117.239.0/32 208.117.238.0/32 208.117.237.0/32 208.117.236.0/32 208.117.235.0/32 208.117.234.0/32 208.117.233.0/32 208.117.232.0/32 208.117.231.0/32 208.117.230.0/32 208.117.229.0/32 208.117.228.0/32 208.117.227.0/32 208.117.226.0/32 208.117.225.0/32 208.117.224.0/32 74.125.0.0/16 173.194.0.0/16 190.98.170.0/23 179.184.10.0/26

Aqui na empresa eu faço assim e funciona normalmente, eu uso o squid + squidguard com proxy transparente pode fazer que funciona, qualquer duvida posta ai.

tomaswaldow · Mar 13, 2015, 11:03 PM

@hugoteleco:

Vocês encontraram uma solução que realmente funcione para o bloqueio do Youtube( https)? Eu já tentei algumas garimpando na NET, mas não encontrei.

Sim, bloqueio o domínio facebook.com usando uma target do squidguard e funciona sem problema.

doguibnu · Mar 16, 2015, 6:15 PM

@Tomas:

@hugoteleco:

Vocês encontraram uma solução que realmente funcione para o bloqueio do Youtube( https)? Eu já tentei algumas garimpando na NET, mas não encontrei.

Sim, bloqueio o domínio facebook.com usando uma target do squidguard e funciona sem problema.

Claudevan, tudo bem?

Olha, eu fiz o que você sugeriu, mas:

No squid temos o facebook na blacklist e ele bloqueia uma beleza. Mas se eu colocar o Youtube, ele boqueia outros serviços do Google e até mesmo o site do Yahoo entre outros

Tentei fazer de sua forma mas, aqui não funfou, ele não bloqueou não!

Vou até tentar novamente pra ver se funciona!

Muito Obrigado pela atenção!

Douglas

tacioandrade · Mar 16, 2015, 10:02 PM

@claudevan:

doguibnu

Cara faz o seguinte cria um Aliases como descrito abaixo!

Firewall: Aliases/Alias Edit
Name: Youtube
Description: Block Youtube
Type: Network(s)

Coloca todas essas CIDR! que esta aqui em baixo.

Depois vá em: Firewall: Rules/LAN e crie uma regra de "BLOCK" em "Sorce" coloca o IP que você quer bloqueia e em
"Destination" coloca o Aliases que você criou "Youtube"

74.125.239.128/32 74.125.239.0/24 74.125.239.128/32 74.125.0.0/16 74.125.239.132/32 74.125.239.0/24 74.125.239.132/32 74.125.0.0/16 74.125.239.133/32 74.125.239.0/24 74.125.239.133/32 74.125.0.0/16 74.125.239.134/32 74.125.239.0/24 74.125.239.134/32 74.125.0.0/16 74.125.239.142/32 74.125.239.0/24 74.125.239.142/32 74.125.0.0/16 74.125.239.135/32 74.125.239.0/24 74.125.239.135/32 74.125.0.0/16 74.125.239.130/32 74.125.239.0/24 74.125.239.130/32 74.125.0.0/16 74.125.239.137/32 74.125.239.0/24 74.125.239.137/32 74.125.0.0/16 74.125.239.131/32 74.125.239.0/24 74.125.239.131/32 74.125.0.0/16 74.125.239.136/32 74.125.239.0/24 74.125.239.136/32 74.125.0.0/16 74.125.239.129/32 74.125.239.0/24 74.125.239.129/32 74.125.0.0/16 74.125.239.128/32 74.125.239.132/32 74.125.239.133/32 74.125.239.134/32 74.125.239.142/32 74.125.239.135/32 74.125.239.130/32 74.125.239.137/32 74.125.239.131/32 74.125.239.136/32 74.125.239.129/32 82.129.37.0/32 64.15.127.0/32 64.15.126.0/32 64.15.125.0/32 64.15.124.0/32 64.15.123.0/32 64.15.122.0/32 64.15.121.0/32 64.15.120.0/32 64.15.119.0/32 64.15.118.0/32 64.15.117.0/32 64.15.116.0/32 64.15.115.0/32 64.15.114.0/32 64.15.113.0/32 64.15.112.0/32 213.146.171.0/32 208.65.155.0/32 208.65.154.0/32 208.65.153.0/32 208.65.152.0/32 208.117.255.0/32 208.117.254.0/32 208.117.253.0/32 208.117.252.0/32 208.117.251.0/32 208.117.250.0/32 208.117.249.0/32 208.117.248.0/32 208.117.247.0/32 208.117.246.0/32 208.117.245.0/32 208.117.244.0/32 208.117.243.0/32 208.117.242.0/32 208.117.241.0/32 208.117.240.0/32 208.117.239.0/32 208.117.238.0/32 208.117.237.0/32 208.117.236.0/32 208.117.235.0/32 208.117.234.0/32 208.117.233.0/32 208.117.232.0/32 208.117.231.0/32 208.117.230.0/32 208.117.229.0/32 208.117.228.0/32 208.117.227.0/32 208.117.226.0/32 208.117.225.0/32 208.117.224.0/32 74.125.0.0/16 173.194.0.0/16 190.98.170.0/23 179.184.10.0/26

Aqui na empresa eu faço assim e funciona normalmente, eu uso o squid + squidguard com proxy transparente pode fazer que funciona, qualquer duvida posta ai.

No caso de colocar todos esses CIDR não corre risco de bloquear outros serviços do Google não? Pergunto isso pois já busquei uma lista dos IPs usados apenas pelo Youtube e só encontro por TODOS os serviços do Google e não os apenas do Youtube.

tomaswaldow · Mar 17, 2015, 12:03 AM

Cria grupos do SquidGuard e bloqueia o domínio youtube.com

claudevan · Mar 17, 2015, 3:28 AM

tacioandrade

Cara da uma olhada na prioridade das sua regras, segui em anexo o bloqueio que eu faço aqui.

Sua pergunta.
No caso de colocar todos esses CIDR não corre risco de bloquear outros serviços do Google não?

Sim pode interferir em outros sites como o "gmail" por exemplo, dai vai depender da sua precisão é melhor ter o "youtube" bloqueado ou o gmail libelado?

youtube, facebook, skype são sites clusterizados para serem bloqueados eu só ache essa solução.

Qualquer duvida posta ai…

tomaswaldow · Mar 17, 2015, 10:45 AM

claudevan, sugiro vocês criar Aliases dos hosts por grupo de acesso, por exemplo, Facebook, Youtube, etc e cadastrar os IPs em cada grupo, assim suas regras ficam mais limpas, mais eficientes, rápidas e mais fáceis de dar manutenção.
Depois você cria uma regra Facebook, uma regra Youtube, etc e coloca o Alias correspondente como origem.

claudevan · Mar 17, 2015, 12:47 PM

Tomas Waldow

Boa idea cara não tinha pensado nisso vou criar os aliases por grupo de IP, valeu mesmo!!!

andersonpow · Oct 16, 2015, 10:40 PM

Resolvi e fiz este video espero que ajude.
https://www.youtube.com/watch?v=Za-MpesndWU

curumim · Apr 6, 2018, 1:38 PM

Resolveu meu problema , mas é engraçado algo do tipo:

bloqueei o youtube. Veja o vídeo do youtube abaixo. uahushuahsuhaushauhs

pskinfra · Apr 6, 2018, 9:04 PM

@doguibnu:

Bom dia Amigos!
Tudo bem?

Nós precisamos fazer o bloqueio do Youtube por HTTP e HTTPS e liberar somente para alguns IPs. Qual seria o melhor método?. Fazer regras?

Muito obrigado pela atenção!

Fiquem com Deus!

boa tarde fera.

Pesquise sobre o serviço DNS da Cisco, o OPENDNS. É excelente!!!

Aponte seu DHCP Server para os IPs do OpenDNS;
Após criação do registro do painel do OpenDNS, crie suas categorias de bloqueios ou domínios;
Todos os hosts da sua rede lan, irá pegar DNS1 e DNS2 do OpenDNS;
Assim todos terão uma camada extra de segurança aos sites por meio desse serviço;
Para os IPs/Contatos que deverão ficar de fora dos bloqueios, adicione no seu IP, os DNS diferentes para que saia para internet sem bloqueio do OpenDNS;
Nesse cenário, é muito importante e como boa prática, amarrar o MAC dos clientes ( hosts da rede ), e assim ter facilidade para sua administração;

link: https://login.opendns.com/

Forte abraço.
Qualquer dúvida, estou a disposição!