Bloqueio de sites por conteúdo



  • Olá amigos do fórum, estou precisando de uma ajuda de vcs para solucionar um problema no seguinte cenário:

    • Implantei um servidor pfsense versão 2.0 para gerenciar a rede e o conteudo de acesso em uma rede com 10 computadores;
      O problema é o seguinte: Na rede, quase todos os usuário tem permissão para acessar o msn, até ai tudo bem. Eu havia configurado o Squid (Proxy Server) para bloquear todos os tipos de sites e ir desbloqueando conforme havia necessidade de desbloquear um site ou outro. Até ai tudo blz, mas começou a surgir um problema. Todos os dias aparece um site novo para ser desbloqueado, e como eu tenho uma empresa de prestação de serviço, estava ficando complicado toda hora ter q atender essa empresa, pois muitas vezes não conseguia desbloquear determinado site na hora em q eles solicitavam. Então eles pediram pra deixar bloqueado apenas conteúdos proibidos, como pornografia, redes sociais e games. Gostaria de uma ajuda na configuração do SquidGuard, pois eu acho que só pelo squid não consigo configurar um filtro por conteúdo.
      Sem mais agradeço desde já pela ajuda dos amigos. Abraços, aguardo resposta.


  • Ola vhugojr

    Exatamente isso, é só configurar um squidguard que vc vai controlar legal isso ai, vou sugerir pra vc o seguinte:

    Acessa aqui o site do próprio squidguard e la ele libera para vc algumas blacklists que irão auxiliar bastante vc na hora de criar as acl's para conteúdos impróprios, acessa elas e veja a que mais te agrada:

    http://www.squidguard.org/blacklists.html

    Junto a isso, vc pode tbm criar uma lista de palavras chave para serem bloqueadas tbm, o que melhora a eficiência da regra.

    Não se esqueça de rodar algum script de atualização das blacklists tbm, ajuda bastante manter elas em dia!

    Abraços



  • Olá amigo, blz vou testar a sua dica, mas esse script de atualização no final que vc mencionou, como procedo nele?



  • Olá amigo, desculpa a demora, é q estava um poko enrolado por aqui, mas a questão é a seguinte, eu coloquei lah o endereço para baixar a blacklists, mas quando eu clico em download não acontece nada. Ele não baixa nenhuma blacklist, eu lembro que qdo eu usa a versão 1.2.3 ele baixava normalmente, mas na versão 2.0 não consegui, será que tem alguma configuração a mais, na nova versão.




  • Tenta fazer isso por um browser de verdade, esquece o Internet explorer.



  • Kra, é não é que é verdade mesmo, eu instalei o google chrome e ele tah baixando agora, pq será q acontece isso? Mas vlw pela ajuda, vou continuar os testes aki q posto depois, novamente o resultado, agradeço mais uma vez pela ajuda, abraço!



  • @vhugojr:

    …, pq será q acontece isso?

    Isso acontece porque o Internet Explorer não é um browser de verdade, oras.  ;D



  • olá amigos, eu consegui baixar as blacklists, mas mesmo assim ainda não consegui atingir meu objetivo. Minha necessidade é a seguinte, o squid na seção "blacklist" irá conter alguns dominios improprios conhecidos, que serão bloqueados, e o resto será tudo liberado. Mas eu gostaria de configurar o "squidguard" para bloquear automaticamente, todo o site com conteudo pornografico, sem precisar toda vez acrescentar um dominio improprio na lista de sites bloqueados, será que é possivel fazer isso?



  • Olá  ;)

    Faz o seguinte… além de utilizar a blacklist para bloquear os sites,adicione em Expressions as palavras que tu achas ser correto o bloqueio.

    Ao digitar essa palavra no google ou na url o site é bloqueado na hora,sendo que não existe uma blacklist que se atualize automaticamente no pfsense (que eu saiba) e nenhuma é tão completa com todas as urls de sites impróprios para se acessar em uma empresa.Milhares de sites são criados diariamente ficando impossível a atualização de 100% dos mesmos.

    Caso isso ainda não seja o que tu desejas utilize o Opendns para bloquear dezenas de categorias pré-definidas e que lhe ajudam nessa tarefa de bloqueio de sites.

    OPENDNS+SQUID+SQUIDGUARD+BLACKLIST+REGRAS no firewall

    Ai você tem uma estrutura de bloqueio bem feita  :-X

    Grato  :)



  • Ok, obrigado pela resposta, vou tentar adicionar as espressões no squidguard, mas eu não utilizei ainda o opendns, você teria algum tutorial para indicar afim de me auxilar nessa configuração?



  • Claro amigo  :D

    Estamos aqui para ajudar.

    O que é o OpenDNS ?

    Utilizando uma base de dados inteligente, o OpenDNS beneficia o usuário com sua rede de alta performance, distribuída geograficamente e acompanhada por servidores redundantes. O serviço responde à sua conexão utilizando o servidor mais próximo, tornando tudo mais rápido e confiável.

    Além disso, o OpenDNS oferece serviços muito interessantes. Erros de digitação comuns, como digitar .cmo ao invés de .com, são corrigidos automaticamente, de forma transparente para o usuário. Um virtuoso filtro contra phishing (uma entre as diversas formas de tentar roubar o seu dinheiro com golpes online) impede que você entre em sites comprovadamente perigosos, exibindo um aviso no navegador.

    Como utilizar ?

    Cadastre-se no site opendns.com e na guia settings e adicione sua conexão em (Your Networks) adicione seu ip (WAN).Apartir dai você so precisa clicar no ip que você acabou de adicionar nessa página e será redirecionado para a página de seleção de filtros.
    Clique em custom e selecione todas as categorias que você deseja liberar ou bloquear,sendo que lá embaixo há a opção de adicionar sites em uma whitelist.

    O último passo é adicionar o dns do Opendns em seu pfsense.

    Segue na imagem o que deve ser feito.

    -Adicione os dns do OpenDns nesse campo "Use alternate DNS-servers for the proxy-server" e seja feliz.

    Dns:208.67.222.222
          208.67.220.220

    Grato.



  • Obrigado pela dica "vina18", mas tenho uma duvida, o ip pra adicionar, no meu caso aqui, não é ip empresarial, é residencial, ou seja, dinâmico, o opendns atualiza automaticamente qdo o modem adsl é reiniciado ou tem q cadastrar uma conta do tipo no-ip.

    Fico no aguardo.



  • consegui achar a solução para o ip dinamico, a propria OpenDNS tem um software gratuito para atualização do ip, obrigado.



  • Olha eu consegui configurar o OpenDNS, mas não consegui adicionar no pfsense, pois qdo tento entrar em algum site proibido, aparece o erro do squidguard e não a pagina personalizada que configurei no opendns, o q será que fiz de errado?



  • Consegui agora configurar o opendns, mas pelo que eu vi, o squid e o squidguard tem prioridade sobre o opendns, certo?



  • @vhugojr:

    Consegui agora configurar o opendns, mas pelo que eu vi, o squid e o squidguard tem prioridade sobre o opendns, certo?

    Sim… mas o opendns é uma soma ao tipo de bloqueio de conteúdo que você precisa.No squidguard ainda há a opção de você mudar a "página de erro" para um link externo (coloque o do open dns) e logo você tera o bloqueio do squidguard +opendns com a mesma página.

    E mais uma dica.. adicionei um 2º dns nesse campo e deixa as duas caixas de seleção abaixo desabilitadas.



  • Vina,

    Explica melhor essa sua Tecnica porque ficou bem confuso.
    Voce esta usando os servidores de dns do google e afirma que os opendns desvia os logs de erro do squid?
    Se isso realmente for uma configuração e Nao uma conhecidencia, gostaria de entender o que Voce fez.



  • @marcelloc:

    Vina,

    Explica melhor essa sua Tecnica porque ficou bem confuso.
    Voce esta usando os servidores de dns do google e afirma que os opendns desvia os logs de erro do squid?
    Se isso realmente for uma configuração e Nao uma conhecidencia, gostaria de entender o que Voce fez.

    Você entendeu tudo errado amigo  :P

    1-A informação sobre o redirecionamento de página é apenas para substituir as página padrão de acesso negado do squidguard,sendo ela redirecionada para a mesma do opendns ( mensagem de erro).
    2-A dica do dns do google seria para que os usuários vips (whitelist) que precisarem de acesso liberado e que devem passar pelas regras do Opendns sejam direcionados a usar o dns do google no caso seria adicionado o campo dos respectivos ips no espaço bypass ips no squid.

    Grato  :)



  • @vina18,

    Em outras palavras, o que você está sugerindo neste tópico é basicamente isso: http://www.thiagomedeiros.com/blog/rede-e-internet/bloquear-sites-com-o-opendns - correto?

    Veja que esta "metodologia" pode ser utilizada em alguns cenários (geralmente pequenas redes), mas é preciso tomar alguns cuidados:

    • Este serviço do OpenDNS até bem pouco tempo atrás era pago. Nada impede de que volte a ser;

    • Podem haver problemas de latência e consequente lentidão em redes com muito tráfego HTTP, por exemplo (OpenDNS está fora do backbone brasileiro);

    • Utilizar metodologias de restrição baseadas nas pontas (configuração nas estações) pode ser uma grande dor de cabeça;

    • Você tem pouco ou nenhum controle sobre o conteúdo e o update das listas.

    Abraços!
    Jack



  • Aproveitando a pergunta já feita anteriormente, como coloco um script para atualizar a blacklist automaticamente?


Log in to reply