[Resolvido] Bloqueio Gmail e Google+



  • Amigos Boa tarde. Venho de novo atrás da ajuda de vocês. A google esta me dando muito trabalho. Não consigo bloquear o acesso ao Gmail e Google+. Vejam: Aqui uso o Pfsense 2.0 com o Squid com Proxy Transparente e SquidGuard. No Navegador se digito "www.gmail.com" ou "www.gmail.com.br", o Pfsense consege bloquear. Só que quando você vai acessa ele pelo link que tem na pagina de busca da Google, ele acessa. Eu já copiei tudo que foi de link, coloquei no ProxyServ em Acess Control na blacklist, criei um uma Target Categories no ProxyFilter, com tudo que foi de link que leva pra o Gmail e nada. Agora descubrir que o Google+ também esta do mesmo jeito. Já li que quando configurando com Proxy Transparente, o pfsense não consegue bloquear os protocolos HTTPS, só que o Orkut, Twitter e Facebook usam esse protocolo e eu consigo bloquea-los. Peço ajuda de vocês.



  • @babingthon:

    Já li que quando configurando com Proxy Transparente, o pfsense não consegue bloquear os protocolos HTTPS

    O pfsense e firewall nenhum.  ;)

    Isto é uma questão conceitual do protocolo https. Sem utilizar técnicas semi obscuras, não existe maneira de filtrar ssl.

    Para resolver o seu problema, basta sair do modelo de proxy transparente e fechar o seu firewall.

    Olha este relato postado agora mesmo:

    http://forum.pfsense.org/index.php/topic,44969.msg237552.html#msg237552



  • Exatamente, bloqueia todo que for pra porta 443 e libera só o que for usar.
    E cria uma GPO(Se tiver AD) para adicionar o proxy nas máquinas.



  • Olha, se você usa o Squid+Squid Guard nem precisa usar o Firewall. Deixa a porta 443(HTTPS) sem regra permitindo no firewall.

    Para filtrar o Google e Google Plus basta você ir em SERVICES>PROXY FILTER> TARGET CATEGORIES
    Lá você cria uma nova categoria e coloca o dominio do site, no caso do GMAIL e do GOOGLE PLUS, basta bloquear o dominio "account.google.com", se quiser ainda coloque o "gmail.com" e "plus.google.com".

    Na mesma tela há uma box para colocar palavras a serem bloqueadas, separadas por uma "|", coloque as palavras "gmail", "googleplus" e "accountgoogle".

    Feito isso, nas ACLs do SquidGuard, marque essa categoria que criou como "Deny".

    Isso funciona comigo em todos os ambientes que gerencio. Também acho mais fácil do que ficar criando regras de Firewall baseada em IPs e Alias, nesse esquema, se algum site estiver sem acessar, como o da Caixa Econômica Federal, basta definir para não fazer cache.



  • LFCavalcanti, já tentei fazer isso e não da certo não. Vou tentar fazer o que o leandro disse!!! quando eu testar eu post os resultados.



  • @babingthon:

    LFCavalcanti, já tentei fazer isso e não da certo não. Vou tentar fazer o que o leandro disse!!! quando eu testar eu post os resultados.

    Só vai dar errado se você tiver com Proxy Transparente, com aquela regra de firewall que libera as conexões de saida por qualquer porta.



  • Pessoal, deu certo aqui. Tirei o proxy transparente, coloquei proxy mesmo e num acessa mais os https. Só que quando coloco por exemplo: se vou acessar o gmail pelo site da google, não aparece a minha pagina de bloqueio, aparece que tipo não se conectou. É pra ficar assim, ou tem como ficar aparecendo a minha pagina de bloqueio? Ja ate coloquei a pagina de bloqueio do squidguar a int error page e nada. Nos outros sites aparece normal a pagina.



  • Qualquer site https bloqueado esta aparecendo erro de conexão ou sṍ com o google?

    Você criou o alias e a aplicou regra no pfsense ou esta configurando só pelo squidguard?



  • Só testei no gmail e google+. E que regra é essa pra ser criada?



  • Quando você quer bloquear um site pelo nome do host e não por ip, você cria um alias to tipo host e coloca o host das urls nele

    ex:
    app.facebook.com
    www.gmail.com

    Depois de criar o alias, basta aplicar uma regra de firewall para bloquear os sites listados nas portas que você quiser.



  • Olha marcelo, testei aqui em outros sites https, e deu a mesma mensagem q deu no gmail e google+. E esse regra que você falou, ela tem que ser criada pra bloquear qualquer site https usando o proxy normal é? E aonde fica o squid e squidguard? Eu tava aqui pensando, esse regra é pra ser criada no LAN dizendo que tudo que vinher na 433(Https) é pra ser redericionado pra minha porta do proxy é? Desculpa se estou falando alguma besteira, mais é pq sei pouco!!!  ;D  ;D  ;D



  • Não existe redirecionamento https(ainda).

    Esta regra serve para bloquear acesso sem proxy a sites https.

    Quando habilitamos squid + squidguard, é comum deixar o https(443) fechado ou restrito a alguns ips internos ou externos.



  • Então deixa eu vê se eu entendir:

    1º: Então a minha pagina de bloqueio que eu tenho aqui na minha empresa não vai funcionar quando for sites Https? Porque eu criei uma "Target Categories" no Squidguard, e coloquei lá as "Expressions" plus, gmail, e não aparece "SITE BLOQUEADO" não. E testei em uns 10 sites Https e da a mesmo erro.

    2º: Como fazer a pagina aparecer pra os sites Https?

    3º: E tem que criar realmente essas regras? Pq estou vendo aqui, que não vou precisar não.

    Antes de tudo, obrigado pela a ajuda ai.  :)  :)



  • No dansguardian, sempre que um ssl é bloqueado, o que aparece é mensagem que o proxy esta recusando conexões.

    Isso deve acontecer porque o proxy não interfere no conteúdo da conexão ssl, apenas a libera ou não de acordo com o host soliticado.

    No squidguard deve acontecer da mesma forma.

    Quando eu conseguir colocar o filtro de ssl no dansguardian, você deve conseguir mostrar página de bloqueio ao invés de erro de conexão.

    att,
    Marcello Coutinho



  • Blza Marcelo, pela ajuda. Vou so aqui fazer uns testes e colocar aqui na minha empresa.

    OBS: como faça pra alterar o topico como RESOLVIDO? rsrsrsrs



  • @babingthon:

    OBS: como faça pra alterar o topico como RESOLVIDO? rsrsrsrs

    Basta editar o assunto do primeiro post.

    Se não estiver mais disponível a opção de editar, basta me pedir.

    att,
    Marcello Coutinho


Log in to reply