Squidguard não bloqueando Facebook.



  • Boa noite pessoal, segui certinho os tutoriais sobre squidguard e deu certo. Ele bloqueou os sites que apontei na blacklist só que as redes sociais não bloqueou o facebook.

    Acredito que seja por que o facebook acessa via https e meu squid está tudo liberado. Gostaria do bloqueio apenas do facebook. Como posso fazer para contornar isso?

    Agradeço desde já.



  • testei agora

    quando acesso www.facebook.com ele bloqueia, mas se eu acessar https://www.facebook.com ele está liberado.

    Acredito que tenha que bloquear nas regras do firewall para não passar o https. Mas não queria criar problemas com outros sites como internetbaking e outros sites.



  • @danillodias:

    testei agora

    quando acesso www.facebook.com ele bloqueia, mas se eu acessar https://www.facebook.com ele está liberado.

    Acredito que tenha que bloquear nas regras do firewall para não passar o https. Mas não queria criar problemas com outros sites como internetbaking e outros sites.

    Danilo,

    Você pode criar uma regra no seu firewall bloqueando a rede do Facebook, pois caso você esteja utilizando proxy transparente o protocolo https (443) não é checado , por este motivo que o acesso ao Facebook via https é liberado.

    Segue as redes do Facebook.

    66.220.0.0/16
    69.171.0.0/16
    31.13.0.0/16
    173.152.0.0/16
    173.252.0.0/16

    Neste caso você deve criar um regra no firewall de reject da sua rede lan para as redes citadas.

    Você pode criar um aliases com as redes, e depois só criar a regra.



  • O processo de bloqueio de acesso evolui junto com a vontade do usuário acessar, são grandezas diretamente proporcionais.

    • você habilita o proxy transparente, o usuario acessa via https

    • você bloqueia a faixa do facebook, o usuário procura um proxy public(via google) para acessar.

    • você bloqueia os proxies publicos mais conhecidos, o usuário instala o ultrasurf, tor

    • você bloqueio tudo e libera só os sites necessários para a empresa, o usuário chora ou tenta te agredir :)

    Pule alguns passos e mude a configuração do seu firewall para evitar esta briga de gato e rato.

    att,
    Marcello Coutinho



  • @marcelloc:

    O processo de bloqueio de acesso evolui junto com a vontade do usuário acessar, são grandezas diretamente proporcionais.

    • você habilita o proxy transparente, o usuario acessa via https

    • você bloqueia a faixa do facebook, o usuário procura um proxy public(via google) para acessar.

    • você bloqueia os proxies publicos mais conhecidos, o usuário instala o ultrasurf, tor

    • você bloqueio tudo e libera só os sites necessários para a empresa, o usuário chora ou tenta te agredir :)

    Pule alguns passos e mude a configuração do seu firewall para evitar esta briga de gato e rato.

    att,
    Marcello Coutinho

    Marcello, entao mesmo bloqueando as faixas do facebook na porta 433 utilizando um proxy public acessa?
    Eu fui por esse tutorial http://nextsense.com.br/blog/archives/402
    Bloqueio por alias em proxy transparente.
    Mas nao atentei a proxy publico. To aprendendo ainda.. agora do ultrasurf eu ja sabia.



  • @djblade:

    @marcelloc:

    O processo de bloqueio de acesso evolui junto com a vontade do usuário acessar, são grandezas diretamente proporcionais.

    • você habilita o proxy transparente, o usuario acessa via https

    • você bloqueia a faixa do facebook, o usuário procura um proxy public(via google) para acessar.

    • você bloqueia os proxies publicos mais conhecidos, o usuário instala o ultrasurf, tor

    • você bloqueio tudo e libera só os sites necessários para a empresa, o usuário chora ou tenta te agredir :)

    Pule alguns passos e mude a configuração do seu firewall para evitar esta briga de gato e rato.

    att,
    Marcello Coutinho

    Marcello, entao mesmo bloqueando as faixas do facebook na porta 433 utilizando um proxy public acessa?
    Eu fui por esse tutorial http://nextsense.com.br/blog/archives/402
    Bloqueio por alias em proxy transparente.
    Mas nao atentei a proxy publico. To aprendendo ainda.. agora do ultrasurf eu ja sabia.

    Danilo,

    O que o Marcelo, falou ele esta correto.

    Você pode bloquear a porta 443 no seu firewall é ir liberando os sites que sua empresa deve ter acesso utilizando o aliases para adicionar os domínios que serão liberado, fica muito bom depois de tudo configurado mas no começo e trabalhoso será necessário ficar liberando vários sites.

    Aqui na empresa onde eu trabalho eu fiz uma regra para bloquear a porta 443 no firewall evitando assim o uso do ultra surf para bular o firewall, ficou muito bom.

    Dica Faz primeiro um levantamento quais os sites mais utilizados pelos departamento da sua empresa, e já deixa liberado assim o impacto vai ser menor.



  • Eu bloqueio todas as portas, não só a 443.



  • Tentei fazer um bloqueio através das regras e aliases do firewall, só que não consegui fazer a regra para desbloqueio de alguns IPs.

    Fiz o aliase da liberacao mais não funciona.

    Minhas regras ficaram assim

        • LAN Address
          80 * * Anti-Lockout Rule

    TCP IPs_liberados * Facebook 80 - 443 * none Ips com facebook liberado

    TCP LAN net * Facebook 80 - 443 * none Bloqueio_facebook

    • LAN net * * * * none Default allow LAN to any rule


  • Além do que o Marcelloc falou sobre o bloqueio das portas de saida.

    Ainda existem problemas em escritórios de contabilidade, por exemplo, onde programas maléficos da receita federal se comportam de maneira quase aleatória.

    A questão do Facebook não é só Técnica, você precisa fazer a administração da empresa entender que não é só bloquear, senão a culpa recai sobre você e não sobre o usuário.
    Vocês devem criar uma politica de segurança, uma espécie de regulamento, definindo o que os usuários podem acessar e conseguir apoio da administração para punir estes usuários "espertinhos".

    Sem essa politica, sempre que o usuário conseguir acessar alguma coisa a culpa é do TI que não bloqueou adequadamente… :'(



  • @LFCavalcanti:

    Além do que o Marcelloc falou sobre o bloqueio das portas de saida.

    Ainda existem problemas em escritórios de contabilidade, por exemplo, onde programas maléficos da receita federal se comportam de maneira quase aleatória.

    A questão do Facebook não é só Técnica, você precisa fazer a administração da empresa entender que não é só bloquear, senão a culpa recai sobre você e não sobre o usuário.
    Vocês devem criar uma politica de segurança, uma espécie de regulamento, definindo o que os usuários podem acessar e conseguir apoio da administração para punir estes usuários "espertinhos".

    Sem essa politica, sempre que o usuário conseguir acessar alguma coisa a culpa é do TI que não bloqueou adequadamente… :'(

    Apoiado!



  • Costumo fazer o mesmo que o Marcelloc faz.
    Defino as portas e os endereços que serão liberados.
    Então o que não esta definido o pfsense já entende que é bloqueado pelo pfsense.



  • @gilmarcabral:

    Costumo fazer o mesmo que o Marcelloc faz.
    Defino as portas e os endereços que serão liberados.

    Isso não impede que alguns usuários mais espertos façam uso indevido. Por sinal, nosso colega LFCavalcanti fez uma excelente colocação a respeito da política de acessos. Todo e qualquer administrador de redes deve, além de implantar essa política, divulgá-la entre os usuários. Inclusive com aceite.
    Não vou entrar em detalhes, mas há várias formas de se burlar um firewall/proxy.
    Portanto, com a política de acesso devidamente divulgada, os "espertos" podem ser devidamente advertidos. Ou pior.



  • @johnnybe:

    Não vou entrar em detalhes, mas há várias formas de se burlar um firewall/proxy.

    Com tudo bloqueado, a chance é quase 0.

    O que vejo acontecer muito hoje em dia é o usuário passar a usar o facebook via 3g no celular.



  • @marcelloc:

    @johnnybe:

    Não vou entrar em detalhes, mas há várias formas de se burlar um firewall/proxy.

    Com tudo bloqueado, a chance é quase 0.

    O que vejo acontecer muito hoje em dia é o usuário passar a usar o facebook via 3g no celular.

    Marcelloc,

    Concordo com você, mas infelizmente não é todo cenário que permite isso de imediato. Escritórios contábeis, por exemplo, já desisti de bloquear tudo. A receita federal e caixa economica vivem alterando e lançando sistemas que exigem um "abrir de pernas" da segurança de rede, tanto dos SO quando por parte de Firewalls. Além disso ser trabalhoso o cliente quer tudo na hora e acaba gerando conflito. Ai faço um termo de responsabilidade e o cliente que se responsabilize pelos eventuais danos.



  • @LFCavalcanti:

    Ai faço um termo de responsabilidade e o cliente que se responsabilize pelos eventuais danos.

    Excelente!

    Só configuro redes bloqueadas quando o cliente autoriza / solicita.  :)



  • @marcelloc:

    @LFCavalcanti:

    Ai faço um termo de responsabilidade e o cliente que se responsabilize pelos eventuais danos.

    Excelente!

    Só configuro redes bloqueadas quando o cliente autoriza / solicita.  :)

    Tres!  ;D



  • Entendo o lado de vocês e concordo, só que lá é uma empresa de turismo e teria muita apurrinhação para desbloqueio de sites e tal.

    Se alguem puder me ajudar a fazer o bloqueio do facebook para a rede e liberar o acesso para determinados ips via Aliase e regras de firewall eu agradeço.

    Consegui aplicar a regra de bloqueio, mas nao consegui liberar os ips livres.

    Abraços



  • @danillodias:

    Se alguem puder me ajudar a fazer o bloqueio do facebook para a rede e liberar o acesso para determinados ips via Aliase e regras de firewall eu agradeço.

    Consegui aplicar a regra de bloqueio, mas nao consegui liberar os ips livres.

    Não está claro o que você disse sobre "Consegui aplicar a regra de bloqueio". Foi com aliases e regras ou apenas com o Squidguard?

    Por que você não coloca algumas cópias de tela?



  • Vou explicar melhor, estou tentando bloquear apenas o facebook na minha rede. Usei o squidguard e consegui fazer o bloqueio parcial porque ainda acessa via https:.
    Segui o tutorial para bloqueio do facebook direto pelo firewall com criação de Aliases e regras de firewall onde consigo fazer o bloqueio das duas portas (http e https) só que eu preciso que algumas máquinas tenham o acesso ao facebook.

    Tentei fazer outro aliase com os ips que quero o desbloqueio e apliquei uma regra para liberação destes ips. Só que não deu certo, quando apliquei essa regra o firewall liberou o facebook novamente para todas as máquinas, apesar de ter a regra de bloqueio logo após.

    Vou mostrar como estão minhas regras de firewall.

    Gostaria de saber se é possivel fazer esse tipo de coisa com Regras e Aliases!



  • Quer a solução ideal?

    Use Proxy Não-Transparente e bloqueie a porta 443 no Firewall. Se precisar Liberar a 443 para alguma finalidade, apenas para sites e ips especificos.

    Pronto, acabaram seus problemas. E você falou sobre apurrinhação… se é determinado o que deve ser bloqueado, não têm que haver "bla bla bla" nenhum dos usuários.



  • Bloquear algo que pode ser acessado de inúmeras formas é praticamente impossível em uma rede onde só um coisa ou outra é bloqueada.

    Solicite autorização para fazer o serviço como deve ser feito ou via bloqueio ou via termo de responsabilidade/ politica de acesso.



  • Ola boa tarde! Olha não sei se esta correto, em termos de segurança, eu sei que se tiver alguem mais espertinho vai conseguir bular. A melhor forma de bloquear é do jeito como foi citado pelo LFCavalcanti e Marcelloc.

    Porem eu utilizo em um cenario parecido com o seu eu utilizo proxy transparente e bloqueando https e liberando por aliases.

    01. Criei um aliases com os ranges dos IP do facebook de nome por exemplo "facebook"
    02. Depois criei um aliases com os IPs dos clientes com nome "Lib_https" do tipo Host(s).

    Na regra firewall na aba Lan.

    01. Criei uma regra chamada "block_facebook"

    • Action: Reject
    • Interface: LAN
    • Protocal: TCP
    • Source: Type: LAN Subnet
    • Destination: Type: Single host or Alias / Address: Facebook
    • Destination port Range: From: https / to: https

    02. Acima da regra "block_facebook" criei uma regra chamada "lib_facebook"

    • Action: Pass
    • Interface: LAN
    • Protocal: TCP
    • Source: Type: Single host or Alias / lib_https (é o aliases que foi criado com ip dos que terao acesso)
    • Destination: Type: Single host or Alias / Address: Facebook
    • Destination port Range: From: https / to: https

    Feito assim funcionou aqui. Ao meu entender (desculpem sou leigo na parte de firewall redes etc) como ele le de cima para baixo ele verifica os ips que listei e libera acesso para aqueles ip. Se o ip nao se encontra na regra acredito que ele pula para regra de baixo e bloqueia.
    Nao sei se é certo fazer isso, porem esta funcionando.

    Se alguem quiser melhorar a dica ai.. fique a vontade.

    Abraços e espero que tenah ajudado.  ;D



  • @djblade:

    Eu fui por esse tutorial http://nextsense.com.br/blog/archives/402
    Bloqueio por alias em proxy transparente.

    @djblade:

    …. eu utilizo proxy transparente e bloqueando https e liberando por aliases.

    01. Criei um aliases com os ranges dos IP do facebook de nome por exemplo "facebook"
    02. Depois criei um aliases com os IPs dos clientes com nome "Lib_https" do tipo Host(s).

    Na regra firewall na aba Lan.

    01. Criei uma regra chamada "block_facebook"

    • Action: Reject
    • Interface: LAN
    • Protocal: TCP
    • Source: Type: LAN Subnet
    • Destination: Type: Single host or Alias / Address: Facebook
    • Destination port Range: From: https / to: https

    02. Acima da regra "block_facebook" criei uma regra chamada "lib_facebook"

    • Action: Pass
    • Interface: LAN
    • Protocal: TCP
    • Source: Type: Single host or Alias / lib_https (é o aliases que foi criado com ip dos que terao acesso)
    • Destination: Type: Single host or Alias / Address: Facebook
    • Destination port Range: From: https / to: https

    Feito assim funcionou aqui.

    djblade,

    Então você confirma que usando Proxy transparente, da forma como você criou as regras, funciona? Gostaria que você confirmasse isso mais uma vez porque há alguns comentários no Blog Nextsense dizendo que não funciona. Só para citar um desses comentários:
    http://nextsense.com.br/blog/archives/402#comment-500

    Os motivos que tenho para pedir esse feedback são óbvios:
    1- Provar que o bloqueio funciona de fato usando proxy transparente ou não.
    2- Sendo eu o autor do Tutorial, corrigir eventuais falhas ou erros que eu tenha cometido.



  • @johnnybe:

    @djblade:

    Eu fui por esse tutorial http://nextsense.com.br/blog/archives/402
    Bloqueio por alias em proxy transparente.

    @djblade:

    …. eu utilizo proxy transparente e bloqueando https e liberando por aliases.

    01. Criei um aliases com os ranges dos IP do facebook de nome por exemplo "facebook"
    02. Depois criei um aliases com os IPs dos clientes com nome "Lib_https" do tipo Host(s).

    Na regra firewall na aba Lan.

    01. Criei uma regra chamada "block_facebook"

    • Action: Reject
    • Interface: LAN
    • Protocal: TCP
    • Source: Type: LAN Subnet
    • Destination: Type: Single host or Alias / Address: Facebook
    • Destination port Range: From: https / to: https

    02. Acima da regra "block_facebook" criei uma regra chamada "lib_facebook"

    • Action: Pass
    • Interface: LAN
    • Protocal: TCP
    • Source: Type: Single host or Alias / lib_https (é o aliases que foi criado com ip dos que terao acesso)
    • Destination: Type: Single host or Alias / Address: Facebook
    • Destination port Range: From: https / to: https

    Feito assim funcionou aqui.

    djblade,

    Então você confirma que usando Proxy transparente, da forma como você criou as regras, funciona? Gostaria que você confirmasse isso mais uma vez porque há alguns comentários no Blog Nextsense dizendo que não funciona. Só para citar um desses comentários:
    http://nextsense.com.br/blog/archives/402#comment-500

    Os motivos que tenho para pedir esse feedback são óbvios:
    1- Provar que o bloqueio funciona de fato usando proxy transparente ou não.
    2- Sendo eu o autor do Tutorial, corrigir eventuais falhas ou erros que eu tenha cometido.

    Fala ai Johnnybe

    Cara não sabia que você era o autor do tutorial no http://nextsense.com.br/blog/archives/402.

    Eu atualmente estou usando proxy transparente na empresa e o bloqueio que faço do facebook/orkut/twitter/gmail faço através das regras que você colocou no seu tutorial e aqui funciona 100%…

    Se a galera quiser posto umas screen das regras... Mais segui exatamente seu tuto... Mais uma vez parabens pelo belo tutorial!!!



  • Ola johnnybe.
    Primeiramente parabens pelos tutoriais!

    Estou com esse cenario em dois clientes com proxy transparente e fazendo o bloqueio por esse metodo. Porem como não fico alocado no cliente entao não faço verificação constantes, porem até agora esta funcionando, alem disso fiz para o twitter e youtube tambem.
    Tambem aqui tenho um para testes e funcionando tambem. Vou postar as screens das minhas configurações para voce comparar e verificar ok.

    Como pode ver primeiro eu coloquei os alias de quem quero liberar.
    Depois coloquei os de bloqueio.

    Sendo que o lib_https contem os ips dos computadores que tem acesso. No meu caso sao o pessoal que tem acesso total a internet.
    Porem a unica coisa que aconteceu, mas nao sei se tem relação, é que se digito facebook.com mesmo liberado ele aparece pagina de bloqueado.
    Se digito www.facebook.com entra normalmente. Porem em outro cliente o erro nao ocorre. e é a mesma configuracao. No meu ambiente de teste aconteceu mesma coisa. Porem desabilitando as regras continua a mesma coisa. Assim acredito que nao é essa regra, mas é informatica…

    Entao johnnybe até o presado momento esta funcionando perfertamente com essa regra.  ;D








  • Opa! Muito obrigado pelo feedback a ambos: LCantano e djblade.  :)



  • Olá!!!
    Além de inserir os sites do facebook na "domaind list", inseri os termos abaixo na "regular expression".
    Para mim bloqueou, podem testar também?

    Termos:
    https://www.facebook.com ^http:VV(.+@)?(.+.)facebook.com^https:VV(.+@)?(.+.)facebook.com ^http:VV(.+@)?(.+.)live.com ^https:VV(.+@)?(.+.)live.com



  • Funcionou perfeitamente a solução de FW do djblade!

    Obrigado a todos.



  • Perfeito este post. Parabens ao Johnnybe e ao djblade !

    Alguém do forum teria os IP´s ( como os da regra do facebook ) para os bloqueios do youtube / Twitter para bloqueio HTTPS ?

    Valeu



  • @marcelloc:

    @LFCavalcanti:

    Ai faço um termo de responsabilidade e o cliente que se responsabilize pelos eventuais danos.

    Excelente!

    Só configuro redes bloqueadas quando o cliente autoriza / solicita.  :)

    aqui eu fiz uma regra na lan bloqueando todas as portas, liberei a porta 3128 do proxy e mais algumas que preciso.. sqlserver oracle.. essas coisas.. mas o acesso no facebook via https:// continua.. e não uso proxy transparente..não to entendendo nada.. :-)



  • @neutonsp:

    @marcelloc:

    @LFCavalcanti:

    Ai faço um termo de responsabilidade e o cliente que se responsabilize pelos eventuais danos.

    Excelente!

    Só configuro redes bloqueadas quando o cliente autoriza / solicita.  :)

    aqui eu fiz uma regra na lan bloqueando todas as portas, liberei a porta 3128 do proxy e mais algumas que preciso.. sqlserver oracle.. essas coisas.. mas o acesso no facebook via https:// continua.. e não uso proxy transparente..não to entendendo nada.. :-)

    Só uma pergunta:

    O PFSense por padrão possui uma regra na interface LAN que libera todo trafego de saida, você desabilitou essa regra?



  • @LFCavalcanti:

    @neutonsp:

    @marcelloc:

    @LFCavalcanti:

    Ai faço um termo de responsabilidade e o cliente que se responsabilize pelos eventuais danos.

    Excelente!

    Só configuro redes bloqueadas quando o cliente autoriza / solicita.  :)

    aqui eu fiz uma regra na lan bloqueando todas as portas, liberei a porta 3128 do proxy e mais algumas que preciso.. sqlserver oracle.. essas coisas.. mas o acesso no facebook via https:// continua.. e não uso proxy transparente..não to entendendo nada.. :-)

    Só uma pergunta:

    O PFSense por padrão possui uma regra na interface LAN que libera todo trafego de saida, você desabilitou essa regra?

    esta regra esta desabilitada…



  • @neutonsp:

    @LFCavalcanti:

    @neutonsp:

    @marcelloc:

    @LFCavalcanti:

    Ai faço um termo de responsabilidade e o cliente que se responsabilize pelos eventuais danos.

    Excelente!

    Só configuro redes bloqueadas quando o cliente autoriza / solicita.  :)

    aqui eu fiz uma regra na lan bloqueando todas as portas, liberei a porta 3128 do proxy e mais algumas que preciso.. sqlserver oracle.. essas coisas.. mas o acesso no facebook via https:// continua.. e não uso proxy transparente..não to entendendo nada.. :-)

    Só uma pergunta:

    O PFSense por padrão possui uma regra na interface LAN que libera todo trafego de saida, você desabilitou essa regra?

    esta regra esta desabilitada…

    Eu respondi seu outro tópico, da uma olhada lá. Pode ser algo com a ordem em que as regras estão organizadas.


Log in to reply