Bloqueando Youtube https e http e fazendo liberacao para determinados ips.



  • Bem pessoal esses dias me deparei com um problema que era bloquear o https do youtube para a rede e liberar para apenas dois ips sendo que sao 10 ips que tem o acesso full mais so dois podem abrir o face

    entao com isso tive que ler alguns topicos ate ir mesclando as coisas e conseguir efetuar o bloqueio entao vamos laah

    vamos utilizar o seguinte exemplo

    empresa xxx

    numero de maquinas 40

    a rede tem a faixa de ip

    172.40.13.0/24

    a mesma tem o pfsense 2.0.3 com o squid como proxy transparente efetuado o bloqueio de sites

    na blacklist coloquei apenas (.) fazendo com que tudo seja bloqueado e so  oque esta na whitelist apenas tenha acesso!

    dentro esses 40ips o administrador solicitou que fosse liberados 10 ips com acesso a todos os conteudos menos youtube e facebook

    e que so ele e o filho dele teria o acesso ou seja o ip 172.40.13.120 e o ip 172.40.13.105
    entao vamos laah como criar a regra de bloqueio e liberacao.

    primeiro passo acesse o site  e pesquise as networks do youtube ou face como esta neste exemplo

    http://bgp.he.net/search?search[search]=youtube.com.br&commit=Search

    com as networks em mao vse pode estar diminuindo as mesmas com uma calculadora de mascara.

    segundo passo com as networks em maos crie um alias

    firewall>aliases
    clique nesta opcao

    que parece uma seta virada pra cima e cole os alias por exemplo

    187.x.x.x/30

    o mesmo sera importado pra dentro do pfsense,apos coloque um nome pra esse alias.

    segundo passo

    va na opcao rules>lan

    e crie uma regra dessa forma

    action=reject
    interface=lan
    protocolo any
    source=lansubnet
    destination=single host for alias
    digite o nome do seu alias que foi criado por exemplo Bloqueia_youtube
    adicione uma descricao
    e salve,lembrando sempre de respeitar as regras de organizacao entao faca com que a regra lannet que libera tudo passe pra baixo da que bloqueia.

    feito isso ele ira bloquear o https dpo youtube

    so que para quem tem o ip liberado ainda vai estar abrindo por http

    entao faca o seguinte

    crie uma pasta dentro de /var/squid/acl/
    com nome youtube e dentro dela coloque youtube.com

    salve o arquivo.
    depois  navegue ate a pasta /usr/local/pkg e procure o arquivo squid.inc
    dentro dele procure a parte que esta assim

    Always allow localhost connections

    http_access allow localhost

    abaixo dela coloque esta acl.

    acl youtube url_regex "/var/squid/acl/youtube"
    http_access deny youtube

    isso vai fazer com que o host youtube seja bloqueado!certo

    entao agora supomos que vse necessita liberar para alguns ips da rede entao faca dessa forma

    navegue novamente ate  /var/squid/acl/
    e crie a pasta ip_youtube

    e coloque os ips que serao liberados

    entao modifique a acl anterior que criamos para esta forma

    acl ips_youtube src "/var/squid/acl/ips_youtube"
    acl youtube url_regex "/var/squid/acl/youtube"

    http_access deny youtube !ips_youtube

    isso vai fazer com que todos os ips da rede nao acessem o youtube exeto quem estiver dentro da pasta ips_youtube

    blza assim ta bloqueado e liberando o http://youtube.com.br

    agora voltamos ao https://youtube.com.br

    va ate firewall>aliases e crie uma alias como host.

    e coloque os ips que serao liberados

    adicione uma descricao e salve

    depois va ate firewall>rules>lan

    clique no mais que aparece na parte superior do canto direito e adicione esta regra

    action=pass
    interface=lan
    protocolo any
    source=single host for alias
    e coloque o nome do alias que criou por exemplo ips_liberados
    destination=single host for alias
    e coloque o nome do alias do youtube que criou antes bloqueia_youtube

    adicione uma descricao e salve!

    agora verifique aew na aba lan para que as regras fiquem da seguinte forma

    primeira regra e a que libera o youtube para a lista ips_liberados
    segunda regra a que bloqueia os demais
    e a terceira e a lannet default que libera o restante da rede

    feito isso reinicie o firewall e teste e seja feliz kkkkk

    nao esqueca galera sempre de salvar e aplicar.

    outra coisa porque editar no arquivo squid.inc e nao direto no squid.conf

    pq o squid.inc e a regra em php que salva todas as alteracoes na pasta squid.conf

    quando salvar e reiniciar acesse a pasta squid.conf e verifique vai ver que a acl foi criada la dentro.

    sem mais galera espero ter ajudado vses.



  • Boa tarde Roney

    Bloquear e Liberar acessos através de regras de firewall funciona porém é bem cansativo e complexo.

    Eu mesmo usava deste método porém nosso grande admin marcelloc está desenvolvendo o pacote squid3-dev com a opção de https incluso na filtragem de pacotes do squid em modo transparente.

    O post está neste link http://forum.pfsense.org/index.php/topic,62263.0.html com todas as informações de como implementar. Sugiro uma boa leitura deste post, uso desta ferramenta em ambiente de teste antes de colocar em produção. Caso funcione pense em colaborar com o avanço desta ferramenta através de doações ao mesmo.



  • Boa noite Lcaetano estarei vendo sim,passei esse tuto pq muita gente apanha com isso as vezes eu mesmo tive um trabalhao com o proxy transparente rsrsrs mais quanto a doacao como funciona pode me informar?



  • Referente a doação entre no perfil do marcelloc. No campo website está o numero do banco agencia e conta xxx-xxxx-xxxxxxxxx.

    Antes de fazer o depósito confirme as informações com ele através de pvt.