Bloqueando Youtube https e http e fazendo liberacao para determinados ips.
-
Bem pessoal esses dias me deparei com um problema que era bloquear o https do youtube para a rede e liberar para apenas dois ips sendo que sao 10 ips que tem o acesso full mais so dois podem abrir o face
entao com isso tive que ler alguns topicos ate ir mesclando as coisas e conseguir efetuar o bloqueio entao vamos laah
vamos utilizar o seguinte exemplo
empresa xxx
numero de maquinas 40
a rede tem a faixa de ip
172.40.13.0/24
a mesma tem o pfsense 2.0.3 com o squid como proxy transparente efetuado o bloqueio de sites
na blacklist coloquei apenas (.) fazendo com que tudo seja bloqueado e so oque esta na whitelist apenas tenha acesso!
dentro esses 40ips o administrador solicitou que fosse liberados 10 ips com acesso a todos os conteudos menos youtube e facebook
e que so ele e o filho dele teria o acesso ou seja o ip 172.40.13.120 e o ip 172.40.13.105
entao vamos laah como criar a regra de bloqueio e liberacao.primeiro passo acesse o site e pesquise as networks do youtube ou face como esta neste exemplo
http://bgp.he.net/search?search%5Bsearch%5D=youtube.com.br&commit=Search
com as networks em mao vse pode estar diminuindo as mesmas com uma calculadora de mascara.
segundo passo com as networks em maos crie um alias
firewall>aliases
clique nesta opcaoque parece uma seta virada pra cima e cole os alias por exemplo
187.x.x.x/30
o mesmo sera importado pra dentro do pfsense,apos coloque um nome pra esse alias.
segundo passo
va na opcao rules>lan
e crie uma regra dessa forma
action=reject
interface=lan
protocolo any
source=lansubnet
destination=single host for alias
digite o nome do seu alias que foi criado por exemplo Bloqueia_youtube
adicione uma descricao
e salve,lembrando sempre de respeitar as regras de organizacao entao faca com que a regra lannet que libera tudo passe pra baixo da que bloqueia.feito isso ele ira bloquear o https dpo youtube
so que para quem tem o ip liberado ainda vai estar abrindo por http
entao faca o seguinte
crie uma pasta dentro de /var/squid/acl/
com nome youtube e dentro dela coloque youtube.comsalve o arquivo.
depois navegue ate a pasta /usr/local/pkg e procure o arquivo squid.inc
dentro dele procure a parte que esta assimAlways allow localhost connections
http_access allow localhost
abaixo dela coloque esta acl.
acl youtube url_regex "/var/squid/acl/youtube"
http_access deny youtubeisso vai fazer com que o host youtube seja bloqueado!certo
entao agora supomos que vse necessita liberar para alguns ips da rede entao faca dessa forma
navegue novamente ate /var/squid/acl/
e crie a pasta ip_youtubee coloque os ips que serao liberados
entao modifique a acl anterior que criamos para esta forma
acl ips_youtube src "/var/squid/acl/ips_youtube"
acl youtube url_regex "/var/squid/acl/youtube"http_access deny youtube !ips_youtube
isso vai fazer com que todos os ips da rede nao acessem o youtube exeto quem estiver dentro da pasta ips_youtube
blza assim ta bloqueado e liberando o http://youtube.com.br
agora voltamos ao https://youtube.com.br
va ate firewall>aliases e crie uma alias como host.
e coloque os ips que serao liberados
adicione uma descricao e salve
depois va ate firewall>rules>lan
clique no mais que aparece na parte superior do canto direito e adicione esta regra
action=pass
interface=lan
protocolo any
source=single host for alias
e coloque o nome do alias que criou por exemplo ips_liberados
destination=single host for alias
e coloque o nome do alias do youtube que criou antes bloqueia_youtubeadicione uma descricao e salve!
agora verifique aew na aba lan para que as regras fiquem da seguinte forma
primeira regra e a que libera o youtube para a lista ips_liberados
segunda regra a que bloqueia os demais
e a terceira e a lannet default que libera o restante da redefeito isso reinicie o firewall e teste e seja feliz kkkkk
nao esqueca galera sempre de salvar e aplicar.
outra coisa porque editar no arquivo squid.inc e nao direto no squid.conf
pq o squid.inc e a regra em php que salva todas as alteracoes na pasta squid.conf
quando salvar e reiniciar acesse a pasta squid.conf e verifique vai ver que a acl foi criada la dentro.
sem mais galera espero ter ajudado vses.
-
Boa tarde Roney
Bloquear e Liberar acessos através de regras de firewall funciona porém é bem cansativo e complexo.
Eu mesmo usava deste método porém nosso grande admin marcelloc está desenvolvendo o pacote squid3-dev com a opção de https incluso na filtragem de pacotes do squid em modo transparente.
O post está neste link http://forum.pfsense.org/index.php/topic,62263.0.html com todas as informações de como implementar. Sugiro uma boa leitura deste post, uso desta ferramenta em ambiente de teste antes de colocar em produção. Caso funcione pense em colaborar com o avanço desta ferramenta através de doações ao mesmo.
-
Boa noite Lcaetano estarei vendo sim,passei esse tuto pq muita gente apanha com isso as vezes eu mesmo tive um trabalhao com o proxy transparente rsrsrs mais quanto a doacao como funciona pode me informar?
-
Referente a doação entre no perfil do marcelloc. No campo website está o numero do banco agencia e conta xxx-xxxx-xxxxxxxxx.
Antes de fazer o depósito confirme as informações com ele através de pvt.