Bloqueio de streaming



  • Boa noite pessoal,
    Tenho uma demanda pra bloquear sites com streaming de áudio e vídeo por causa do consumo de banda.
    Tentei bloquear o youtube por aliase como fiz com o facebook mas o pfsense bloqueou os outros serviços do Google junto. O problema é que existem outros sites além do youtube e fica difícil bloquear um por um.
    Existe uma forma de realizar esse bloqueio por streaming, evitando a reprodução das mídias.

    Desde já obrigado.



  • @vfpv30:

    Boa noite pessoal,
    Tenho uma demanda pra bloquear sites com streaming de áudio e vídeo por causa do consumo de banda.
    Tentei bloquear o youtube por aliase como fiz com o facebook mas o pfsense bloqueou os outros serviços do Google junto. O problema é que existem outros sites além do youtube e fica difícil bloquear um por um.
    Existe uma forma de realizar esse bloqueio por streaming, evitando a reprodução das mídias.

    Desde já obrigado.

    Bom dia vfpv30 ,

    Eu uso o squidguard com a shallalist e faço o bloqueio de "movies" nele e da uma lista boa de sites que tem videos, tambem da para fazer bloqueio de sites que envolvem musica e tudo mais, ai vai de você!



  • vfpv30 você está utilizando proxy transparente? Se sim vai ser um pouco difícil, pois nesse modo a conexão é fim-afim, entre o cliente e o servidor. O bloqueio por rede do google também pode te causar esse problema (que você citou), são várias redes e o serviço sempre busca uma nova conexão para reproduzir o vídeo. Mas caso queira fazer por rede, pode ir monitorando pelo pftop ou tcpdump  e abrindo vídeos para ver a rede que é conectada para carregar o vídeo e ir adicionando as redes em aliases e depois criando regras de bloqueio, ou até pode colocar uma limitação de banda para essas redes com o Limiter do Traffic Shapper.

    Utilizar o squid ssl filter (Atualizado pelo marcelloc) pode ser uma alternativa, ele vai interceptar todas as conexões 443, abrindo o pacote e atuando como man-in-the-middle. É preciso ter o certificado gerado instalado nas máquinas clientes. E isso pode incrementar o processamento, pois é mais uma função que será acrescentada.

    https://forum.pfsense.org/index.php?topic=62263.0

    Se estiver usando o proxy com endereço setado nos clientes fica mais tranquilo, pode bloquear a URL no proxy (ACL > Blocklist), porque a conexão do cliente é com o squid ou utilizar o squidguard assim como nosso amigo verone que faz o bloqueio pelas lista de movies.

    Nas opções de Traffic do squid (Services>Proxy Server> Traffic Mgmt) tem opções de largura de banda para arquivos de midia.

    Além de poder utilizar Expressão Regurar no squidguard criando um novo Target Categories: Assim como o exemplo abaixo:

    (./..(asf|wm|wma|wmv|wav|m4a|cue|ape|ogg|wave|midi|mov|vob|mkv|3gp|mp4|avi|mpg|rmvb|mkv|flv|swf|mpeg|mp.|mpv|mp3|wm.|vpu))

    Também estou começando a utilizar o PFsense e já estou fascinado pelas possibilidades.



  • Se possível use proxy por WPAD e bloqueie com o SquidGard.



  • Boa noite
    Obrigado a todos pelas respostas.

    Verone, realmente muito boa essa opção. Meu único problema quanto a isso é o youtube que continua passando por causa do https.
    Reinaldo, sobre o wpad, é excelente mas será que funciona no meu ambiente? Aqui quem gerencia o dhcp e o dns é o controlador de domínio do qual não sou responsável. Para que funcione o pfsense precisa gerenciar esses caras, certo?
    Avner, estou estudando a opção de proxy com o endereço e a porta no navegador mas meu problema por enquanto é que sem essas configurações setadas a conexão passa direto. Se os caras descobrirem vão burlar. Sabe como resolvo isso?
    Outro problema é que as máquinas da diretoria precisam passar direto pelo filtro do proxy e eu não encontrei como fazer isso



  • @vfpv30:

    Para que funcione o pfsense precisa gerenciar esses caras, certo?

    Não, seu DHCP Server e DNS pode ser outro sem nenhum problema, basta ter a entrada WPAD apontando para o pfSense e no DHCP a configuração que será entregue aos clientes.

    @vfpv30:

    Se os caras descobrirem vão burlar. Sabe como resolvo isso?

    Você precisa desabilitar a regra padrão, e criar regras especificas para cada serviço, no caso só libere a porta 3128 para sair pelo proxy e os demais serviços, DNS, etc…

    @vfpv30:

    Outro problema é que as máquinas da diretoria precisam passar direto pelo filtro do proxy e eu não encontrei como fazer isso

    Só criar um grupo no Suidguard e colocar os IPs de origem e não colocar nenhum filtro.



  • @vfpv30:

    Avner, estou estudando a opção de proxy com o endereço e a porta no navegador mas meu problema por enquanto é que sem essas configurações setadas a conexão passa direto. Se os caras descobrirem vão burlar. Sabe como resolvo isso?

    O Tomas Waldow respondeu muito bem vfpv30. Com proxy setado quem abre a conexão é o proxy e não o cliente, portanto não é preciso liberar a porta 80 na interface LAN. Isso vai te dar um bom controle, inclusive sobre conexões HTTPS.



  • Lembrando, tem que criar regra para cada serviço, DNS, Proxy, etc…
    O que não é liberado por padrão é bloqueado.



  • Obrigado pessoal! Me deram várias opções, vou focar em uma.
    Agora, pra ficar documentado, quando tento editar a regra padrão de navegação "Anti-Lockout Rule" o pfsense me joga para "System -> Advanced". Pelo o que entendi existe uma opção que preciso alterar lá para poder editar a regra. Mas qual essa opção?

    Abraço



  • Esta regra não deve ser alterada pois ela garante o acesso a interface de configuração do pfSense.
    Ela somente libera acesso para o pfSense.



  • Fiz o seguinte:
    Setei o proxy nos navegadores bloqueando as categorias music e movies, já foi uma mão na roda. Configurei as regras de forma que sem o proxy no navegador o cara não navega:

    Depois comecei a estudar o wpad e deu certo com este tutorial:

    http://www.pfsense-br.org/blog/2013/12/configuracao-wpad-no-pfsense-2-1/

    Segui o tutorial diretinho mas o proxy não conseguiu barrar https do youtube. Minha outra dúvida é como posso utilizar wpad em um ambiente que o pfsense não é o servidor dhpc? Tem um passo neste tutorial que precisa configurar BOOTP Options.

    Estou no caminho certo?



  • Bom, para encerrar o tópico.
    Fiz com o proxy não transparente, habilitei o bloqueio de music e movies no SquidGuard e criei uma nova categoria onde limitei o acesso ao youtube e demais sites que forem surgindo.

    Abraços


Log in to reply