Re: Bloquear Facebook https
Agora me surgiu uma dúvida, eu falei sobre você utilizar o url_regex,
ele não funciona, ok.
Mas e se você utilizar o dstdom no squid, mesmo assim colocando o https
o tráfego passa ?
Eu resolvi isso com o iptables em uma rede que administrei, ao invez de
colocar apenas facebook na string, coloque facebook.com, e daí veja que
se está bloqueando tráfego legítimo que contenha essa string, que
acredito que possa ser pouco. Daí você terá que ter um range de ips
liberados e outro de bloqueados.
--
att,
Adiel de Lima Ribeiro
facebook.com/sembr.dyndns.info
On Thu, 2013-01-03 at 15:26 -0200, Mauro Collin wrote:
> Valeu Galera,
> Saí pra almoçar e quando voltei, varias soluções.!!! mas vamos ao que
> interessa:
>
>
>
> Adiel:
> já implementei sua solução mas os usuarios colocam "https" na barra de
> endereço do navegador para entrar no facebook, o squid nao esta
> tratando o trafego "https", sabe como devo tratar o trafego https ou
> algum manual?.
> O bloqueio de palavra acredito nao ser eficiente pois varios sites
> fazem referencia ao facebook no seu conteudo e os mesmos seriam
> bloqueados sem necessidade.
> Sei que poderia bloquear no firewall a porta https, mas teria
> problemas com os sites de banco e demais.
> alem disso tudo, preciso de uma "lista branca" dos IPs que poderão
> acessar o face....
>
>
> Mais alguma ideia?
>
>
> Obrigado.
>
> Em 3 de janeiro de 2013 14:39, China <china.listas@gmail.com>
> escreveu:
> +1 pro wpad. Soluções baseadas em strings degradam a
> performance da
> rede e consomem mais máquina, além de ser uma solução burra
> por
> bloquear sites legitmos só por terem trechos das strings em
> seus
> nomes.
>
> Em 3 de janeiro de 2013 14:15, Leonardo Carneiro
> <chesterman86@gmail.com> escreveu:
> > Mauro, a não ser que eu esteja redondamente enganado, a
> única maneira de vc
> > fazer isso com proxy transparente é usando uma função do
> squid (tem nas
> > versões mais recentes) chamada SSL_BUMP, na qual vc usa um
> certificado para
> > fazer todo o tráfego, inclusive o HTTPS passar pelo proxy
> transparente.
> >
> > Uma solução mais eficiente, que oferece um certo nível de
> transparência é
> > usar o WPAD. Com ele, o proxy não vai ser transparente, mas
> vai ser
> > configurado automaticamente para o usuário, o que na maioria
> das vezes é bom
> > o suficiente.
> >
> > Soluções baseadas em strings ou ranges no iptables
> geralmente são mto
> > custosas e/ou ineficientes. Os ips do facebook não são
> sempre os mesmos e
> > processar as strings no iptables é custoso (cpu) e nem
> sempre funciona como
> > o esperado.
> >
> >
> > 2013/1/3 Adiel de Lima Ribeiro <adiel.netadmin@gmail.com>
> >>
> >> Olá, utilize o squid com o url_regex, daí tu coloca a
> palavra facebook,
> >> é bem eficiente.
> >> Dá para fazer pelo iptables também, bloqueando strings que
> contenham
> >> facebook, mas usando ele não é a maneira mais correta para
> isso.
> >> --
> >> att,
> >> Adiel de Lima Ribeiro
> >> facebook.com/sembr.dyndns.info
> >>
> >>
> >>
> >> On Thu, 2013-01-03 at 13:07 -0200, Mauro Collin wrote:
> >> > Ola Galera,
> >> >
> >> >
> >> > Preciso bloquear o facebook pelo protocolo https (443)
> aqui na
> >> > empresa, possuo proxy transparente mas acredito que a
> melhor solucao
> >> > seria atraves do Firewall.
> >> > Nao posso bloquear o protocolo https pois usamos sites de
> banco e
> >> > outros que usam o mesmo protocolo.
> >> > Lembrando que preciso de uma "lista branca" para
> diretores e outros
> >> > que possam acessar o face.
> >> >
> >> >
> >> > Alguem ai ja passou pro isso? ou pode me dar uma luz por
> onde começar.
> >> >
> >> >
> >> > desde ja agradeco
> >> > --
> >> > Att.
> >> >
> >> >
> >> > Mauro Collin.
> >> > Analista de Suporte Técnico.
> >> > TI-Infraestrutura.
> >> >
> >> >
> >> >
> >>
> >>
> >> --
> >> To UNSUBSCRIBE, email to
> debian-user-portuguese-REQUEST@lists.debian.org
> >> with a subject of "unsubscribe". Trouble? Contact
> >> listmaster@lists.debian.org
> >> Archive:
> [🔎] 1357229198.1817.2.camel@fucker">http://lists.debian.org/[🔎] 1357229198.1817.2.camel@fucker
> >>
> >
>
>
>
>
> --
> @chinabhz
>
>
> --
> To UNSUBSCRIBE, email to
> debian-user-portuguese-REQUEST@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact
> listmaster@lists.debian.org
>
> Archive:
> http://lists.debian.org/CAKE1zwqi_7v6YLRA6dc3tUiuKN5q11N0UBfhULYqudGa1mM7Q@mail.gmail.com
>
>
>
>
>
> --
> Att.
>
>
> Mauro Collin.
> Analista de Suporte Técnico.
> TI-Infraestrutura.
>
>
>
Reply to: