[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Bloquear Facebook https



Amigos,

encontrei uma possível solução em: http://www.vivaolinux.com.br/topico/Squid-Iptables/Bloqueio-do-https-do-Facebook

Resumindo:

# IPs do Facebook

66.220.158.11
66.220.153.15
66.220.158.18
69.171.242.11
69.171.242.12
69.171.242.14
69.171.242.40
69.63.176.13
69.63.181.12
69.63.181.15
69.63.184.142
69.63.187.17
69.63.187.18
69.63.187.19
69.63.189.39
69.63.189.11
69.63.189.34
69.63.190.18
74.119.76.0/22
69.63.184.0/21
69.63.176.0/21
69.171.255.0/24
69.171.240.0/20
69.171.239.0/24
69.171.224.0/20
66.220.159.0/24
66.220.152.0/24
66.220.144.0/21
204.15.20.0/22

##############################################################################
for end in `cat /etc/squid/face`
do
iptables -A OUTPUT -d $end -p tcp --dport 443 -j REJECT
iptables -A FORWARD -d $end -p tcp --dport 443 -j REJECT
iptables -A INPUT -s $end -p tcp --dport 443 -j DROP
iptables -t nat -A PREROUTING -s 192.168.0.23 -p tcp --dport 443 -j ACCEPT;
done
##############################################################################

Sendo o IP 192.168.0.23 o que teria acesso ao facebook.

Alguem com mais experiencia que eu poderia me dizer se é uma boa solução?
Como fazer um arquivo com os IPs que teriam acesso sem eu ficar sujando o firewall com uma linha para cada IP que precisasse liberar?

Mais uma vez OBRIGADO... Valeu lista


Em 3 de janeiro de 2013 15:26, Mauro Collin <maurocollin@gmail.com> escreveu:
Valeu Galera,
Saí pra almoçar e quando voltei, varias soluções.!!! mas vamos ao que interessa:

Adiel:
já implementei sua solução mas os usuarios colocam "https" na barra de endereço do navegador para entrar no facebook, o squid nao esta tratando o trafego "https", sabe como devo tratar o trafego https ou algum manual?.
O bloqueio de palavra acredito nao ser eficiente pois varios sites fazem referencia ao facebook no seu conteudo e os mesmos seriam bloqueados sem necessidade.
Sei que poderia bloquear no firewall a porta https, mas teria problemas com os sites de banco e demais.
alem disso tudo, preciso de uma "lista branca" dos IPs que poderão acessar o face....

Mais alguma ideia?

Obrigado.

Em 3 de janeiro de 2013 14:39, China <china.listas@gmail.com> escreveu:

+1 pro wpad. Soluções baseadas em strings degradam a performance da
rede e consomem mais máquina, além de ser uma solução burra por
bloquear sites legitmos só por terem trechos das strings em seus
nomes.

Em 3 de janeiro de 2013 14:15, Leonardo Carneiro
<chesterman86@gmail.com> escreveu:
> Mauro, a não ser que eu esteja redondamente enganado, a única maneira de vc
> fazer isso com proxy transparente é usando uma função do squid (tem nas
> versões mais recentes) chamada SSL_BUMP, na qual vc usa um certificado para
> fazer todo o tráfego, inclusive o HTTPS passar pelo proxy transparente.
>
> Uma solução mais eficiente, que oferece um certo nível de transparência é
> usar o WPAD. Com ele, o proxy não vai ser transparente, mas vai ser
> configurado automaticamente para o usuário, o que na maioria das vezes é bom
> o suficiente.
>
> Soluções baseadas em strings ou ranges no iptables geralmente são mto
> custosas e/ou ineficientes. Os ips do facebook não são sempre os mesmos e
> processar as strings no iptables é custoso (cpu) e nem sempre funciona como
> o esperado.
>
>
> 2013/1/3 Adiel de Lima Ribeiro <adiel.netadmin@gmail.com>
>>
>> Olá, utilize o squid com o url_regex, daí tu coloca a palavra facebook,
>> é bem eficiente.
>> Dá para fazer pelo iptables também, bloqueando strings que contenham
>> facebook, mas usando ele não é a maneira mais correta para isso.
>> --
>> att,
>> Adiel de Lima Ribeiro
>> facebook.com/sembr.dyndns.info
>>
>>
>>
>> On Thu, 2013-01-03 at 13:07 -0200, Mauro Collin wrote:
>> > Ola Galera,
>> >
>> >
>> > Preciso bloquear o facebook pelo protocolo https (443) aqui na
>> > empresa, possuo proxy transparente mas acredito que a melhor solucao
>> > seria atraves do Firewall.
>> > Nao posso bloquear o protocolo https pois usamos sites de banco e
>> > outros que usam o mesmo protocolo.
>> > Lembrando que preciso de uma "lista branca" para diretores e outros
>> > que possam acessar o face.
>> >
>> >
>> > Alguem ai ja passou pro isso? ou pode me dar uma luz por onde começar.
>> >
>> >
>> > desde ja agradeco
>> > --
>> > Att.
>> >
>> >
>> > Mauro Collin.
>> > Analista de Suporte Técnico.
>> > TI-Infraestrutura.
>> >
>> >
>> >
>>
>>
>> --
>> To UNSUBSCRIBE, email to debian-user-portuguese-REQUEST@lists.debian.org
>> with a subject of "unsubscribe". Trouble? Contact
>> listmaster@lists.debian.org
>> Archive: 1357229198.1817.2.camel@fucker" target="_blank">http://lists.debian.org/1357229198.1817.2.camel@fucker
>>
>



--
@chinabhz


--
To UNSUBSCRIBE, email to debian-user-portuguese-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Archive: http://lists.debian.org/CAKE1zwqi_7v6YLRA6dc3tUiuKN5q11N0UBfhULYqudGa1mM7Q@mail.gmail.com




--
Att.

Mauro Collin.
Analista de Suporte Técnico.
TI-Infraestrutura.




--
Att.

Mauro Collin.
Analista de Suporte Técnico.
TI-Infraestrutura.
Cel: 21 8728-5445 (Oi).
Cel: 21 8055-3606 (Tim).
Cel: 21 9600-5348 (Vivo).

Reply to: