Re: Bloquear Facebook https

[Adiel de Lima Ribeiro <adiel.netadmin@gmail.com>]

Agora me surgiu uma dúvida, eu falei sobre você utilizar o url_regex,
ele não funciona, ok.
Mas e se você utilizar o dstdom no squid, mesmo assim colocando o https
o tráfego passa ? 
Eu resolvi isso com o iptables em uma rede que administrei, ao invez de
colocar apenas facebook na string, coloque facebook.com, e daí veja que
se está bloqueando tráfego legítimo que contenha essa string, que
acredito que possa ser pouco. Daí você terá que ter um range de ips
liberados e outro de bloqueados.
-- 
att,
Adiel de Lima Ribeiro
facebook.com/sembr.dyndns.info



On Thu, 2013-01-03 at 15:26 -0200, Mauro Collin wrote:
> Valeu Galera,
> Saí pra almoçar e quando voltei, varias soluções.!!! mas vamos ao que
> interessa:
> 
> 
> 
> Adiel:
> já implementei sua solução mas os usuarios colocam "https" na barra de
> endereço do navegador para entrar no facebook, o squid nao esta
> tratando o trafego "https", sabe como devo tratar o trafego https ou
> algum manual?.
> O bloqueio de palavra acredito nao ser eficiente pois varios sites
> fazem referencia ao facebook no seu conteudo e os mesmos seriam
> bloqueados sem necessidade.
> Sei que poderia bloquear no firewall a porta https, mas teria
> problemas com os sites de banco e demais.
> alem disso tudo, preciso de uma "lista branca" dos IPs que poderão
> acessar o face....
> 
> 
> Mais alguma ideia?
> 
> 
> Obrigado.
> 
> Em 3 de janeiro de 2013 14:39, China <china.listas@gmail.com>
> escreveu:
>         +1 pro wpad. Soluções baseadas em strings degradam a
>         performance da
>         rede e consomem mais máquina, além de ser uma solução burra
>         por
>         bloquear sites legitmos só por terem trechos das strings em
>         seus
>         nomes.
>         
>         Em 3 de janeiro de 2013 14:15, Leonardo Carneiro
>         <chesterman86@gmail.com> escreveu:
>         > Mauro, a não ser que eu esteja redondamente enganado, a
>         única maneira de vc
>         > fazer isso com proxy transparente é usando uma função do
>         squid (tem nas
>         > versões mais recentes) chamada SSL_BUMP, na qual vc usa um
>         certificado para
>         > fazer todo o tráfego, inclusive o HTTPS passar pelo proxy
>         transparente.
>         >
>         > Uma solução mais eficiente, que oferece um certo nível de
>         transparência é
>         > usar o WPAD. Com ele, o proxy não vai ser transparente, mas
>         vai ser
>         > configurado automaticamente para o usuário, o que na maioria
>         das vezes é bom
>         > o suficiente.
>         >
>         > Soluções baseadas em strings ou ranges no iptables
>         geralmente são mto
>         > custosas e/ou ineficientes. Os ips do facebook não são
>         sempre os mesmos e
>         > processar as strings no iptables é custoso (cpu) e nem
>         sempre funciona como
>         > o esperado.
>         >
>         >
>         > 2013/1/3 Adiel de Lima Ribeiro <adiel.netadmin@gmail.com>
>         >>
>         >> Olá, utilize o squid com o url_regex, daí tu coloca a
>         palavra facebook,
>         >> é bem eficiente.
>         >> Dá para fazer pelo iptables também, bloqueando strings que
>         contenham
>         >> facebook, mas usando ele não é a maneira mais correta para
>         isso.
>         >> --
>         >> att,
>         >> Adiel de Lima Ribeiro
>         >> facebook.com/sembr.dyndns.info
>         >>
>         >>
>         >>
>         >> On Thu, 2013-01-03 at 13:07 -0200, Mauro Collin wrote:
>         >> > Ola Galera,
>         >> >
>         >> >
>         >> > Preciso bloquear o facebook pelo protocolo https (443)
>         aqui na
>         >> > empresa, possuo proxy transparente mas acredito que a
>         melhor solucao
>         >> > seria atraves do Firewall.
>         >> > Nao posso bloquear o protocolo https pois usamos sites de
>         banco e
>         >> > outros que usam o mesmo protocolo.
>         >> > Lembrando que preciso de uma "lista branca" para
>         diretores e outros
>         >> > que possam acessar o face.
>         >> >
>         >> >
>         >> > Alguem ai ja passou pro isso? ou pode me dar uma luz por
>         onde começar.
>         >> >
>         >> >
>         >> > desde ja agradeco
>         >> > --
>         >> > Att.
>         >> >
>         >> >
>         >> > Mauro Collin.
>         >> > Analista de Suporte Técnico.
>         >> > TI-Infraestrutura.
>         >> >
>         >> >
>         >> >
>         >>
>         >>
>         >> --
>         >> To UNSUBSCRIBE, email to
>         debian-user-portuguese-REQUEST@lists.debian.org
>         >> with a subject of "unsubscribe". Trouble? Contact
>         >> listmaster@lists.debian.org
>         >> Archive:
>         [🔎] 1357229198.1817.2.camel@fucker">http://lists.debian.org/[🔎] 1357229198.1817.2.camel@fucker
>         >>
>         >
>         
>         
>         
>         
>         --
>         @chinabhz
>         
>         
>         --
>         To UNSUBSCRIBE, email to
>         debian-user-portuguese-REQUEST@lists.debian.org
>         with a subject of "unsubscribe". Trouble? Contact
>         listmaster@lists.debian.org
>         
>         Archive:
>         http://lists.debian.org/CAKE1zwqi_7v6YLRA6dc3tUiuKN5q11N0UBfhULYqudGa1mM7Q@mail.gmail.com
>         
> 
> 
> 
> 
> -- 
> Att.
> 
> 
> Mauro Collin.
> Analista de Suporte Técnico.
> TI-Infraestrutura.
> 
> 
>