Eu uso squid+ssl_bump,
e redireciono todo trafego 80 e 443 para portas especificas configurada
no proxy.
http://wiki.squid-cache.org/ConfigExamples/Intercept/SslBumpExplicit
Outra forma de fazer, mas não acho muito interessante,
é configurar servidor de dns interno, e criar views com as zonas do
endereços que desejar "bloqueiar"
e apontar, por exemplo youtube.com, e direcionar para seu servidor
local, ou pra lugar nenhum.
On 06-01-2016 15:58, Paulo wrote:
> J., Boa Tarde.
>
> Já tive dores de cabeça como esta que está passando.
> Mas é simples de se resolver.
>
> No navegador tudo (http e https irá para o ip-do-proxy e porta-do-proxy).
>
> No proxy basta colocar uma regra que a porta 443 e 80 que rejeite.
> Exemplos:
> IPTABLES -A INPUT -p tcp -s ip-da-maquina_ou_range --dport 80 -j REJECT
> IPTABLES -A INPUT -p tcp -s ip-da-maquina_ou_range --dport 443 -j REJECT
Não vejo como isso pode funcionar, pois o trafego que passa pelo
firewall, não passa pela INPUT, e sim por FORWARD.
>
> Para bloquear a todos da rede vai usar o range (Exemplo:
> 192.168.0.0/24) = [ de 192.168.0.1 até 192.168.0.254 ].
>
> Para bloquear por máquina vai usar o ip-da-maquina (Exemplo: 192.168.0.1)
>
> Para liberar uma máquina não coloque o ip da mesma nas regras de
> rejeição, contanto que ela não faça parte do range de ip, ou libere o
> ip da mesma antes da regra de rejeição trocando o REJECT por ACCEPT.
>
> Consulte se as regras ficaram na ordem desejada com o comando IPTABLES
> -S ou IPTABLES -n -L
>
> As máquinas terão que ter IP fixo, ou o TTL (Tempo de vida do DHCP)
> será maior que 30 dias.
>
> Assim se um usuário tirar o proxy do navegador ele não navegará para
> fora.
>
> Espero ter ajudado,
>
> Paulo.
>
>
> Em 06/01/2016 16:26, Keppler escreveu:
>> Boa tarde pessoal.
>> Estou procurando há um tempão na internet como bloquear sites "https"
>> e não estou conseguindo, por exemplo, o que está me dando dor de
>> cabeça é o YOUTUBE!!
>>
>> Vou tentar explicar o que já fiz e como é minha estrutura:
>>
>> 1) Estrutura: Squid/Proxy autenticando por usuários:
>> Se o usuários desmarca a solicitação do proxy nos browsers e depois
>> colocar: https://www.youtube.com aí já era!...eles conseguem navegar.
>>
>> 2) Já tentei, via iptables, o seguinte:
>>
>> for ips_liberados in `cat /root/Firewall/IPS_LIBERADOS_YOUTUBE` ; do
>> $iptables -I FORWARD -i $LAN -m string --algo bm --string
>> "youtube.com" -j DROP ! -s $ips_liberados
>> $iptables -I FORWARD -i $LAN -m string --algo bm --string
>> "twitter.com" -j DROP ! -s $ips_liberados
>> done
>>
>> Nas regras acima estou tentando bloquear o YOUTUBE para a rede toda,
>> com exceção de alguns IPs que estão no arquivo
>> "/root/Firewall/IPS_LIBERADOS_YOUTUBE"
>>
>>
>> Na verdade, este é umas das tentativas minha, pois tentei diversas
>> variações dessas regras e não deu certo. O maximo que consegui foi
>> bloquear todo o acesso, inclusive bloqueando o Google. E na melhor
>> das vezes, quando consegui liberar para os IPs que eu queria mas
>> ficar para lenta a navegação, principalmente quando os sites
>> "mencionam" ou usam algumas APIs do Google.
>>
>>
>> Enfim, o que vocês estão fazendo para solucionar este problema, ou
>> seja, bloquear o Youtube e somente liberar para algumas máquinas da
>> rede. isto, claro, de forma eficiente!
>>
>> grato,
>> J.
>>
>