usando firewall somente a máquina do proxy teria acesso a internet pelas portas http 80 e https. E nela você configura as ACL's. Vou dar um exemplo usando horários, em uma rede específica para bloquear sites de redes sociais, como youtube, facebook twitter
acl rede_academica src 192.168.32.0/24 ########RESTRICAO de sites por horario academica acl h_manha_academica time MTWHF 08:00-12:00 acl h_tarde_academica time MTWHF 14:00-18:00 acl sites_hrcomercial_academica url_regex -i "/etc/squid3/sites_bloq_hrcomercial_academica" http_access deny rede_academica sites_hrcomercial_academica h_manha_academica http_access deny rede_academica sites_hrcomercial_academica h_tarde_academica deny_info http://intranet/bloqueio/hrcom.php h_manha_academica deny_info http://intranet/bloqueio/hrcom.php h_tarde_academica http_access deny !CONNECT rede_academica sites_hrcomercial_academica h_manha_academica http_access deny !CONNECT rede_academica sites_hrcomercial_academica h_tarde_academica O bloqueio de https acontece justamente na !connect pois não permite abrir a conexão SSL com o dito site, sem essa tag o acesso https aconteceria normalmente iria bloquear somente no http (http_access). *Rodrigo Germano de Paula* Técnico em Tecnologia da Informação IFB Campus Planaltina Contato: (61) 21962601 Em 22 de janeiro de 2016 10:28, Lucas Castro <[email protected]> escreveu: > Eu uso squid+ssl_bump, > e redireciono todo trafego 80 e 443 para portas especificas configurada > no proxy. > http://wiki.squid-cache.org/ConfigExamples/Intercept/SslBumpExplicit > > Outra forma de fazer, mas não acho muito interessante, > é configurar servidor de dns interno, e criar views com as zonas do > endereços que desejar "bloqueiar" > e apontar, por exemplo youtube.com, e direcionar para seu servidor > local, ou pra lugar nenhum. > > On 06-01-2016 15:58, Paulo wrote: > > J., Boa Tarde. > > > > Já tive dores de cabeça como esta que está passando. > > Mas é simples de se resolver. > > > > No navegador tudo (http e https irá para o ip-do-proxy e porta-do-proxy). > > > > No proxy basta colocar uma regra que a porta 443 e 80 que rejeite. > > Exemplos: > > IPTABLES -A INPUT -p tcp -s ip-da-maquina_ou_range --dport 80 -j REJECT > > IPTABLES -A INPUT -p tcp -s ip-da-maquina_ou_range --dport 443 -j REJECT > Não vejo como isso pode funcionar, pois o trafego que passa pelo > firewall, não passa pela INPUT, e sim por FORWARD. > > > > Para bloquear a todos da rede vai usar o range (Exemplo: > > 192.168.0.0/24) = [ de 192.168.0.1 até 192.168.0.254 ]. > > > > Para bloquear por máquina vai usar o ip-da-maquina (Exemplo: 192.168.0.1) > > > > Para liberar uma máquina não coloque o ip da mesma nas regras de > > rejeição, contanto que ela não faça parte do range de ip, ou libere o > > ip da mesma antes da regra de rejeição trocando o REJECT por ACCEPT. > > > > Consulte se as regras ficaram na ordem desejada com o comando IPTABLES > > -S ou IPTABLES -n -L > > > > As máquinas terão que ter IP fixo, ou o TTL (Tempo de vida do DHCP) > > será maior que 30 dias. > > > > Assim se um usuário tirar o proxy do navegador ele não navegará para > > fora. > > > > Espero ter ajudado, > > > > Paulo. > > > > > > Em 06/01/2016 16:26, Keppler escreveu: > >> Boa tarde pessoal. > >> Estou procurando há um tempão na internet como bloquear sites "https" > >> e não estou conseguindo, por exemplo, o que está me dando dor de > >> cabeça é o YOUTUBE!! > >> > >> Vou tentar explicar o que já fiz e como é minha estrutura: > >> > >> 1) Estrutura: Squid/Proxy autenticando por usuários: > >> Se o usuários desmarca a solicitação do proxy nos browsers e depois > >> colocar: https://www.youtube.com aí já era!...eles conseguem navegar. > >> > >> 2) Já tentei, via iptables, o seguinte: > >> > >> for ips_liberados in `cat /root/Firewall/IPS_LIBERADOS_YOUTUBE` ; do > >> $iptables -I FORWARD -i $LAN -m string --algo bm --string > >> "youtube.com" -j DROP ! -s $ips_liberados > >> $iptables -I FORWARD -i $LAN -m string --algo bm --string > >> "twitter.com" -j DROP ! -s $ips_liberados > >> done > >> > >> Nas regras acima estou tentando bloquear o YOUTUBE para a rede toda, > >> com exceção de alguns IPs que estão no arquivo > >> "/root/Firewall/IPS_LIBERADOS_YOUTUBE" > >> > >> > >> Na verdade, este é umas das tentativas minha, pois tentei diversas > >> variações dessas regras e não deu certo. O maximo que consegui foi > >> bloquear todo o acesso, inclusive bloqueando o Google. E na melhor > >> das vezes, quando consegui liberar para os IPs que eu queria mas > >> ficar para lenta a navegação, principalmente quando os sites > >> "mencionam" ou usam algumas APIs do Google. > >> > >> > >> Enfim, o que vocês estão fazendo para solucionar este problema, ou > >> seja, bloquear o Youtube e somente liberar para algumas máquinas da > >> rede. isto, claro, de forma eficiente! > >> > >> grato, > >> J. > >> > > > >
