Olá, tudo bem Cássio? Adiciona mais essas duas:
iptables -A FORWARD -d https://orkut.com -p tcp --dport 443 -j DROP iptables -A INPUT -d https://orkut.com -p tcp --dport 443 -j DROP -- []s, Carlos Eduardo Testa (ceth) Linuxer #353107 > Olá pessoal, bom dia, tudo bem!? > > Acredito que esse assunto ja deve ter sido discutido aqui, pesquisei e > testei algumas confs porem ainda sem sucesso, o usuário é sempre muito > criativo :) . > > Gostaria de saber como os demais colegas teem feito para bloquear com > eficiencia o danado do orkut. > > Aqui em minha rede faço uso de iptables com squid funcionando como proxy > transparente e alguma coisa em algum lugar não esta dando certo. > > No Squid pelo pouco que vie e pesquisei temos mesmo probpemas para > bloquear https, isso confere!? Pois ele é proxy https não é!? > > Sendo assim, bloqueiei a palavra orkut atraves da acl regex para o > bloqueio normal. Foi então que os usuarios descobriram que https > passava. Bom dai pensei comigo, facil, bloqueio isso no iptables e > pronto. e foi o que fiz. Porém ainda é possivel conseguir o acesso via > https. Onde posso estar errando!? Será que tem algo no squid que quando > é feito o redirecionamento ele deixa passar o https!? Se for isso, > alguem sabe como resolver!? > > abaixo segue as regras do iptables: > > iptables -A INPUT -d www.orkut.com -j DROP > iptables -A INPUT -s www.orkut.com -j DROP > iptables -A FORWARD -d www.orkut.com -j DROP > iptables -A FORWARD -s www.orkut.com -j DROP > iptables -A INPUT -s www.orkut.com -p tcp -m multiport --dport 443,80 > -j DROP > iptables -A INPUT -d www.orkut.com -p tcp -m multiport --dport 443,80 > -j DROP > iptables -A FORWARD -s www.orkut.com -p tcp -m multiport --dport > 443,80 -j DROP > iptables -A FORWARD -d www.orkut.com -p tcp -m multiport --dport > 443,80 -j DROP > > Sei que poderia fazer tudo numa linha só, mas foi para ter certeza de > que estava fazendo de forma correta, rs. > > E no squid: > > acl blockedsites url_regex -i "/etc/squid/bloqueados/block.txt" > acl unblockedsites url_regex -i "/etc/squid/bloqueados/unblock.txt" > acl malware_block_list url_regex -i "/etc/squid/malware_block_list.txt" > acl all src 0.0.0.0/0.0.0.0 > acl manager proto cache_object > acl localhost src 127.0.0.1/255.255.255.255 > acl SSL_ports port 443 563 > acl Safe_ports port 80 # http > acl Safe_ports port 21 # ftp > acl Safe_ports port 443 563 # https, snews > acl Safe_ports port 70 # gopher > acl Safe_ports port 210 # wais > acl Safe_ports port 1025-65535 # unregistered ports > acl Safe_ports port 280 # http-mgmt > acl Safe_ports port 488 # gss-http > acl Safe_ports port 591 # filemaker > acl Safe_ports port 777 # multiling http > acl Safe_ports port 901 # SWAT > acl purge method PURGE > acl CONNECT method CONNECT > acl acesso_total src 192.168.10.38 > acl acesso_total src 192.168.10.19 > always_direct allow all > http_access allow acesso_total > http_access allow manager localhost > http_access deny manager > http_access deny blockedsites !unblockedsites > http_access deny malware_block_list > deny_info http://malware.hiperlinks.com.br/denied.shtml malware_block_list > http_access allow purge localhost > http_access deny purge > http_access deny !Safe_ports > http_access deny CONNECT !SSL_ports > http_access allow localhost > acl redelocal src 192.168.10.0/24 > http_access allow redelocal > > > Se alguem souber de algo pu puder dar alguma dica, agradeço. > > Abraços e obrigado desde já. > > -- > > Atenciosamente, > > > Cássio Rosas --------------------------------------------------------------------------- Esta lista é patrocinada pela Conectiva S.A. Visite http://www.conectiva.com.br Arquivo: http://bazar2.conectiva.com.br/mailman/listinfo/linux-br Regras de utilização da lista: http://linux-br.conectiva.com.br FAQ: http://www.zago.eti.br/menu.html
