Zentyal Forum, Linux Small Business Server
International => Portuguese => Topic started by: Jorges_CEC on February 19, 2013, 04:54:13 pm
-
Boa tarde amigos sou iniciante no zentyal e gostaria e preciso de uma ajuda pois não consigo colocar restrições a sites com https só sei que é necessário usar o terminal para isso. Alguém pode me recomendar algum livro ou me explicar como funciona esse bloqueio pelo terminal???
Desde já agradeço a atenção
-
Para bloqueiar os sites https, voce tem que ter confiugurado o proxy como nao transparente
Uma vez feito, tens que copiar os arquivos /usr/share/zentyal/stubs/squid/squid-external.conf.mas e /usr/share/zentyal/stubs/squid/squid-external.conf.mas a /etc/zentyal/stubs, e editar os arquivos copiados,, eliminando a linha:
acl SSL_ports port 443
Uma vez feito isto reinicia o modulo squid e os sítios https nao poderam ser acesados. Se voce necessitar bloqueiar so determinados sitios, eles deveriam ser indicados no perfil de filtrado
Saudos
-
O Problema é que o bloqueio não se faz ativo quando coloco o endereço do site (quando insiro Https://endereço) e o Internet Explorer passa direto mesmo quando não usa o https
-
Olá Jorges_CEC:
Está o proxy como nao transparente?
-
Olá Jorges_CEC:
Está o proxy como nao transparente?
Sim Estou usando
-
E esta o proxy engadido nas opçoes do navegador? Se assim for, quizais ajudasse se encolase no post os arquivos de /etc/zentyal/stubs/squid/squid.conf.mas e /etc/zentyal/stubs/squid/squid-external.conf.mas
-
Não há nada que se possa fazer para bloquear HTTPS quando está com proxy transparente?
-
Se voce uere bloqueiar todos os sites https, o que voce pode fazer e bloqueiar a saida de conexoes hacia o porto 443 no firewall,mas nao e posivel fazer atravês do squid
Saude
-
Só preciso bloquear um 443... o Facebook... o restante é pra ficar liberado!
-
Olá wemersonrv:
Para isso eu aconselho que voce configure o DNS transparente, isto é uma regra que faça que os seus usuários nao possam usar outro DNS que o que o voce especifique (uma regra semelhante à que se faz com o squid para o proxy rtransparente), e no seu DNS engadir uma regra falsa para os sites que voce precisse.
Saude
-
Tem algum link de referência ?
Não percebi bem o que fazer!
-
Olá
http://doc.zentyal.org/en/dns.html
Check the Transparent DNS Proxy part.
-
Acho que entendi.
Apos configurar o dns transparente, eu crio um novo dominio dns (no caso facebook.com) e aponto pra um IP que não existe ou pra um local da minha rede... é isso?
-
Olá wemersonrv
Correto. Essa é a ideia
Saude
-
Nao deu certo!
Bem... para acesso HTTP funcionou (e nem precisei de regra de bloqueio)... mas para HTTPS continua passando...
-
Ola wemersonrv:
Voce deve revisar como esta resolvendo a sua petiçao dns. Se o dominio estiver corretamente configurado, ele funcionaria independentemente de ser http ou https, já que atua ao nivel da DNS
Saude
-
Então... eu criei um dominio facebook.com e apontei apenas para um IP aqui da minha rede que não tem nada configurado nele.
Não percebo o que falta!
-
Criou voce os hosts desse dominio?
-
Agora, está funcionando... não entendi porque não funcionou no momento que configurei...
Só para constar o que fiz: no menu DNS, eu adicionei o dominio facebook.com... editei a opção "Endereço IP do domínio" e deixei só um IP "fantasma".
-
Ola wemerson:
Se eram equipes windows onde testou, lembre da cache DNS dos mesmos (o que voce apaga quando ejecutar ipconfig /flushdns)
Essa poderia ser a causa de que nao aplicaram a modificaçao
Saude
-
certo... provavelmente foi isso... até porque eu fiz limpeza do cache por outro motivo...
Coincidiu de valer para essa situação também!
-
Cara uma dica de amigo, a forma que estou usando para "bloquear" o facebook aqui na empresa onde trabalho e até agora ninguem descobriu foi criar uma DNS no meu servidor DNS apontando para um IP invalido como 200.200.200.200 ou então 127.0.0.1 (o localhost) de forma que o usuário não consegue acessar a não ser que coloque um DNS de terceiros.
Outra forma é pegando todos os IPs do facebook e bloqueando no firewall, no Endian eu faço essa segunda forma também, porem no Zentyal não fiz pois a lista que eu uso de IPs é grande e por a mascara de rede de alguns está "errada" (não tinha certeza de quais IPs de uma sub rede pertencia a eles, então bloqueava toda a sub rede), o Zentyal sempre diz que a "faixa" já contem IPs na lista e não adiciona.
-
Então... é isso mesmo que foi feito companheiro!
É como o jbahillo falou: E se ainda fizer o DNS transparente, ninguem vai conseguir fazer com outro DNS.
-
Na rede da empresa necessitei bloquear sites HTTPS e como eu necessitava de utilizar proxy transparente, a única alternativa que tive foi bloquear os IPs dos sites que eu necessito bloquear o HTTPS:
- Primeiro adicionei o serviço HTTPS em Rede>Serviços
- Após, criei um objeto de rede chamado IPfacebook (exemplo para bloquear o facebook) e dentro dele adicionei os ips encontrados no site http://bgp.he.net/search?search%5Bsearch%5D=facebook&commit=Search (http://bgp.he.net/search?search%5Bsearch%5D=facebook&commit=Search)
- Também criei um objeto de rede para o range da rede que eu quero bloquear, ex.: 192.168.0.0/24
- Depois editei no firewall, a regra para impedir o trafego para estes IPs pela porta 443(HTTPS) vindos do range da rede
-
Na rede da empresa necessitei bloquear sites HTTPS e como eu necessitava de utilizar proxy transparente, a única alternativa que tive foi bloquear os IPs dos sites que eu necessito bloquear o HTTPS:
- Primeiro adicionei o serviço HTTPS em Rede>Serviços
- Após, criei um objeto de rede chamado IPfacebook (exemplo para bloquear o facebook) e dentro dele adicionei os ips encontrados no site http://bgp.he.net/search?search%5Bsearch%5D=facebook&commit=Search (http://bgp.he.net/search?search%5Bsearch%5D=facebook&commit=Search)
- Também criei um objeto de rede para o range da rede que eu quero bloquear, ex.: 192.168.0.0/24
- Depois editei no firewall, a regra para impedir o trafego para estes IPs pela porta 443(HTTPS) vindos do range da rede
Interessante... mas no caso, se o facebook adicionar novos IPs ao seu dominio o bloqueio vai ser burlado correto?
-
Na rede da empresa necessitei bloquear sites HTTPS e como eu necessitava de utilizar proxy transparente, a única alternativa que tive foi bloquear os IPs dos sites que eu necessito bloquear o HTTPS:
- Primeiro adicionei o serviço HTTPS em Rede>Serviços
- Após, criei um objeto de rede chamado IPfacebook (exemplo para bloquear o facebook) e dentro dele adicionei os ips encontrados no site http://bgp.he.net/search?search%5Bsearch%5D=facebook&commit=Search (http://bgp.he.net/search?search%5Bsearch%5D=facebook&commit=Search)
- Também criei um objeto de rede para o range da rede que eu quero bloquear, ex.: 192.168.0.0/24
- Depois editei no firewall, a regra para impedir o trafego para estes IPs pela porta 443(HTTPS) vindos do range da rede
Interessante... mas no caso, se o facebook adicionar novos IPs ao seu dominio o bloqueio vai ser burlado correto?
Pode-se também efetuar o bloqueio da navegação em HTTPS e somente liberar os IPs dos sites que são necessários a navegação HTTPS na empresa, ex: bancos etc. Usaria este mesmo método
-
Olá PessoALL,
Não seria melhor colocar os usuários em um determinado perfil de uso do proxy (seja por objeto de rede, grupo de usuário, etc) e impedir o acesso ao domínio "facebook.com" do que criar estas gambiarras?
Abraços,
Jorge Quintão
-
Olá PessoALL,
Não seria melhor colocar os usuários em um determinado perfil de uso do proxy (seja por objeto de rede, grupo de usuário, etc) e impedir o acesso ao domínio "facebook.com" do que criar estas gambiarras?
Abraços,
Jorge Quintão
Mas jquintao... usuários normais beleza... mas muitos sabem que se acessar direto https://facebook.com... aí só fazendo umas gambis mesmo!
-
Olá Wemerson,
Vc não fecha a saída da porta 443 para todos usuários? Para ter o bloqueio, é importante forçar estes usuários a usar o proxy... E, pelo proxy, vc cria as permissões...
Abraços,
Jorge Quintão
-
Eu não uso AD... só objetos de rede... no caso, tenho objetos 100% livres pra navegar e objetos bloqueados... quero bloquear https somente pra eles! É possível? Se sim, como? Não tô entendendo como fazer...
-
Olá Wemerson,
Sim... É possível... Estes usuários usam proxy? Se sim, vc pode bloquear editando arquivos .mas do squid...
Abraços,
Jorge Quintão
-
O proxy é transparente! Dá certo assim?
-
Dê uma lida: http://forum.zentyal.org/index.php/topic,14232.0.html
-
Olá Wemerson,
Sem problemas... A limitação de proxy transparente é apenas não permitir usuários autenticados...
Abraços,
Jorge Quintão
-
Pode dar um exemplo por exemplo bloqueando o facebook?
Te garanto que a grande maioria te coloca num pedestal... hehehehee
-
Wemerson,
O mais simples é... Garanta que todos usem o DNS local... Crie uma zona facebook.com e aponte o www.facebook.com para o ip 1.1.1.1...
Abraços,
Jorge Quintão
-
Bem Consegui resolver meu problema nas máquinas que usam windows
fiz uma alteração no arquivo de hosts do windows apontando o site do facebook para um endereço vazio
Como está ai embaixo
# Copyright (c) 1993-2009 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host
# localhost name resolution is handled within DNS itself.
# 127.0.0.1 localhost
# ::1 localhost
#Inicia bloqueio do Facebook
# 0.0.0.0 facebook.com
# 0.0.0.0 www.facebook.com
# 0.0.0.0 facebook.com.br
# 0.0.0.0 www.facebook.com.br
# 0.0.0.0 pt-br.facebook.com
# 0.0.0.0 www.pt-br.facebook.com
Fazendo isso o Windows consulta primeiro o arquivo de hosts ao invés de ir ao Proxy
também é possível fazer isso modificadando as IPTABLES no Zentyal mais não tenho
a mínima ideia de como se faz =(
-
Olá Jorges:
certamente é uma soluçao, voce pode fazer isso mesmo no Zentyal, criando um domínio para facebook.com e apontando para uma IP fictícia, e forzar a toda a rede a consultar o zentyal quando fazendo uma consulta DNS (DNS cache transparente). Isto criará uma regla no iptables que transportará qualquer petiçao dns (porto 53) para a IP da zentyal
-
O Problema é que irá afetar toda a rede e no meu caso preciso apenas de algumas =(
-
Voce poderia aplicar a regla redirect so para determinados rangos / IP's com --source IP e aplicandoo com um hook postservice
-
É isto ai pessoal... O recurso de alterar o DNS funciona... Alterar o arquivo hosts da máquina também funciona... Eu, sinceramente, prefiro não usar proxy transparente, fazendo a configuração do proxy no navegador... Para quem tem AD, é possível automatizar esta configuração...
Abraços,
Jorge Quintão
-
Voce poderia aplicar a regla redirect so para determinados rangos / IP's com --source IP e aplicandoo com um hook postservice
jbahillo
Não entendi direito...
Tem como aplicar a regra só pra alguns ips?? se sim da uma explicada melhor por favor.
-
Quando voce configura o DNS como cahe transparente, ele engade estas regras no iptables:
-A premodules ! -d 192.168.15.1/32 -i eth0 -p tcp -m tcp --dport 53 -j REDIRECT --to-ports 53
-A premodules ! -d 192.168.15.1/32 -i eth0 -p udp -m udp --dport 53 -j REDIRECT --to-ports 53
Se voce desejar que esta regra nao afecte a algum usuario, debe INSERIR (é improtante já que o append nao influiria)
iptables -t nat -I PREROUTING -i eth0 -p tcp --dport 53 -s IP-QUE-NAO_AFECTA -j RETURN
iptables -t nat -I PREROUTING -i eth0 -p udp --dport 53 -s IP-QUE-NAO_AFECTA -j RETURN
-
A unica maneira que consegui foi abandonando o proxy transparente e utilizando proxy configurado no servidor. Para facilitar a configuração eu utilizei WPAD.
-
Olá Glauber,
A melhor opção é sem dúvida abandonar o proxy transparente...
Abraços,
Jorge Quintão
-
Boa tarde a todos,
Sou novo no Zentyal. Li todos os comentários porém tenho dúvidas.
Tenho o seguinte cenário: Empresa com vários setores onde alguns podem acessar facebook, youtube e outros não podem acessar.
Criei os Perfis de filtro (Diretoria/Adm/Financeiro) e já efetuei o bloqueio do http:www.facebook.com porém, ao colocar o HTTPS, acessa normal. Como faço para bloquear isso para os mesmos setores de uma forma simples?
Att.
João Paulo