Zentyal Forum, Linux Small Business Server
International => Portuguese => Topic started by: tacioandrade on March 01, 2013, 04:40:51 am
-
Galera assim como a maioria de vocês venho tendo dores de cabeça com bloqueio de sites que usam https e tem que utilizar proxy transparente seja por qual motivo for. Para pessoas com nosso ambiente é algo complicado de se encontrar solução para este tipo de ação, por este motivo estou utilizando uma solução (não com só com o Zentyal mais também com o Endiian Firewall) em 3 clientes e na empresa que trabalho.
1ª Instale o módulo DNS no Gateway da rede (se já não estiver instalado), após feito isso você irá criar uma regra DNS local apontando o domínio que deseja bloquear (no meu caso Facebook mais pode ser substituído por qualquer outro). Após criar você irá em Endereços de IP do domínio e substituirá o endereço de lá por um inválido, no meu caso eu coloco (127.0.0.2). Após isso vá em estações (ainda do mesmo DNS) e adicione um host www apontando para o mesmo domínio.
2ª Após feito isso, lá no topo da parte de DNS clique no Checkbox "Ativar cache de DNS Transparente" e salve o módulo.
Ao fazer o segundo passo você faz com que TODAS as requisições de DNS feitas para qualquer servidor externo seja substituída para um do seu servidor local, desta forma o usuário não terá mais acesso ao Facebook ou aos sites que você achar indevido mesmo que o mesmo use https, ftp, etc. =D
Agora tem um porem, o Zentyal não tem uma opção (que o Endian tem) de exceções para o DNS transparente, então todas as maquinas da rede serão afetadas, porem para algumas soluções ainda é uma boa opção.
Espero que essa dica ajude mais pessoas e caso ache uma forma de adicionar exceções ao DNS transparente eu posto aqui.
Att. Tácio Andrade.
-
Já usei essa opção... Funciona muito bem se a ideia for bloquear para 100% das estações, porém infelizmente não dá pra se criar exceções nesse método. Acho que tanto no cache de DNS transparente quanto no proxy transparente deveria ter opções para se configurar essas exceções... um exemplo aqui meu:
Nossa empresa tem 4 setores distintos, onde apenas 2 são bloqueados parcialmente, inclusive bloqueio para o rei da improdutividade e acoxambração, o facebook!!!! :o Já os outros 2 setores são 100% livres, e são permitidos inclusive facebook, pois nesse caso o facebook já é uma ferramenta de trabalho...
Bem, sobrou a diretoria, que além de precisar estar 100% liberada; também não quer que sua navegação esteja listada nos relatórios e pra isso deve passar longe do proxy e precisaria estar nas exceções também!
-
Realmente mais tem como se fazer manualmente, você tem que criar uma regra de firewall liberando o envio de requisições DNS para o 8.8.8.8 ou seu DNS a partir das maquinas que você desejar.
O DNS transarente funciona redirecionando todas as requisições na porta DNS para o Zentyal, se você liberar a passagem para o servidor externo como primeira regra deve funcionar (nunca fiz, mais na lógica seria essa).
Att. Tácio Andrade.
-
Não seria mais facil criar um uma regra no firewall bloqueando a saida https ? neste caso daria para criar grupos que podem e que não podem acessar https, o problema seriam os usuarios que usassem esta regra e tivessem que usar bancos.
-
Olá pessoALL,
Acho melhor marcar o proxy e bloquear por ele... Deixando a pirta 443 aberta, fica fácil burlar o sistema...
Abraços,
Jorge
-
Seria uma boa o zentyal ter essas opções no ambiente gráfico... tipo, escolher quais os acessos https são pra ser bloqueados também!
-
Veja isto:
Bloqueando socialwebsites
A nível de DNS
Você pode criar um domínio (exemplo: facebook.com) e apontar para 127.0.0.1 no módulo de DNS. Garanta que todos usuários usem o DNS do próprio Zentyal e proiba a consulta externa de DNS para usuários que deseja limitar
A nível de FIREWALL
Você pode criar um objeto com todos os ip's de empresas e websites que deseja bloquear. Depois crie uma regra para NEGAR conexões para este objeto no Firewall - Filtro de Pacotes / Regras para redes locais.
Para descobrir os IP's, use SSH com comandos como:
~ % host tuenti.es
tuenti.es has address 95.131.168.181
~ % whois 95.131.168.181
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf
% Note: this output has been filtered.
% To receive output for a database update, use the "-B" flag.
% Information related to '95.131.168.0 - 95.131.175.255'
inetnum: 95.131.168.0 - 95.131.175.255
netname: ES-TUENTI-20090401
descr: Tuenti Technologies, S.L.
Vc tem estas duas alternativas... Eu prefiro não usar proxy transparente...
Abraços,
Jorge Quintão
-
Veja isto:
Bloqueando socialwebsites
A nível de DNS
Você pode criar um domínio (exemplo: facebook.com) e apontar para 127.0.0.1 no módulo de DNS. Garanta que todos usuários usem o DNS do próprio Zentyal e proiba a consulta externa de DNS para usuários que deseja limitar
A nível de FIREWALL
Você pode criar um objeto com todos os ip's de empresas e websites que deseja bloquear. Depois crie uma regra para NEGAR conexões para este objeto no Firewall - Filtro de Pacotes / Regras para redes locais.
Para descobrir os IP's, use SSH com comandos como:
~ % host tuenti.es
tuenti.es has address 95.131.168.181
~ % whois 95.131.168.181
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf
% Note: this output has been filtered.
% To receive output for a database update, use the "-B" flag.
% Information related to '95.131.168.0 - 95.131.175.255'
inetnum: 95.131.168.0 - 95.131.175.255
netname: ES-TUENTI-20090401
descr: Tuenti Technologies, S.L.
Vc tem estas duas alternativas... Eu prefiro não usar proxy transparente...
Abraços,
Jorge Quintão
Jorge não ficou muito claro esta sua explicação
Abraço
-
Olá Amigo,
Qual parte você não entendeu? Me desculpe, talvez tenha usado alguns termos técnicos que para mim são normais mas que talvez para você sejam novos...
Abraços,
Jorge Quintão
-
Eu fiz ao contrario.. Bloqueei tudo que sai pela porta 443... crio um objeto com as faixas de IP que preciso.. e vou liberando somente as faixas dos IPs que o pessoal precisa acessar por https.. acho mais pratico.. e ainda dá pra controlar quem pode acessar ou nao.
-
Jquintao .. caso a pessoa nao tenha um servidor de dominio.. e um usuario mais esperto alterar o dns da maquina pra 8.8.8.8 por exemplo ... esse bloqueio perderia a validade certo?
-
Amigos, tudo bem?
Então... Essa solução que foi apresentada pelo Jorge é a Nível de DNS ou seja obviamente sem o serviço de DNS não é possível realizar o bloqueio (NÃO COM ESSAS DICAS).
Para garantir que os usuários de sua rede vão usar o DNS local e evitar que mesmo que eles mudem na mão pra 8.8.8.8 como o amigo nesken citou, basta marcar a opção de DNS TRANSPARENTE que está localizado no módulo de DNS.
Outras opções pra quem não pode ter um DNS como o amigo nesken indagou seria vc alterar o arquivo hosts que fica em C:\Windows\System32\drivers\hosts seguindo a mesma linha de pensamento proposta acima. E claro não dá permissão de acesso a esse arquivo aos usuários.
Só que imagino eu que quem usa zentyal deseja ter uma solução digamos que um pouco mais profissional e não essas soluções de contorno.
Abraços,
Anderson Felipe
-
bem.. como eu disse eu bloqueio a porta 443 e vou liberando a rede 443 que precisar... uma pergunta.. esse DNS transparente, mesmo se a maquina estiver com 8.8.8.8 o zentyal vai ignorar a configuração?
-
bem.. como eu disse eu bloqueio a porta 443 e vou liberando a rede 443 que precisar... uma pergunta.. esse DNS transparente, mesmo se a maquina estiver com 8.8.8.8 o zentyal vai ignorar a configuração?
http://doc.zentyal.org/en/dns.html#transparent-dns-proxy
Proxy DNS transparente do Zentyal dá-lhe uma maneira de forçar o uso do seu servidor DNS sem ter que alterar a configuração dos clientes. Quando esta opção for habilitada, todas as solicitações de DNS que são encaminhados através do seu servidor são redirecionados para o servidor DNS interno do Zentyal. Os clientes têm de utilizar Zentyal como sua porta de entrada para certificar-se os pedidos serão encaminhados. Para ter esta opção disponível, o módulo de firewall deve ser ativado.
(TRADUZIDO VIA GOOGLE TRADUTOR).
-
vou dar uma lida nessa documentação
-
Olá,
Uma alternativa pode ser você tentar usar um DNS externo como o www.opendns.org...
Abraços,
Jorge Quintão