[FUG-BR] Bloqueio HTTPS

Paulo Henrique BSD Brasil paulo.rddck em bsd.com.br
Sábado Abril 28 11:10:58 BRT 2012


Verifica os ranges do facebook e trava no firewall qualquer acesso.
Gerencia de Https só com proxy autenticado.

Segue os ranges que tenho aqui.
66.220.144.0/20
69.171.0.0/16
204.15.20.0/20
66.220.144.0/16
69.63.176.0/16
173.252.64.0/16

Se quizer dar um fim no live, a rede é essa.

65.54.0.0/16

Estou usando PFSense com pfblocker.


Att. Paulo Henrique.

Em 28/4/2012 01:50, Marcelo Gondim escreveu:
> Em 28/04/2012 01:13, Saul Figueiredo escreveu:
>> Em 28 de abril de 2012 00:47, Welinaldo Lopes Nascimento<
>> welinaldo em bsd.com.br>   escreveu:
>>
>>> Desculpa, esquecí de informar, uso proxy-transparente, squid, squidGuard..
>>>
>>> o pessoal descobriu que ao colocar https no facebook, isso não está
>>> bloqueando..
>>> sei que é pela porta 443, se eu bloquear vai atrapalhar em paginas de
>>> bancos etc..
>>>
>>> Alguem tem alguma idéia de como resolver isto?
>>>
>>>
>>>
>>> Em 28 de abril de 2012 00:22, Saul Figueiredo<saulfelipecf em gmail.com
>>>> escreveu:
>>>> Em 27 de abril de 2012 23:56, Welinaldo Lopes Nascimento<
>>>> welinaldo em bsd.com.br>   escreveu:
>>>>
>>>>> Olá pessoal,
>>>>>
>>>>> Qual o meio mais facil de bloquear acessos via https? por exemplo,
>>>>> https://www.site.com?
>>>>>
>>>>> --
>>>>> .:: Welinaldo L N
>>>>> .:: Estudante de Desenvolvimento de Sistemas
>>>>> .:: FreeBSD Community Member #BSD/OS
>>>>> .:: Antes de imprimir, veja se realmente é necessário!
>>>>> .ılı..ılı.
>>>>> -------------------------
>>>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>>>
>>>> Boa noite Welinaldo!
>>>> Você quer bloquear usando o quê ? squid, luska, ou ipfw?
>>>> Exemplo:
>>>> Se você tem um proxy transparente (redireciona todo o trafego destinado a
>>>> porta 80 para a porta 3128 do squid) você pode optar por bloquear
>>> endereços
>>>> especificos no ipfw... como o desse site por exemplo
>>>>
>>>>
>>>>
>>>> --
>>>> "Deve-se aprender sempre, até mesmo com um inimigo."
>>>> (Isaac Newton)
>>>>
>>>> Atenciosamente,
>>>> Saul Figueiredo
>>>> Analista FreeBSD/Linux
>>>> Linux Professional Institute Certification Level 2
>>>> saulfelipecf em gmail.com
>>>> saul-felipe em hotmail.com
>>>> -------------------------
>>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>>
>>>
>>>
>>> --
>>> .:: Welinaldo L N
>>> .:: Estudante de Desenvolvimento de Sistemas
>>> .:: FreeBSD Community Member #BSD/OS
>>> .:: Antes de imprimir, veja se realmente é necessário!
>>> .ılı..ılı.
>>> -------------------------
>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>
>>
>> é um dos problemas de se usar o proxy transparente mas, chega de problemas,
>> o que te importa é solução né?
>> então, eu resolveria isso de duas possíveis maneiras:
>>
>> 1 - Criaria regras de ipfw bloqueando a porta 443 e depois criaria exceções
>> para essas regras para sites de banco. Dá até pra usar os nomes ao inves de
>> ip, tipo, www.bradesco.com.br ao inves de colocar o ip ou range de ips do
>> bradesco. Isso vai dar bastante trabalho e o seu ipfw vai ficar bem
>> carregado de regras.
>>
>> 2 - Você pode bloquear a navegação na porta 80 e obrigar os seus usuários a
>> usarem o proxy configurado no navegador; se você tiver um AD (Active
>> Directory) fica mais fácil, você poderá criar uma GPO para colocar no
>> navegador de todo mundo as configurações de proxy. Com isso, você passará a
>> ter controle dos sites https também;
>>
>> Essa segunda alternativa é a maneira mais fácil no meu ver.
>>
>> sacou ?
>>
>>
> Se o problema é bloquear o Facebook, você pode tentar bloquear esses
> blocos no seu Firewall. Que segundo o whois são do Facebook :)
>
> 69.171.224.0/19
> 66.220.144.0/20
>
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

-- 
"Quando a Morte decide contar uma historia,
A melhor ação que possa fazer é ouvi-la,
e torcer por não ser a sua própria a tal história."

Flames > /dev/null ( by Irado !! ).
RIP Irado!

Paulo Henrique.
Analista de Sistemas / Programador
BSDs Brasil.
Genuine Unix/BSD User.
Fone: (21) 9683-5433.



Mais detalhes sobre a lista de discussão freebsd