[gitec] Restrição de sites

Márcio Vilas Boas marcio em camaradiv.mg.gov.br
Segunda Dezembro 3 09:58:24 BRST 2007


Sergio,

Proxys externos, como o nome já diz, são somente proxys que estão fora 
de sua rede. Vc tem que impedir que os usuários cheguem até lá. Aí entra 
os relatórios do SARG que vão mostrar quais são pois agora ele lê os 
logs do dansguardian e não mais do squid. Se tiver algum tipo o 
meebo.com por exemplo, basta incluí-lo no Dansguardian da mesma maneira 
que se faz nas acls.  Uma das vantagens de se usar o dansguardian é que 
ele trabalha com grupos de blacklist. Os filtros padrões já eliminam 
milhares de acessos conhecidos além de serem bastante flexíveis e 
configuráveis.
Agora, para bloquear acessos externos através de programas, usamos o 
Snort que faz os bloqueios na camada 7(aplicação).
Não sou especialista nisto, apenas usuário, mas estamos a disposição 
para mais informações se for preciso.
Bom dia,

Márcio / Divinópolis - MG


administrador escreveu:
> Márcio, o Dansguardian barra bem os proxys externos aí?
> Vc deixou a configuração padrão ou customizou muito?
>
> []s
>
> Em Sex, 2007-11-30 às 16:48 -0200, Márcio Vilas Boas escreveu:
>   
>> Sim. Usamos o Dansguardian em nosso firewall.
>> Não. Ele não utiliza muito recurso da máquina. Pelo contrário, passamos 
>> a usá-lo justamente por isto.
>> Chegou um ponto que nossas acl's estavam enormes e aí sim, estava 
>> pesando bastante pois a cada requisição o squid tinha que ler uma lista 
>> muito grande. Deixamos o squid somente para proxy transparente e o 
>> dansguardian para fazer o trabalho "sujo".
>> Detalhe: nosso servidor é FreeBSD e a máquina é ainda aquela do primeiro 
>> Interlegis !!
>> Não sei o comportamento dele no Linux.
>>
>> [],s
>>
>> Márcio / Divinópolis - MG
>>
>>
>> administrador escreveu:
>>     
>>> Os proxys externos são realmente um problema. Estive pensando em usar o
>>> Dansguardian que fecha esses proxys, porém ele utiliza muito recurso da
>>> máquina. Testei na minha casa e funciona legal.
>>> Alguém já usou em produção?
>>>
>>> []s
>>>
>>> Em Sex, 2007-11-30 às 09:52 -0200, Rogerio Frá escreveu:
>>>   
>>>       
>>>> Boa.....asssunto bacana......
>>>>  
>>>> Gente, aqui na câmara, hoje também é aplicada a dupla squid+ iptables,
>>>> para bloqueio de sites como orkut, youtube, msn.
>>>>  
>>>> O proxy é a versão 2.6 usado como transparente, fazendo cache.
>>>>  
>>>>  
>>>> o grande problema na minha singela opinião, são os proxy externos,
>>>> então é toda semana tirar relátorio e incluir na lista dos bloqueados.
>>>>  
>>>> o bloqueio é feito pelas url, ou também por palavras.
>>>> a liberação é feita por ip, para quem necessita acesso total.
>>>>  
>>>>  
>>>> estou em estudo do squidguard para implementação, mas pela demanda,
>>>> não sei se tem necessidade.
>>>>  
>>>> estou dando uma lida também em https, com proxy transparente. ainda
>>>> não achei o jeito do bixo.
>>>>  
>>>> qq coisa, regras, scripts....sugestões.....
>>>>  
>>>>  
>>>> estou a disposição
>>>>  
>>>>  
>>>>  
>>>>  
>>>>
>>>>
>>>>  
>>>> Em 29/11/07, Angelo Marcondes de Oliveira Neto
>>>> <angelomarcondes em gmail.com> escreveu: 
>>>>         Edimar,
>>>>         
>>>>         Aqui em Carneirinho, utilizamos a dupla squid e iptables para
>>>>         fazer as nossas restrições que vão de sites a downloads. 
>>>>         Este é um processo simples, mas teremos que conhecer a sua
>>>>         estrutura de rede para te indicar como proceder. 
>>>>         Então diga-nos:
>>>>         Como é o acesso a internet pelos membros de sua rede?
>>>>         Quem faz o papel de gateway ou servidor de internet? 
>>>>         Que tipo de acesso a internet vc utiliza?
>>>>         
>>>>         Abraços
>>>>         
>>>>         Angelo
>>>>         
>>>>         Em 29/11/07, ishida <ishida em camararibeiraopreto.sp.gov.br >
>>>>         escreveu: 
>>>>                 Prezado Edimar,
>>>>                  
>>>>                         Você pode bloquear por conteúdo ou por Ip.
>>>>                  
>>>>                         Acho que muita gente aqui do Gitec esta usando
>>>>                 o Squid.
>>>>                  
>>>>                         Aqui na CM Ribeirão Preto bloqueamos pelo
>>>>                 conteúdo da Url e os ips.
>>>>                  
>>>>                          Não funciona tambem msn, yahoo messenger,
>>>>                 downlod emule, e-donkey estas coisas....
>>>>                  
>>>>                         Te passo as regras que utilizo aki .. e com
>>>>                 algumas adptações vc conseguirá restringir os acessos
>>>>                 de sua rede.. 
>>>>                  
>>>>                         Depois que colocamos os bloqueios.. a rede que
>>>>                 estava pesada... passou a atender melhor aos usuários.
>>>>                  
>>>>                 Isihda
>>>>                 CM Ribeirão Preto
>>>>                 
>>>>                 --
>>>>             



Mais detalhes sobre a lista de discussão GITEC