De acordo com as Leis 12.965/2014 e 13.709/2018, que regulam o uso da Internet e o tratamento de dados pessoais no Brasil, ao me inscrever na newsletter do portal DICAS-L, autorizo o envio de notificações por e-mail ou outros meios e declaro estar ciente e concordar com seus Termos de Uso e Política de Privacidade.

Bloquando Gtalk(Desktop) e GTalk(Gmail) no iptables e squid (transparente)

Colaboração: Danilo Moacir do Nascimento Clemente

Data de Publicação: 17 de Setembro de 2007

Suponho que você já tenha instalado o squid e que o iptables já redireciona toda a saída da porta 80 para o squid (proxy transparente) recomendo: http://br.geocities.com/cesarakg/transparent-squid.html

* Bloqueando o gtalk no squid *

  1. Crie o arquivo /etc/squid/regras/url_gtalk.txt com o conteúdo: 
       chatenabled\.mail\.google\.com
   mail\.google\.com\/mail\/channel\/bind
   talk\.google\.com
   talkx\.l\.google\.com
  2. No arquivo squid.conf adicione as linhas abaixo para o bloqueio: 
       acl url_gtalk url_regex -i "/etc/squid/regras/url_gtalk.txt"
   http_access deny url_gtalk all

    * Bloqueando o gtlak no iptables *

    Na minha empresa temos máquinas sem proxy configurado (transparente) e máquinas com o proxy configurado. Um dos problemas de proxy transparente é que o mesmo não funciona com SSL (https) e temos que liberar a saída de qualquer trafego https no firewall.

    Se somente o bloqueio criado acima for configurado o usuário ainda conseguiria acessar o gtalk no gmail através de https://gmail.com (repare no S do httpS) caso utilize proxy transparente (com proxy configurado o problema não ocorre) ou através da aplicação GTalk (Cliente gtalk desktop) pois o mesmo utiliza https.

  3. Execute os comandos ou adicione na script do seu iptables os comandos abaixo(antes de liberar a porta 443 para todos os sites se for o seu caso): 

       IPTABLES -A FORWARD -d talk.l.google.com -p tcp --dport 443 -j DROP
   IPTABLES -A FORWARD -d chatenabled.mail.google.com -p tcp --dport 443 -j DROP
   IPTABLES -A FORWARD -d talk.google.com -p tcp --dport 443 -j DROP
   IPTABLES -A FORWARD -d talkx.l.google.com -p tcp --dport 443 -j DROP

* Liberando algumas máquinas para acessar *

Como em qualquer empresa sempre há exceções, creio que o seu caso não seja diferente. Para liberar nosso chefe do bloqueio:

  1. Crie o arquivo /etc/squid/regras/ip_gtalk_liberado.txt com os ips (um em cada linha) das máquinas que poderão acessar o gtalk. ex.: 

       192.168.1.9
   192.168.1.10

  2. No arquivo squid.conf crie a acl: 
      acl ip_gtalk_liberado src "/etc/squid/regras/ip_gtalk_liberado.txt"

  3. No arquivo squid.conf antes da linha "http_access deny url_gtalk all" crie: 

      http_access allow ip_gtalk_liberado url_gtalk

  4. Configure o proxy no gtalk desktop

Adicionar comentário

* Campos obrigatórios
5000
Powered by Commentics

Comentários

Nenhum comentário ainda. Seja o primeiro!


Veja a relação completa dos artigos de Danilo Moacir do Nascimento Clemente