você está aqui: Home  → Arquivo de Mensagens

Bloquando Gtalk(Desktop) e GTalk(Gmail) no iptables e squid (transparente)

Colaboração: Danilo Moacir do Nascimento Clemente

Data de Publicação: 17 de Setembro de 2007

Suponho que você já tenha instalado o squid e que o iptables já redireciona toda a saída da porta 80 para o squid (proxy transparente) recomendo: http://br.geocities.com/cesarakg/transparent-squid.html

* Bloqueando o gtalk no squid *

  1. Crie o arquivo /etc/squid/regras/url_gtalk.txt com o conteúdo:
       chatenabled\.mail\.google\.com
       mail\.google\.com\/mail\/channel\/bind
       talk\.google\.com
       talkx\.l\.google\.com
    
  2. No arquivo squid.conf adicione as linhas abaixo para o bloqueio:
       acl url_gtalk url_regex -i "/etc/squid/regras/url_gtalk.txt"
       http_access deny url_gtalk all
    

    * Bloqueando o gtlak no iptables *

    Na minha empresa temos máquinas sem proxy configurado (transparente) e máquinas com o proxy configurado. Um dos problemas de proxy transparente é que o mesmo não funciona com SSL (https) e temos que liberar a saída de qualquer trafego https no firewall.

    Se somente o bloqueio criado acima for configurado o usuário ainda conseguiria acessar o gtalk no gmail através de https://gmail.com (repare no S do httpS) caso utilize proxy transparente (com proxy configurado o problema não ocorre) ou através da aplicação GTalk (Cliente gtalk desktop) pois o mesmo utiliza https.

  3. Execute os comandos ou adicione na script do seu iptables os comandos abaixo(antes de liberar a porta 443 para todos os sites se for o seu caso):

       IPTABLES -A FORWARD -d talk.l.google.com -p tcp --dport 443 -j DROP
       IPTABLES -A FORWARD -d chatenabled.mail.google.com -p tcp --dport 443 -j DROP
       IPTABLES -A FORWARD -d talk.google.com -p tcp --dport 443 -j DROP
       IPTABLES -A FORWARD -d talkx.l.google.com -p tcp --dport 443 -j DROP
    

* Liberando algumas máquinas para acessar *

Como em qualquer empresa sempre há exceções, creio que o seu caso não seja diferente. Para liberar nosso chefe do bloqueio:

  1. Crie o arquivo /etc/squid/regras/ip_gtalk_liberado.txt com os ips (um em cada linha) das máquinas que poderão acessar o gtalk. ex.:

       192.168.1.9
       192.168.1.10
    

  2. No arquivo squid.conf crie a acl:
      acl ip_gtalk_liberado src "/etc/squid/regras/ip_gtalk_liberado.txt"
    

  3. No arquivo squid.conf antes da linha "http_access deny url_gtalk all" crie:

      http_access allow ip_gtalk_liberado url_gtalk
    

  4. Configure o proxy no gtalk desktop


Veja a relação completa dos artigos de Danilo Moacir do Nascimento Clemente

 

 

Opinião dos Leitores

Marcus Fazzi
28 Jun 2012, 08:33
Tem de bloquear "https://talkgadget.google.com" , também!
*Nome:
Email:
Me notifique sobre novos comentários nessa página
Oculte meu email
*Texto:
 
  Para publicar seu comentário, digite o código contido na imagem acima
 


Powered by Scriptsmill Comments Script