BFW Firewall & Router

[efagaraz]

BFW 3.0.252 com Squid, Dansguardian, Sarg tudo rodando na perfeição.

Na empresa em que esse BFW está instalado eu fiz pelo Dansguardian o bloqueio de algumas urls que nenhuma estação da empresa pode fazer acesso - como redes sociais, radios on-line e putaria. E algumas poucas estações da diretoria tem acesso a tudo passando por fora do squid. Até aí tudo ok.

Mas agora me pediram pra bloquear alguns sites em apenas duas estações, sendo liberado nas restantes. E honestamente não sei como fazer.
Alguém pode dar uma dica por onde começar?

[Eduardo]

Se não for incomodo para você, edita o host da maquina e bloqueia localmente.
Claro que pelo BFW fica mais profissional, mas so duas estações da muito trabalho.
Segue o arquivo host de bloqueio que uso em clientes pequenos:

Código: Selecionar todos

# C:\Windows\System32\drivers\etc\hosts
#
# Este é um arquivo HOSTS de exemplo usado pelo Microsoft TCP/IP para Windows.
#
# Este arquivo contém os mapeamentos de endereços IP para nomes de host. Cada
# entrada deve ser mantida em uma linha individual. O endereço IP deve
# ser colocado na primeira coluna, seguido do nome de host correspondente.
# O endereço IP e o nome do host devem ser separados por pelo menos um
# espaço.
#
# Adicionalmente, comentários (como estes) podem ser inseridos em linhas
# individuais ou após o nome de computador indicado por um símbolo '#'.
#
# Por exemplo:
#
#      102.54.94.97     rino.acme.com           # servidor de origem
#       38.25.63.10     x.acme.com              # host cliente x

127.0.0.1       localhost
127.0.0.1 www.orkut.com
127.0.0.1 www.orkut.com.br
127.0.0.1 gateway.messenger.hotmail.com
127.0.0.1 gtwy.messenger.hotmail.com
127.0.0.1 messenger.hotmail.com
127.0.0.1 login.passport.net
127.0.0.1 svcs.microsoft.com
127.0.0.1 webmessenger.msn.com
127.0.0.1 kickme.to/msnmessenger2go
127.0.0.1 www.iloveim.com
127.0.0.1 www.e-messenger.net
127.0.0.1 atlanta.e-messenger.net/light/
127.0.0.1 boston.e-messenger.net/light)
127.0.0.1 msn2go.com
127.0.0.1 msn2go.com.br
127.0.0.1 piglet-im.com
127.0.0.1 webmsn.net
127.0.0.1 www.e-messenger.cl
127.0.0.1 www.msn.com.br
127.0.0.1 www.meebo.com
0.0.0.0 meebo.com
127.0.0.1 www.kproks.com
127.0.0.1 216.129.112.81
127.0.0.1 www.torperkut.com
127.0.0.1 www.webmessenger.com.br
127.0.0.1 www.web-message.com
127.0.0.1 login.live.com
127.0.0.1 www.messages.com
127.0.0.1 www.message.com
127.0.0.1 www.ebuddy.com
127.0.0.1 216.129.112.81
0.0.0.0 216.129.112.81
127.0.0.1 www.nproxy.com
127.0.0.1 www.snoopblocker.com
127.0.0.1 www.kproxy.com
127.0.0.1 www.pproxy.com
127.0.0.1 www.nopath.com
127.0.0.1 www.anonymouse.ws/anonwww.html
127.0.0.1 www.megaproxy.com/freesurf/
127.0.0.1 www8.tok2.com/home2/masao/CGIPROXY/web_proxy.cgi
127.0.0.1 www.fireprox.com/index.php
127.0.0.1 www.vtunnel.com
127.0.0.1 www.spynot.com/loginsp.asp
127.0.0.1 www.fsurf.com
127.0.0.1 aicosoft.3322.org/msn
127.0.0.1 www.onlinemessenger.nl
127.0.0.1 www.3proxy.com
127.0.0.1 www.euproxy.com
127.0.0.1 www.torperkut.com
127.0.0.1 www.torperkut.com.br
127.0.0.1 www.orkutando.net
127.0.0.1 kupu-jb.com/util2/web_proxy.cgi
127.0.0.1 kerappo.net/proxy/web_proxy.cgi
127.0.0.1 www3.torpekut.com
127.0.0.1 www.theorkut.rg3.net/
127.0.0.1 www.secure.pimpmyip.com/
127.0.0.1 kpx.sytes.net
127.0.0.1 www.vivovantagens.cjb.net
127.0.0.1 www.proxy3.com
127.0.0.1 www.anonymizer.com
127.0.0.1 www.bhi.com.br
127.0.0.1 http://216.129.112.81
0.0.0.0 http://216.129.112.81
200.205.55.58 216.129.112.81
127.0.0.1 216-129.112.81.meebo.com
127.0.0.1 www10.meebo.com
127.0.0.1 www1.messengerfx.com
127.0.0.1 www2.messengerfx.com
127.0.0.1 www3.messengerfx.com
127.0.0.1 www4.messengerfx.com
127.0.0.1 www5.messengerfx.com
127.0.0.1 www6.messengerfx.com
127.0.0.1 www7.messengerfx.com
127.0.0.1 www8.messengerfx.com
127.0.0.1 www9.messengerfx.com
127.0.0.1 www10.messengerfx.com
127.0.0.1 www11.messengerfx.com
127.0.0.1 www12.messengerfx.com
127.0.0.1 www13.messengerfx.com
127.0.0.1 www14.messengerfx.com
127.0.0.1 www15.messengerfx.com
127.0.0.1 www16.messengerfx.com
127.0.0.1 www17.messengerfx.com
127.0.0.1 www18.messengerfx.com
127.0.0.1 www19.messengerfx.com
127.0.0.1 www20.messengerfx.com
0.0.0.1 www5.messengerfx.com
127.0.0.1 www.koolim.com
127.0.0.1 www.guiaplaza.com\webmessenger
127.0.0.1 www.mangeloo.com
127.0.0.1 www.msn2go.com
0.0.0.1 www.msn2go.com
127.0.0.1 www.researchhaven.com/Chat.htm
0.0.0.1 www.researchhaven.com/Chat.htm
0.0.0.1 www.researchhaven.com
127.0.0.1 *.iloveim.com
127.0.0.1 x1.iloveim.com
127.0.0.1 x2.iloveim.com
127.0.0.1 x3.iloveim.com
127.0.0.1 x4.iloveim.com
127.0.0.1 x5.iloveim.com
127.0.0.1 x6.iloveim.com
127.0.0.1 x7.iloveim.com
127.0.0.1 x8.iloveim.com
127.0.0.1 x9.iloveim.com
127.0.0.1 x10.iloveim.com
127.0.0.1 x11.iloveim.com
127.0.0.1 x12.iloveim.com
127.0.0.1 x13.iloveim.com
127.0.0.1 x14.iloveim.com
127.0.0.1 x15.iloveim.com
127.0.0.1 x16.iloveim.com
127.0.0.1 x17.iloveim.com
127.0.0.1 x18.iloveim.com
127.0.0.1 x19.iloveim.com
127.0.0.1 x20.iloveim.com
127.0.0.1 x21.iloveim.com
127.0.0.1 x22.iloveim.com
127.0.0.1 x23.iloveim.com
127.0.0.1 x24.iloveim.com
127.0.0.1 x25.iloveim.com
127.0.0.1 x26.iloveim.com
127.0.0.1 x27.iloveim.com
127.0.0.1 x28.iloveim.com
127.0.0.1 x29.iloveim.com
127.0.0.1 x30.iloveim.com
127.0.0.1 x31.iloveim.com
127.0.0.1 x32.iloveim.com
127.0.0.1 x33.iloveim.com
127.0.0.1 x34.iloveim.com
127.0.0.1 x35.iloveim.com
127.0.0.1 x36.iloveim.com
127.0.0.1 x37.iloveim.com
127.0.0.1 x38.iloveim.com
127.0.0.1 x39.iloveim.com
127.0.0.1 x40.iloveim.com
127.0.0.1 x41.iloveim.com
127.0.0.1 x42.iloveim.com
127.0.0.1 x43.iloveim.com
127.0.0.1 x44.iloveim.com
127.0.0.1 x45.iloveim.com
127.0.0.1 busca.uol.com.br
127.0.0.1 search.msn.com.br
127.0.0.1 http://boston.e-messenger.net/light/
127.0.0.1 http://boston.e-messenger.net
127.0.0.1 boston.e-messenger.net/light/
127.0.0.1 boston.e-messenger.net/light
127.0.0.1 iloveim.com
0.0.0.8 iloveim.com


Boa sorte.

[apoliano]

Olá boa noite pessoal.

Eduardo achei legal essa forma de bloqueio, apesar de que gosto de fazer todo gerenciamento
da rede pelo servidor, mais gostei ddesse também.

Eu tava tentando fazer aqui, mais não consigui editar o arquivo host, qual programa precisa
usar para editar o arquivo host?

Desculpa por pegar carona aqui.

[Eduardo]

Uso o bloco de notas do windows mesmo.

[efagaraz]

Oi Eduardo,

Obrigado pela sugestão, mas nem de perto essa solução de editar o host me serve.
Uma (entre várias) vantagens do BFW é ter centralizado toda a administração do tráfego da internet. Remotamente eu posso bloquear/liberar URL´s, liberar estações e usar a enorme gama de recursos que esse firewall oferece, e se eu tivesse que fazer isso localmente eu não só perderia esse feature como deixaria uma enorme brecha de segurança, pois qualquer usuário com conhecimento mínimo poderia editar ou simplesmente apagar o hosts e ter acesso completo.
Prefiro procurar uma solução que o squid/dansguardian ofereça, só não sei por onde começar e por isso pedi dicas aqui.

De qualquer forma, agradeço.

[Thiago]

Mas agora me pediram pra bloquear alguns sites em apenas duas estações, sendo liberado nas restantes. E honestamente não sei como fazer.

Deixa ver se entendi, vai bloquear alguns sites em apenas duas estações , estes estarão liberados nas demais, correto?
Se sim, informe os sites, se são muitos, 1 ou 2, 5 ,10 , diga quantos sites ao todo.

[carlos_silvasantos]

Bom dia,

A solução do Eduardo é bem prática, porém como você mesmo falou pode acarretar alguns riscos.

Tive necessidade muito parecida com a sua aqui na Empresa, então resolvi adotar o controle por grupos de acesso.

Implementei primeiramente com squid (100%) funcional, no entanto após um tempo acabei migrando para o Dansguardian (após estudo e conhecimento do funcionamento do mesmo).

Se você seguir as receitas de bolo dos links que vou colocar abaixo resolve teu problema. Pode dar um pouco de trabalho, mas a tua rede ficará bem mais segura e você terá a administração da mesma completamente nas tuas mãos. ALém de dar mais flexibilidade que é o que você precisa pois poderá controlar o acesso por grupos de usuários.

Quaisquer dúvidas posta aqui pra verificarmos.

Links:

http://www.brazilfw.com.br/forum/viewtopic.php?f=77&t=75402

http://www.brazilfw.com.br/forum/viewtopic.php?f=77&t=81740


Abraços!

[apoliano]

Uso o bloco de notas do windows mesmo.

Eu também usei o bloco de notas para editar o arquivo, mais ao salvar o arquivo host, lá na pasta
C:\WINDOWS\system32\drivers\etc aparece outro arquivo host, mais como um arquivo de texto simples do bloco de notas.

Qual a extensão de arquivo devo usar ao salvar o arquivo host?

[janesley]

Apoliano... Boa Tarde....
Faça o seguinte....
Pelo Executar do windows digite:

Código: Selecionar todos

Notepad C:\Windows\System32\drivers\etc\hosts

Vai abrir automaticamente....
Esse arquivo não tem extensão... para poder salvar caso voce crie um novo.. basta na opção do NotePad... Menu Arquivo/Salvar ou Salvar Como, Setar na opção [ Salvar como Tipo ] escolher: Todos os Arquivos - Ai... Digita-se o nome do arquivo como Host
Lembrando de salvar neste caminho que o Eduardo passou... e que repeti acima...
Espero ter ajudado!

[Thiago]

Uso o bloco de notas do windows mesmo.

Eu também usei o bloco de notas para editar o arquivo, mais ao salvar o arquivo host, lá na pasta
C:\WINDOWS\system32\drivers\etc aparece outro arquivo host, mais como um arquivo de texto simples do bloco de notas.

Qual a extensão de arquivo devo usar ao salvar o arquivo host?

No Windows 7 , no campo de pesquisa basta digitar o diretorio ja com o arquivo host incluso.

Código: Selecionar todos

C:\WINDOWS\system32\drivers\etc\hosts

Dae ao abrir você pode fazer a inserção das linhas acima citadas.
Use o NotePad++ , depois de editar basta clicar no botão salvar e pronto.
Abaixo segue uma lista enorme, porém eficiente também usada por aqui a tempos. Lembrando que essa lista é gerada pelo spyboot.
http://www.brazilfw.com.br/users/coidiloco/spyhosts.txt
No mais, indico que use acls no squid para fazer os bloqueios, assim você estará centralizando todo o processamento e administração dentro do firewall.
ps: Jansley, desculpas, postamos quase que juntos e eu quase te atropelei......rsrsrssrsr

[janesley]

ps: Jansley, desculpas, postamos quase que juntos e eu quase te atropelei......rsrsrssrsr

Que bom que estamos rapidos no gatilho,,, Digo.. no Teclado...
Bom saber que tem gente interresado em ajudar uns aos outros...

[efagaraz]

Bom dia,

A solução do Eduardo é bem prática, porém como você mesmo falou pode acarretar alguns riscos.

Tive necessidade muito parecida com a sua aqui na Empresa, então resolvi adotar o controle por grupos de acesso.

Implementei primeiramente com squid (100%) funcional, no entanto após um tempo acabei migrando para o Dansguardian (após estudo e conhecimento do funcionamento do mesmo).

Se você seguir as receitas de bolo dos links que vou colocar abaixo resolve teu problema. Pode dar um pouco de trabalho, mas a tua rede ficará bem mais segura e você terá a administração da mesma completamente nas tuas mãos. ALém de dar mais flexibilidade que é o que você precisa pois poderá controlar o acesso por grupos de usuários.

Quaisquer dúvidas posta aqui pra verificarmos.

Links:

http://www.brazilfw.com.br/forum/viewtopic.php?f=77&t=75402

http://www.brazilfw.com.br/forum/viewtopic.php?f=77&t=81740


Abraços!

Muito obrigado, irei ler o material indicado com atenção.

abs,