Bloquando Gtalk(Desktop) e GTalk(Gmail) no iptables e squid (transparente)
Colaboração: Danilo Moacir do Nascimento Clemente
Data de Publicação: 17 de Setembro de 2007
Suponho que você já tenha instalado o squid e que o iptables já redireciona toda a saída da porta 80 para o squid (proxy transparente) recomendo: http://br.geocities.com/cesarakg/transparent-squid.html
* Bloqueando o gtalk no squid *
- Crie o arquivo /etc/squid/regras/url_gtalk.txt com o conteúdo:
chatenabled\.mail\.google\.com mail\.google\.com\/mail\/channel\/bind talk\.google\.com talkx\.l\.google\.com
- No arquivo squid.conf adicione as linhas abaixo para o bloqueio:
acl url_gtalk url_regex -i "/etc/squid/regras/url_gtalk.txt" http_access deny url_gtalk all
* Bloqueando o gtlak no iptables * Na minha empresa temos máquinas sem proxy configurado (transparente) e máquinas com o proxy configurado. Um dos problemas de proxy transparente é que o mesmo não funciona com SSL (https) e temos que liberar a saída de qualquer trafego https no firewall. Se somente o bloqueio criado acima for configurado o usuário ainda conseguiria acessar o gtalk no gmail através de https://gmail.com (repare no S do httpS) caso utilize proxy transparente (com proxy configurado o problema não ocorre) ou através da aplicação GTalk (Cliente gtalk desktop) pois o mesmo utiliza https. - Execute os comandos ou adicione na script do seu iptables os comandos
abaixo(antes de liberar a porta 443 para todos os sites se for o seu caso):
IPTABLES -A FORWARD -d talk.l.google.com -p tcp --dport 443 -j DROP IPTABLES -A FORWARD -d chatenabled.mail.google.com -p tcp --dport 443 -j DROP IPTABLES -A FORWARD -d talk.google.com -p tcp --dport 443 -j DROP IPTABLES -A FORWARD -d talkx.l.google.com -p tcp --dport 443 -j DROP
* Liberando algumas máquinas para acessar *
Como em qualquer empresa sempre há exceções, creio que o seu caso não seja diferente. Para liberar nosso chefe do bloqueio:
- Crie o arquivo /etc/squid/regras/ip_gtalk_liberado.txt com os ips (um em cada linha) das máquinas que poderão acessar o gtalk. ex.:
192.168.1.9 192.168.1.10
- No arquivo squid.conf crie a acl:
acl ip_gtalk_liberado src "/etc/squid/regras/ip_gtalk_liberado.txt"
- No arquivo squid.conf antes da linha "http_access deny url_gtalk all" crie:
http_access allow ip_gtalk_liberado url_gtalk
- Configure o proxy no gtalk desktop