bloqueio de sites

ndice
1 BLOQUEIO DE SITES .................................................................................. 3
1.1 BLOQUIEO DE SITES ..................................................................................... 4
1.1.1 Elementos do processo ..................................................................... 4
1.1.1.1

Inicio ..................................................................................... 4

1.1.1.2

Analise das Infomaes ............................................................ 4

1.1.1.3

As informaes esto Ok? ........................................................ 4

1.1.1.4

Solicita Informaes Adicionais ................................................ 4

1.1.1.5

Acesso a Console de Gerenciamento ......................................... 4

1.1.1.6

O bloqueio deve ser por firewall ou site? .................................... 8

1.1.1.7

Aes no Firewall .................................................................... 9

1.1.1.8

Aes no Filtro de Sites .......................................................... 12

1.1.1.9

Teste do Bloqueio .................................................................. 15

1.1.1.10

O Bloqueio Funcionou? ........................................................ 15

1.1.1.11

Finaliza ............................................................................. 15

1 BLOQUEIO DE SITES
Verso: 1.0
Autor: Elcio Luiz Pagani Bortolin
Descrio

Objetivo Geral
Facilitar qualquer dos tcnicos da Netwise Solutions a executar o bloqueio de sites
atravs da interface Wisecontrol instalada em qualquer dos servidores de internet
instalados pela Netwise.
Objetivo Especfico
Bloquear o site ou sites solicitados pelo cliente.

Escopo
O procedimento de bloqueio de site ou sites para ser executado, faz com que o tcnico tenha em
mos algumas informaes bsicas. Entre elas, o endereo FQDN do site ou o endereo IP, se o
bloqueio para todos, para algum usurio, para um ip especfico, e ou, para um grupo de usurios
ou blocos de IP. Para que o bloqueio entre em vigor, ser necessrio aplicar as alteraes. O ato
de aplicar alteraes far com que o filtro recarregue as listas novamente.

12/2/2012

1.1 BLOQUIEO DE SITES

1.1.1 ELEMENTOS DO PROCESSO

1.1.1.1

Inicio

Descrio
Inicia o processo de bloqueio levando em considerao o Cliente que solicitou e, qual o endereo o cliente pretende que seja
bloqueado.

1.1.1.2

Analise das Infomaes

Descrio
O Tcnico antes de proceder o bloqueio deve possuir as seguintes informaes:
1 - O bloqueio foi solicitado pelo responsvel no cliente?
2 - O cliente passou todas as informaes necessrias ao bloqueio?

1.1.1.3

As informaes esto Ok?

Descrio
A pessoa que solicitou o bloqueio no cliente autorizado a a fazer este tipo de solicitao?
O endereo do site a ser bloqueado foi informado?
O cliente informou o tipo de bloqueio a ser feito? Se por IP, por usurio, por grupo ou por bloco de rede ou bloqueio
total?

Portes
Sim
Tipo de Condio
Padro
No

1.1.1.4

Solicita Informaes Adicionais

Descrio
Quando qualquer das informaes for considerada insuficiente, o Tcnico deve solicitar ao cliente todos os dados
necessrios para dar processeguimento ao bloqueio.

1.1.1.5

Acesso a Console de Gerenciamento

Descrio

12/2/201 2

Em todo servidor de controle de internet instaldo pela Netwise est instalado o Webmin com os modulos de bloqueio
desenvolvidos pela Netwise. O Webmin um Gerenciador web destinado a ao gerenciamento de servidores Linux.
Pensando em facilitar para o cliente, a Netwise desenvolveu alguns mdulos especficos para isso. Entre eles o modulo
wisecontrol destinado a gerenciar o bloqueio de sites, firewall e diviso de links.
Por padro, o acesso a interface de gerenciamento se da atravs do seguinte endereo:
http://ipdoservidor:22000
Nos casos onde o cliente no possui um IP vlido, o acesso ao servidor pode ocorrer acessado-se uma maquina da rede
interna do cliente atravs de um aplicativo de acesso remoto como o Ammyy Admin. Para depois acessar o endereo acima.
Na tela de login abaixo, informe o usurio e senha de acesso a interface de gerenciamento. Normalmente, salvo quando o
cliente solicitar, a interface de gerenciamento ter um usurio se senha padro conforme abaixo:
usurio: Admin
senha: Admin

Tela de Login

Tela Principal

Acessando o gerenciador de Bloqueio e Firewall - Wisecontrol

Para acessar o Wisecontrol, clique no icone wisecontrol.

Icone Wisecontrol

Tela Principal do Wisecontrol

12/2/201 2

Ao clicar no icone wisecontrol, este, vai dar acesso a tela principal de gerenciamento conforme abaixo:

Tela Principal do Wisecontrol

Descrio da tela Principal do Wisecontrol

A tela principal do Wisecontrol dividida em duas partes principais:
1) Gerenciamento do firewall
A parte correspondente ao gerenciamento do firewall est composta dos seguintes tens:
Editar configurao do firewall
Tem por finalidade bsica dar acesso as configuraes mnimas exigidas para o funcionamento do firewall.
Portas TCP Mascaradas
Permite que qualquer usurio da rede interna tenha acesso aos endereos de destino atravs do nmero da porta
TCP mascarada.
Portas UDP Mascaradas
Permite que qualquer usurio da rede interna tenha acesso aos endereos de destino atravs do nmero da porta
UDP mascarada.
IPs com Forwards Permitidos
Permite ao usuario da rede interna que utilize o endereo IP fazer encaminhamento para acesso a internet. Quando
o forward de IP ativado necessrio que todos os IPs da rede sejam adicionados para que tenham acesso a
internet. Caso algum IP no seja adicionado, este ficar sem acesso a internet. Os IPs devem ser adiconados um (01)
por linha. Pode-se tambm adicionar o endereo IP atrelado ao seu endereo fsico MAC. Ao utilizar o MAC, evita
que o usurio troque o endereo IP da estao para se beneficiar de algum privilgio de acesso de outro usurio.
IPs com Forwards Bloqueados
Permite bloquear o IP do usurio para que este no consiga ter acesso a qualquer recurso da internet. Entretanto, se
o usurio estiver com proxy configurado no navegador, este poder ter acesso a internet com as retries aplicadas
ao IP ou ao grupo.
IPs Internos Mascarados
Qualquer endereo IP adicionado aqui, ter livre acesso a internet sem qualquer restrio de portas.
Mascaramento por Destino

12/2/201 2

No mascaramento por destino feito baseando se em qual endereo os usurios tero acesso. Quando se adiciona
um destino, todos os usrios da rede interna que no estejam com proxy configurado tero acesso a este. muito
til quando precisa-se dar acesso a algum aplicativo que no aceita ou no tem como configurar o proxy
manualmente.
Redirecionamento de Portas
Permite que as portas TCP ou UDP do protocolo IP sejam direcionadas para algum endereo IP das estaes da rede
interna.
IPs com Source NAT
Fora qualquer endereo IP da rede interna saia para a internet com o IP vlido informado.
Portas de Entrada Permitidas
Permite que o servidor aceite conexes nas portas informadas observando se que possvel controlar a origem da
conexo permitida.
2) Gerenciamento do filtro de acesso a sites
O Gerenciamento do filtro de acesso a sites composto de vrios icones; porem alguns no so relevantes ao bloqueio.
Sendo necessrio seu uso apenas quando da configurao inicial. Por isso desaconselhamos a sua utilizao salvo quando se
sabe o que alterar.
Entretanto existem alguns icones exclusivos para acesso a configuraes de bloqueio que so frequente alteradas conforme
a necessidade de acesso permitida aos usurios. Estes icones esto listados abaixo:
Espaos de tempo
Permite determinar espaos de tempo que o os usurios ou usurio tenha acesso total, restrito ou bloqueado.
Grupos de origem
Permite determiar IP, bloco de IP, rede ou nome de usurio a partir do qual sero aplicadas as restries de acesso.
Aqui pode-se criar grupo ou adicionar as estaes ou usurios individualmente.
Grupos de destino
Aqui sero criados grupos baseados no destino do acesso. Todo grupo criado aqui estar disponivel nas regras de
controle de acesso com ordem de precedncia em relao as regras padro (any ou none). Quando listadas com o
ponto de exclamao (!) antecedendo o nome do grupo este estar bloquendo; apenas o nome do grupo estar
liberando.
Regras de controle de acesso
Permite liberar ou bloquear cada usuario ou grupo de usurios cadastrados em Grupos de origem levando sempre
em considerao os grupos de destino que ele ter permisso de acesso ou bloqueio conforme a ordem de
precedencia descrita em Grupos de destino com apo de bloquear utilzando a lista negra (lista exisitente na
internet com inmeros sites (no muto util)).
Listas Negras
Lista existente de domnio pblico com inmeros sites separados por categoria. Entretanto, para uso no brasil no
muito produtiva.
Whitelist
Todo endereo IP ou site informado aqui no ir sofre nenhuma restrio de acesso pelo filtro a nenhum usurio da
rede interna.
Blacklist do proxy
O endereo IP ou site adicionado aqui ser bloqueado para todos os usurios da rede interna independende do
grupo a que ele pertena.
Aps promover qualquer alterao necessrio que estas sejam aplicadas para que entrem em vigor.

12/2/201 2

1.1.1.6

O bloqueio deve ser por firewall ou site?

Descrio
Se o bloqueio deve ser feito no firewall, veja na sesso gerenciamento do firewal as opes diponveis. Entretando se o
bloqueio for para site, escolha uma das opes pertinentes da sesso Gerenciamento do filtro de acesso a sites.

Sesso Gerenciamento do Firewall

Descrio das Funes do Firewall

Utilize esta sesso nas seguintes situaes:
O IP interno no deve passar pelo proxy;
Uma ou mais portas de sada devem estar liberadas como as portas de acesso servidores de email; Controlar para que um IP da rede interna no seja alterado para um dos endereos de IP
liberados; Redirecionar portas TCP ou UDP para alguma mquina da rede interna;
Forar algum endereo IP da rede interna sair sempre com o mesmo IP da rede da internet;
Bloquear um ou mais IPs da rede interna ter qualquer acesso a internet exceto o que esteja liberado no
proxy; Liberar IPs da rede interna a ter acesso mesmo sem proxy a determinados endereos na internet.

Sesso Gerenciamento do Filtro de Acesso a Sites

Descrio das funes do Filtro

Nesta sesso ser controlado os sites que podem ou no ser acessados. Este controle pode ser feito por origem, destino ou
por ambos. Todo usurio da rede interna deve obrigatriamente estar em um grupo de origem e, opcionalmente pode ter
um grupo de destino. Entretanto, obrigatoriamente o grupo de origem deve estar incluso nas regras de controle de acesso.
Como o filtro permite que os usurios estejam dispostos no grupo de origem por IP, bloco de rede, Rede ou nome de
usurio, podemos encontrar o filtro configurado de duas maneiras distintas. Uma das maneiras por IP, rede ou bloco de
rede. A segunda maneira por nome de usurio. Numca vamos encontras as duas configuraes juntas, uma exclui a outra.
Utilize esta sesso nas seguintes situaes:
Separar os usarios em grupos (por IP ou nome);

12/2/201 2

Filtrar os sites que podem ou no serem acessados;

Criar grupos de sites que podem ser acessados e ou que devem ser bloqueados;
Liberar sites para todos da rede interna independente do grupo atravs da whitelist;
Bloquear sites para todos da rede interna que utilizam o proxy independente do grupo atravs da blacklist do proxy.

1.1.1.7

Aes no Firewall

Descrio
Todas as configuraes de acesso pertinentes ao firewall devem ser efetuadas aqui.

Acessando o gerenciador de Bloqueio e Firewall - Wisecontrol

Tela Principal do Wisecontrol

Descrio da tela Principal do Wisecontrol

Mascarando Portas TCP e UDP

Procedimento de Mascaramento das Portas TCP e UDP

Para criar o mascaramento de portas TCP ou UDP, clique no cone correspondente. No campo de edio de portas, adicione
uma porta por linha ou, apague a porta existente em caso de desejar bloquear (ao apagar, no deixe linhas em branco).
Observe o exemplo ao lado do campo de edio.
Quando a insero ou remoo estiver concluida, clique no boto salvar.

Permitindo Forwards s dos IPs Cadastrados

Procedimento para Permitir Forwards Somente dos IPs Casdastrados

O IP FORWARD um tipo de roteamento. estabelecido quando colocamos uma mquina entre dois ou mais segmentos de
rede (rede interna e internet), permitindo a livre passagem de pacotes entre estes sempre que for necessrio.
Para habilitar o controle de Forwards de IP, clique no icone IPs com Forwards Permitidos. Vai exibir o campo de edio.
Ao cadastrar os IPs aqui, tenha em mente que deve ser feito para todos os IPs da rede interna. Caso algum IP no seja
includo, este, ficar sem acesso adequado a internet.
Quando for fazer o cadastro, inclua um ip por linha conforme o exemplo abaixo:

12/2/201 2

Exemplo
192.168.1.1
ou

192.168.0.143-00:1d:7d:86:42:92
Se optar por usar o MAC atrelado ao endereo IP, utilize para todos; no apenas para alguns.

IPs com Forwards Bloqueados

Procedimento para Bloquear Forwards

Para utilizar este procedimento, o procedimento de Forwards permitidos no deve estar ativo.
Para iniciar o procedimento, clique no icone IPs com Forwards Bloqueados. O campo de edio vai ser
exibido. Para cadastradar, adicione um IP por linha conforme o exemplo abaixo.
Exemplo
192.168.0.1
192.168.0.20
Quando for remover do bloqueio, apague a linha correspondente e no deixe espaos em
branco. Quando a operao de insero ou remoo for concluida, clique no boto salvar.

Macarar IPs da Rede Interna

Procedimento para Mascarar IPs da Rede Interna

Para mascarar IPs da rede Interna, clique no icone IPs internos Mascarados. O Campo de edio vai ser exibido. Adicione um
IP ou Rede por linha conforme o exemplo abaixo:
Exemplo
192.168.0.10
192.168.0.20
192.168.1.0/24
192.168.50.0/30
Quando adicionar uma rede, nao esquea de adicionar o nmero de bits corresponde a faixa da
rede. 255.255.255.0 = /24 255.255.255.252 = /30
s55.255.255.248 = /29
255.255.255.240 = /28

12/2/201 2

10

255.255.255.224 = /27
255.255.255.128 = /26

Para excluir um IP ou Rede do mascaramento, basta apagar a linha correspondente.

Ao concluir a operao de insero ou remoo, clique no boto salvar.

Mascaramento por Destino

Procedimento para Mascaramento por Destino

Quando desejar dar permisso de acesso a todos os usurios da rede interna especificamente para um ou mais destinos
independente do uso de proxy ou, para aplicaes que no suportam proxy. Adicione um endereo IP ou FQDN por linha
conforme o exemplo abaixo.
Exemplo
200.181.90.99
www.google.com.br
Adicione os endereos sem deixar linhas em branco.
Para bloquear, um endereo liberado, remova a linha correspondente.
Quando terminar a insero ou remoo, clique no boto salvar.

Redirecionamento de Portas

Procedimento para Redirecionamento de Portas

Consiste em modificar o endereo de destino das mquinas clientes. O destination nat muito usado para direcionar o
trafgo destinado a uma ou mais portas no servidor para qualquer maquina ou servidor na rede interna.
Para acessar esse procedimento, clique no icone redirecionamento de portas. No camo de edio adicione um
redirecionamento por linha conforme o exmplo abaixo:
Informe um endereo IP da rede interna com a respectiva porta de destino observando a seguinte sintaxe: ipserverporta_server-ip_origem-protocolo-ip_interno-porta_dest
O protocolo dever ser TCP ou UDP
Exemplo
187.109.97.114-3389-0/0-TCP-192.168.10.94-3389
Todo trfego destinado ao IP 187.109.97.114 na porta 3389, ser redirecionada para a porta 3389 do endereo IP
192.168.0.94.

IPs com Source NAT

12/2/201 2

11

Procedimento para Habilitar IPs com Source NAT

SNAT (source nat - nat no endereo de origem) consiste em modificar o endereo de origem das mquinas clientes antes
dos pacotes serem enviados. A mquina roteadora inteligente o bastante para lembrar dos pacotes modificados e
reescrever os endereos assim que obter a resposta da mquina de destino, direcionando os pacotes ao destino correto.
Para acessar este procedimento, clique no boto IPs com Source NAT.
Informe um endereo IP da rede interna com o respectivo IP de saida juntamente com a interface de sada, observando a
seguinte sintaxe: ipinterno-ipsaida-interfacesaida
Exemplo
192.168.10.253-187.109.110.18-eth0
Para excluir, remova a linha correspondente.
Aps efetuada a operao, clique no boto salvar.

Portas de Entrada Permitidas

Procedimento para Portas de Entradas Permitidas

Todas as portas inseridas neste procedimento esto liberadas no servidor. Isto , podem ser acessadas conforme a permisso
da origem da conexo. Esta permisso poder ter uma origem especfica ou, de qualquer lugar conforme a inteno de
liberao. Para acessar, clique no icone Portas de Entrada Permitidas.
Informe o protocolo, a porta e o endereo IP de origem, observando a seguinte sintaxe: protocolo-porta-iporigem. Onde:
Protocolo = TCP ou UDP
porta = Um nmero entre 0 e 66535. Este nmero corresponde a um servio determinado.
Origem = Endereo de onde vai se permitir a conexo.
Exemplo
TCP-3389-0/0
UDP-5000-200.125.10.20
Para bloquear, exclua a linha correspondente.
Ao concluir a operao, clique no boto salvar.

1.1.1.8

Aes no Filtro de Sites

Descrio
Todo procedimento de bloqueio de site deve ser efetuado nesta sesso. O bloqueio baseia-se em Grupos de origem,
grupos de destino, blacklist do proxy e em whitelist.

12/2/201 2

12

Grupos de Origem

Procedimento para os Grupos de Origem

Os grupos de origem defenem todos os clientes da rede interna. Podem ser adicionados um a um por IP ou Nome ou todos
em um nico grupo. Quando adicionados por nome, o proxy precisa ser autenticado. Para acessar este procedimento clique
no icone Grupos de Origem.
Ao acessar grupos de origem, escolha o grupo correspondente faa o procedimento conforme as alteraes desejadas.
Obrigatriamente, para o usurio da rede interna ter acesso a navegao precisa estar cadastrado em um grupo de origem.

Grupos de Destino

Procedimento para Grupos de Destino

Os grupos de destino definem grupos de um ou mais sites onde o usurio ter acesso ou vai ser bloqueado. Podem existir
vrios grupos de destino onde o usurio ter a opo de acerssar ou ser bloqueado por cada grupo. Em grupos de destino
so inseridos apenas endereos de destino (endereo completo do site ou o endereo IP do site).
Exemplo
Adicionar o endereo http://www.google.com.br
No grupo de destino correspondente em Add Domain, adicione apenas google.com.br.
As demais partes integrantes do endereo (http:// e www.) no devem jamais serem usadas no que diz respeito ao dominio.
Quando se usa o grupo para bloquear, todo dominio dentro do grupo estar bloqueado. Quando se usa o grupo para
liberar, todo dominio dentro do grupo vai estar liberado.

Regras de Controle de Acesso

Procedimento para Regras de Controle de Acesso

Em regras de controle de acesso vamos utilizar os grupos criados em grupo de origem e os grupos criados em grupos de
destino. aqui que definimos o tipo de acesso de cada grupo de origem. Todos os grupos de origem devem ser adicionados
aqui um a um quando no estiverem. Os grupos de origem vo estar disponveis para adio na caixa top down ao lado do
boto Adicionar Item ACL. Selecione o grupo e clique no boto Adicionar Item ACL. Tome cuidado para no duplicar a
entrada.
Uma vez adicionados, clique no grupo correspondente e aplique as permisses desejadas.

12/2/201 2

13

Na caixa Destination Groups vo estar todos os grupos de destino definidos em grupos de destino mais dois existente por
padro (none e any).
none = Bloqueia tudo
any = libera tudo.
Os Gupos de destino vo aparecer duplicados. Um entrada com o nome normal e outra com uma ! precedendo o nome do
grupo. A ! exclamao nega o acesso ao contedo do grupo, o outro libera.
Exemplo (para o grupo de destino financeiro)
financeiro
!financeiro
any
none
Para bloquear apenas o contedo do grupo de destino financeiro, selecione !financeiro e any.
Para liberar apenas o contedo do grupo financeiro, selecione financeiro e none.

Whitelist

Procedimento para Whitelist

Aqui dever ser adicionado os endereos dos sites que estaro liberados para todos independente do grupo a que o usurio
pertena. O endereo estando adicionado aqui todos tero acesso. Para o correto funcionamento siga rigorosamente a
sintaxe do exemplo abaixo:
Exemplo
Deixar o site www.google.com.br em whitelist.
Adicionamos o site da seguinte maneira:
.google.com.br
O ponto precedido do site indica que todo e qualque CNAME antes do .google.com.br ser permido. Isso quer dizer que
qualquer endereo dentro do dominio google.com.br estar liberado.
Pode se adicionar o endereo IP. Porm somente o acesso ao IP adicionado ser liberado.
Jamais use o conforme abaixo:
.microsoft.com
.download.microsoft.com
Estas entradas entraro em conflito pois, .download.microsoft.com esta dentro do dominio .microsoft.com.

Blacklist do Proxy

Procedimento para Blacklist do Proxy

12/2/201 2

14

O fucionamento da blacllist o contrario da whitelist. Todo site adicionado aqui vai estar bloqueado para todos da rede
interna independente do proxy.
Veja o exemplo abaixo:
Adicione um site ou endereo IP por linha
Exemplo
site.com.br
Ou por IP
192.168.0.20

1.1.1.9

Teste do Bloqueio

Descrio
Ao terminar as alteraes desejadas, estas ainda no esto ativas. Para ativar qualquer alterao efetuada clique em Aplicar
Alteraes.
Aps aplicar as alteraes, teste se tudo est funcionando confome o esperado. No estando de acordo, volte ao incio e
reveja o que foi alterado.

Aplicando as Alteraes

1.1.1.10

O Bloqueio Funcionou?

Portes
Sim
Porto

1.1.1.11

12/2/201 2

Finaliza

15