@David voy hacer pruebas como me indicas.........
El 5 de noviembre de 2013 09:19, David González Romero dgrvedado@gmail.comescribió:
Hace un forward en el IPtables de que todo lo que vaya al 0/0 port 80, 443, 21, 20, etc... vaya al 3128...
Squid no necesita configuacion adicional para https lo soporta perfectamente bien. Tu puedes controlar los accesos por dominios, o por IP... escoge el que te guste.
Saludos, David
El 5 de noviembre de 2013 12:07, angel jauregui darkdiabliyo@gmail.comescribió:
mmm es qye hay varios listillos que se lo podrian brincar :S... existe la problematica que en esa red todos tienen acceso admin a sus propios equipos. Generalmente siempre estan conectados con una cuenta de usuario dentro del dominio local, pero a veces se logean con la cuenta admin.
Y como soy un prestador de servicios y no quieren invertir, la unica solucion es poner el proxy como GW.
Para prevenir retardos coloque en el proxy 2 tarjetas de red 1Gb en virtual, y configure el switch cisco como VLAN en los 2 puertos donde conecto el proxy.
Saludos !
El 5 de noviembre de 2013 08:52, Ramón Macías Zamora <rmacias@rks.ec
escribió:
Efectivamente el problema que tienes es porque está usando proxy transparente.
Si no usas proxy transparente si puedes controlarlo con las acl
normales,
sin embargo para que funcione el proxy debes configurar manualmente el proxy en los navegadores (En Firefox -> Preferencias -> Avanzado ->
red
->
Conexión dar click en Configurar -> Configuración Manual del Proxy
Saludos
--
Ramón Macías Zamora Tecnología, Investigación y Desarrollo www.rks.ec - www.raykasolutions.com Guayaquil - Ecuador msn: ramon_macias@hotmail.com skype: ramon_macias UserLinux# 180926 (http://counter.li.org) Cel: 593-8-0192238 Tel: 593 4 6044566
http://www.raykasolutions.com/
WEB SITES, HOSTINGS, DOMINIOS, MANTENIMIENTO DE EQUIPOS, REDES,
SERVIDORES
LINUX, SOPORTE.
2013/11/5 angel jauregui darkdiabliyo@gmail.com
@Ramon no entiendo cuando mencionas "forzar a que los usuarios
configuren
el proxy" ???
Los usuarios no tienen que configurar nada, ya que por consecuencia
el
GW
que se les asigna es el del proxy, el proxy en si actua como Proxy+Router+firewall.
No entendi :S
Saludos !
El 5 de noviembre de 2013 08:38, Ramón Macías Zamora <rmacias@rks.ec
escribió:
Yo creo que la solución ahí es forzar a que los usuarios configuren
el
proxy en vez de usar proxy transparente que sólo funciona para
http y
no
para https.
Saludos
--
Ramón Macías Zamora Tecnología, Investigación y Desarrollo www.rks.ec - www.raykasolutions.com Guayaquil - Ecuador msn: ramon_macias@hotmail.com skype: ramon_macias UserLinux# 180926 (http://counter.li.org) Cel: 593-8-0192238 Tel: 593 4 6044566
http://www.raykasolutions.com/
WEB SITES, HOSTINGS, DOMINIOS, MANTENIMIENTO DE EQUIPOS, REDES,
SERVIDORES
LINUX, SOPORTE.
2013/11/5 angel jauregui darkdiabliyo@gmail.com
@David asi tengo la denegacion tambien, pero si el usuario
cambia a
"https"
la pagina ya no es bloqueada, se brinca el filtro.
Esto mas que nada porque en IPTables la regla indica que
cualquier
cosa
que
va al 80 se rediriga al 3128 (puerto squid), y al cambiar a
HTTPS,
ya
no
se
aplica la regla.
Ahora no puedo quitar el puerto https y forzar solo http, ya que
existen
paginas de gobierno que requieren https, y se me vendria el mundo
encima
:S.
Estoy intentando con estas reglas, ustedes que opinan:
*# dar acceso a facebook para una ip fija* shell# iptables -A FORWARD -p tcp -s 10.1.0.10 -d
IP_CIDR_DEFACEBOOK
-j
ACCEPT
*# quitar acceso facebook para cualquiera del segmento* shell# iptables -A FORWARD -p tcp -s 10.1.0.0/24 -d
IP_CIDR_DEFACEBOOK
-j
REJECT
Saludos !
El 5 de noviembre de 2013 05:08, David González Romero dgrvedado@gmail.comescribió:
> Tu has probado esta opción en Squid? > > acl denys url_regex "/etc/squid/denys" > Donde > /etc/squid/denys contiene: > facebook > twitter > ..... > Y luego > http_access deny restric > > Al menos así me funciona a mi. > > > Otra opcion sería comentar la línea "acl SSL_ports port 443"
para
evitar
> conexiones por el 443... > > > > > Saludos, > David > > > > El 4 de noviembre de 2013 18:47, angel jauregui > darkdiabliyo@gmail.comescribió: > > > Buenas. > > > > Estoy implementando limitaciones en la red, el objetivo es
quitar
acceso > a > > Redes Sociales, en primera instancia tengo SQUID que logra
tapar
el
> acceso > > a los sitios mediante http. > > > > El problema es que si los sitios tienes HTTPS, este es
accesible....
> > > > En este caso http://facebook.com esta denegad por Squid. > > Pero al poner https://facebook.com entra exitosamente. > > > > La unica ocurrencia que tuve es usar IPTABLES, asi que puse
esta
regla
> que > > me esta haceindo cumplir el objetivo "En parte": > > > > iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range > > 173.252.64.0-173.252.127.255 -j REJECT > > > > Donde: 173.252.64.0-173.252.127.255 ---> es el rando CIDr de
facebook.
> > > > El problema *ahora radica* en que no logro hacer que ciertas
IPs
Locales > > (privilegiada - jefes) SI puedan acceder a redes sociales :S
!.
> > > > Intente ANTEponiendo esta regla: > > > > iptables -I FORWARD *-s ip_del_jefe *-m tcp -p tcp -m iprange --dst-range > > 173.252.64.0-173.252.127.255 -j ACCEPT > > > > Pero aun asi, se sigue bloqueando el sitio :S.... > > > > *shell# iptables -L -n* > > REJECT tcp -- 0.0.0.0/0 0.0.0.0/0
tcp
> > destination IP range 173.252.64.0-173.252.127.255 reject-with > > icmp-port-unreachable > > ACCEPT tcp -- 10.1.0.150 0.0.0.0/0
tcp
> > destination IP range 173.252.64.0-173.252.127.255 > > > > -- > > M.S.I. Angel Haniel Cantu Jauregui. > > > > Celular: (011-52-1)-899-871-17-22 > > E-Mail: angel.cantu@sie-group.net > > Web: http://www.sie-group.net/ > > Cd. Reynosa Tamaulipas. > > _______________________________________________ > > CentOS-es mailing list > > CentOS-es@centos.org > > http://lists.centos.org/mailman/listinfo/centos-es > > > _______________________________________________ > CentOS-es mailing list > CentOS-es@centos.org > http://lists.centos.org/mailman/listinfo/centos-es >
-- M.S.I. Angel Haniel Cantu Jauregui.
Celular: (011-52-1)-899-871-17-22 E-Mail: angel.cantu@sie-group.net Web: http://www.sie-group.net/ Cd. Reynosa Tamaulipas. _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
-- M.S.I. Angel Haniel Cantu Jauregui.
Celular: (011-52-1)-899-871-17-22 E-Mail: angel.cantu@sie-group.net Web: http://www.sie-group.net/ Cd. Reynosa Tamaulipas. _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
-- M.S.I. Angel Haniel Cantu Jauregui.
Celular: (011-52-1)-899-871-17-22 E-Mail: angel.cantu@sie-group.net Web: http://www.sie-group.net/ Cd. Reynosa Tamaulipas. _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es