Bueno yo lo tengo implementado en mi red, claro yo no uso proxy transparente.
Como lo hice
En squid.conf
Siempre están estas líneas: acl SSL_ports port 443 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT method CONNECT
Luego de estas ACL están las reglas en si: # Deny requests to certain unsafe ports #http_access deny !Safe_ports http_access allow Safe_ports
# Deny CONNECT to other than secure SSL ports http_access deny CONNECT !SSL_ports
Bien el código que envié antes funciona perfectamente quedando de esta forma: --------------------------------------------------------------------------------------------------------- ##Por problemas de Dengacion de Redes Sociales se pasa a este nivel la denegacion de FB y demas acl redes-soc url_regex -i "/etc/squid/redes-soc" acl extenciones url_regex "/etc/squid/extenciones" http_reply_access deny redes-soc localnet http_access deny CONNECT redes-soc localnet http_access allow localnet
# Deny requests to certain unsafe ports #http_access deny !Safe_ports http_access allow Safe_ports
# Deny CONNECT to other than secure SSL ports http_access deny CONNECT !SSL_ports --------------------------------------------------------------------------------------------------------- Dentro de /etc/squid/redes-soc tengo facebook.com twitter.com hi5.com
Te puedo asegurar que funciona 100% con reclamos de los clientes incluidos al ser implementada la regla. Eso si y repito mi servidor no es un proxy transparente. Pero no tuve que hacer adsolutamente más nada en iptables o similares.
Ahh!!! Google, Yahoo y comapñias https entran super bien.
Saludos, David
El 6 de noviembre de 2013 19:58, Ignacio Ordeñana ifor1982@gmail.comescribió:
hola david no funciona ya la probe en su momento en proxy transparente
saludos
El 6 de noviembre de 2013 12:50, David González Romero dgrvedado@gmail.comescribió:
Esta es una opción 100% Squid, probada por mi y funciona super bien
http://servercomputing.blogspot.com/2012/01/block-facebook-in-squid-proxy-se...
Saludos, David
El 5 de noviembre de 2013 12:42, Ignacio Ordeñana <ifor1982@gmail.com
escribió:
te envio un link de una perosna que tuvo ese mismo problema
http://www.ecualug.org/?q=2011/02/10/forums/bloquear_https_de_facebook_en_ip...
saludos
El 5 de noviembre de 2013 09:32, angel jauregui darkdiabliyo@gmail.comescribió:
Se cumple la excepcion, y funcionaria no ?
El 5 de noviembre de 2013 09:25, Ignacio Ordeñana <
ifor1982@gmail.com
escribió:
a mi parecer esa regla de iptables no te funcionara ya que primero
la
estas
permitiendo el acceso a una ip en particular luego le quitas
acceso a
todo
el segmento de red incluyendo la ip que le permites acceso.
saludos
El 5 de noviembre de 2013 08:34, angel jauregui darkdiabliyo@gmail.comescribió:
@David asi tengo la denegacion tambien, pero si el usuario
cambia a
"https"
la pagina ya no es bloqueada, se brinca el filtro.
Esto mas que nada porque en IPTables la regla indica que
cualquier
cosa
que
va al 80 se rediriga al 3128 (puerto squid), y al cambiar a
HTTPS,
ya
no
se
aplica la regla.
Ahora no puedo quitar el puerto https y forzar solo http, ya que
existen
paginas de gobierno que requieren https, y se me vendria el mundo
encima
:S.
Estoy intentando con estas reglas, ustedes que opinan:
*# dar acceso a facebook para una ip fija* shell# iptables -A FORWARD -p tcp -s 10.1.0.10 -d
IP_CIDR_DEFACEBOOK
-j
ACCEPT
*# quitar acceso facebook para cualquiera del segmento* shell# iptables -A FORWARD -p tcp -s 10.1.0.0/24 -d
IP_CIDR_DEFACEBOOK
-j
REJECT
Saludos !
El 5 de noviembre de 2013 05:08, David González Romero dgrvedado@gmail.comescribió:
> Tu has probado esta opción en Squid? > > acl denys url_regex "/etc/squid/denys" > Donde > /etc/squid/denys contiene: > facebook > twitter > ..... > Y luego > http_access deny restric > > Al menos así me funciona a mi. > > > Otra opcion sería comentar la línea "acl SSL_ports port 443"
para
evitar
> conexiones por el 443... > > > > > Saludos, > David > > > > El 4 de noviembre de 2013 18:47, angel jauregui > darkdiabliyo@gmail.comescribió: > > > Buenas. > > > > Estoy implementando limitaciones en la red, el objetivo es
quitar
acceso > a > > Redes Sociales, en primera instancia tengo SQUID que logra
tapar
el
> acceso > > a los sitios mediante http. > > > > El problema es que si los sitios tienes HTTPS, este es
accesible....
> > > > En este caso http://facebook.com esta denegad por Squid. > > Pero al poner https://facebook.com entra exitosamente. > > > > La unica ocurrencia que tuve es usar IPTABLES, asi que puse
esta
regla
> que > > me esta haceindo cumplir el objetivo "En parte": > > > > iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range > > 173.252.64.0-173.252.127.255 -j REJECT > > > > Donde: 173.252.64.0-173.252.127.255 ---> es el rando CIDr de
facebook.
> > > > El problema *ahora radica* en que no logro hacer que ciertas
IPs
Locales > > (privilegiada - jefes) SI puedan acceder a redes sociales :S
!.
> > > > Intente ANTEponiendo esta regla: > > > > iptables -I FORWARD *-s ip_del_jefe *-m tcp -p tcp -m iprange --dst-range > > 173.252.64.0-173.252.127.255 -j ACCEPT > > > > Pero aun asi, se sigue bloqueando el sitio :S.... > > > > *shell# iptables -L -n* > > REJECT tcp -- 0.0.0.0/0 0.0.0.0/0
tcp
> > destination IP range 173.252.64.0-173.252.127.255 reject-with > > icmp-port-unreachable > > ACCEPT tcp -- 10.1.0.150 0.0.0.0/0
tcp
> > destination IP range 173.252.64.0-173.252.127.255 > > > > -- > > M.S.I. Angel Haniel Cantu Jauregui. > > > > Celular: (011-52-1)-899-871-17-22 > > E-Mail: angel.cantu@sie-group.net > > Web: http://www.sie-group.net/ > > Cd. Reynosa Tamaulipas. > > _______________________________________________ > > CentOS-es mailing list > > CentOS-es@centos.org > > http://lists.centos.org/mailman/listinfo/centos-es > > > _______________________________________________ > CentOS-es mailing list > CentOS-es@centos.org > http://lists.centos.org/mailman/listinfo/centos-es >
-- M.S.I. Angel Haniel Cantu Jauregui.
Celular: (011-52-1)-899-871-17-22 E-Mail: angel.cantu@sie-group.net Web: http://www.sie-group.net/ Cd. Reynosa Tamaulipas. _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
-- M.S.I. Angel Haniel Cantu Jauregui.
Celular: (011-52-1)-899-871-17-22 E-Mail: angel.cantu@sie-group.net Web: http://www.sie-group.net/ Cd. Reynosa Tamaulipas. _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es