@David pero como atiendo el HTTPS ?... si mando las peticiones del 443 al 3128 no se consibe el certificado :S... Digo, porque hay IPs Fijas que si pueden navegar libremente.
No he configurado nunca Squid para https, solo http.
Saludos !
El 5 de noviembre de 2013 08:45, David González Romero dgrvedado@gmail.comescribió:
O lo otro es denegar por dominio
acl fb_cia dts_domain "/etc/squid/domains" Y en domains facebook.com twitter.com .....
El 5 de noviembre de 2013 11:38, Ramón Macías Zamora <rmacias@rks.ec
escribió:
Yo creo que la solución ahí es forzar a que los usuarios configuren el proxy en vez de usar proxy transparente que sólo funciona para http y no para https.
Saludos
--
Ramón Macías Zamora Tecnología, Investigación y Desarrollo www.rks.ec - www.raykasolutions.com Guayaquil - Ecuador msn: ramon_macias@hotmail.com skype: ramon_macias UserLinux# 180926 (http://counter.li.org) Cel: 593-8-0192238 Tel: 593 4 6044566
http://www.raykasolutions.com/
WEB SITES, HOSTINGS, DOMINIOS, MANTENIMIENTO DE EQUIPOS, REDES,
SERVIDORES
LINUX, SOPORTE.
2013/11/5 angel jauregui darkdiabliyo@gmail.com
@David asi tengo la denegacion tambien, pero si el usuario cambia a
"https"
la pagina ya no es bloqueada, se brinca el filtro.
Esto mas que nada porque en IPTables la regla indica que cualquier cosa
que
va al 80 se rediriga al 3128 (puerto squid), y al cambiar a HTTPS, ya
no
se
aplica la regla.
Ahora no puedo quitar el puerto https y forzar solo http, ya que
existen
paginas de gobierno que requieren https, y se me vendria el mundo
encima
:S.
Estoy intentando con estas reglas, ustedes que opinan:
*# dar acceso a facebook para una ip fija* shell# iptables -A FORWARD -p tcp -s 10.1.0.10 -d IP_CIDR_DEFACEBOOK
-j
ACCEPT
*# quitar acceso facebook para cualquiera del segmento* shell# iptables -A FORWARD -p tcp -s 10.1.0.0/24 -d IP_CIDR_DEFACEBOOK
-j
REJECT
Saludos !
El 5 de noviembre de 2013 05:08, David González Romero dgrvedado@gmail.comescribió:
Tu has probado esta opción en Squid?
acl denys url_regex "/etc/squid/denys" Donde /etc/squid/denys contiene: facebook twitter ..... Y luego http_access deny restric
Al menos así me funciona a mi.
Otra opcion sería comentar la línea "acl SSL_ports port 443" para
evitar
conexiones por el 443...
Saludos, David
El 4 de noviembre de 2013 18:47, angel jauregui darkdiabliyo@gmail.comescribió:
Buenas.
Estoy implementando limitaciones en la red, el objetivo es quitar
acceso
a
Redes Sociales, en primera instancia tengo SQUID que logra tapar el
acceso
a los sitios mediante http.
El problema es que si los sitios tienes HTTPS, este es
accesible....
En este caso http://facebook.com esta denegad por Squid. Pero al poner https://facebook.com entra exitosamente.
La unica ocurrencia que tuve es usar IPTABLES, asi que puse esta
regla
que
me esta haceindo cumplir el objetivo "En parte":
iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range 173.252.64.0-173.252.127.255 -j REJECT
Donde: 173.252.64.0-173.252.127.255 ---> es el rando CIDr de
facebook.
El problema *ahora radica* en que no logro hacer que ciertas IPs
Locales
(privilegiada - jefes) SI puedan acceder a redes sociales :S !.
Intente ANTEponiendo esta regla:
iptables -I FORWARD *-s ip_del_jefe *-m tcp -p tcp -m iprange
--dst-range
173.252.64.0-173.252.127.255 -j ACCEPT
Pero aun asi, se sigue bloqueando el sitio :S....
*shell# iptables -L -n* REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp destination IP range 173.252.64.0-173.252.127.255 reject-with icmp-port-unreachable ACCEPT tcp -- 10.1.0.150 0.0.0.0/0 tcp destination IP range 173.252.64.0-173.252.127.255
-- M.S.I. Angel Haniel Cantu Jauregui.
Celular: (011-52-1)-899-871-17-22 E-Mail: angel.cantu@sie-group.net Web: http://www.sie-group.net/ Cd. Reynosa Tamaulipas. _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
-- M.S.I. Angel Haniel Cantu Jauregui.
Celular: (011-52-1)-899-871-17-22 E-Mail: angel.cantu@sie-group.net Web: http://www.sie-group.net/ Cd. Reynosa Tamaulipas. _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es