Bueno yo estaba respondiendo a la negativa de Ignacio con relacion al codigo que envie que es puramente en Squid.
Saludos, David
El 15 de noviembre de 2013 21:12, César Martinez < cmartinez@servicomecuador.com> escribió:
Yo crería que solucionaron este problema con lo que le envié a pesar que no hemos recibido un agradecimiento, tampoco se ha comentado que continua con el problema
Cordialmente
César Martínez Mora Ingeniero de Sistemas SERVICOM User Linux 494131
Números Convencionales 02-2554-271 02-2221-386 Extensión 4501 Móvil 09-99374-317 Usa (315) 519-7220 Email & Msn cmartinez@servicomecuador.com Skype servicomecuador Web www.servicomecuador.com Síguenos en Twitter: http://twitter.com/servicomecuador Facebook: http://www.facebook.com/servicomec Zona Clientes: www.servicomecuador.com/billing Blog: http://servicomecuador.com/blog
Dir. Av. 10 de Agosto N29-140 Entre Acuña y Cuero y Caicedo Edificio Vivanco Castillo 2do. Piso Oficina 201 Quito - Ecuador - Sudamérica
=================================================
Cláusula de Confidencialidad La información contenida en este e-mail es confidencial y solo puede ser utilizada por la persona a la cual esta dirigida.Si Usted no es el receptor autorizado, cualquier retención, difusión, distribución o copia de este mensaje es prohibida y sancionada por la ley. Si por error recibe este mensaje, por favor reenviarlo al remitente y borre el mensaje recibido inmediatamente. =================================================
El 15/11/13 19:08, David González Romero escribió:
Bueno yo lo tengo implementado en mi red, claro yo no uso proxy transparente.
Como lo hice
En squid.conf
Siempre están estas líneas: acl SSL_ports port 443 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT method CONNECT
Luego de estas ACL están las reglas en si: # Deny requests to certain unsafe ports #http_access deny !Safe_ports http_access allow Safe_ports
# Deny CONNECT to other than secure SSL ports http_access deny CONNECT !SSL_ports
Bien el código que envié antes funciona perfectamente quedando de esta forma:
##Por problemas de Dengacion de Redes Sociales se pasa a este nivel la denegacion de FB y demas acl redes-soc url_regex -i "/etc/squid/redes-soc" acl extenciones url_regex "/etc/squid/extenciones" http_reply_access deny redes-soc localnet http_access deny CONNECT redes-soc localnet http_access allow localnet
# Deny requests to certain unsafe ports #http_access deny !Safe_ports http_access allow Safe_ports
# Deny CONNECT to other than secure SSL ports http_access deny CONNECT !SSL_ports
Dentro de /etc/squid/redes-soc tengo facebook.com twitter.com hi5.com
Te puedo asegurar que funciona 100% con reclamos de los clientes
incluidos
al ser implementada la regla. Eso si y repito mi servidor no es un proxy transparente. Pero no tuve que hacer adsolutamente más nada en iptables o similares.
Ahh!!! Google, Yahoo y comapñias https entran super bien.
Saludos, David
El 6 de noviembre de 2013 19:58, Ignacio Ordeñana <ifor1982@gmail.com escribió:
hola david no funciona ya la probe en su momento en proxy transparente
saludos
El 6 de noviembre de 2013 12:50, David González Romero dgrvedado@gmail.comescribió:
Esta es una opción 100% Squid, probada por mi y funciona super bien
http://servercomputing.blogspot.com/2012/01/block-facebook-in-squid-proxy-se...
Saludos, David
El 5 de noviembre de 2013 12:42, Ignacio Ordeñana <ifor1982@gmail.com
escribió: te envio un link de una perosna que tuvo ese mismo problema
http://www.ecualug.org/?q=2011/02/10/forums/bloquear_https_de_facebook_en_ip...
saludos
El 5 de noviembre de 2013 09:32, angel jauregui darkdiabliyo@gmail.comescribió:
Se cumple la excepcion, y funcionaria no ?
El 5 de noviembre de 2013 09:25, Ignacio Ordeñana <
ifor1982@gmail.com
> escribió: > a mi parecer esa regla de iptables no te funcionara ya que primero
la
estas > permitiendo el acceso a una ip en particular luego le quitas
acceso a
todo > el segmento de red incluyendo la ip que le permites acceso. > > saludos > > > El 5 de noviembre de 2013 08:34, angel jauregui > darkdiabliyo@gmail.comescribió: > >> @David asi tengo la denegacion tambien, pero si el usuario
cambia a
> "https" >> la pagina ya no es bloqueada, se brinca el filtro. >> >> Esto mas que nada porque en IPTables la regla indica que
cualquier
cosa
> que >> va al 80 se rediriga al 3128 (puerto squid), y al cambiar a
HTTPS,
ya
no > se >> aplica la regla. >> >> Ahora no puedo quitar el puerto https y forzar solo http, ya que existen >> paginas de gobierno que requieren https, y se me vendria el mundo encima >> :S. >> >> Estoy intentando con estas reglas, ustedes que opinan: >> >> *# dar acceso a facebook para una ip fija* >> shell# iptables -A FORWARD -p tcp -s 10.1.0.10 -d
IP_CIDR_DEFACEBOOK
-j >> ACCEPT >> >> *# quitar acceso facebook para cualquiera del segmento* >> shell# iptables -A FORWARD -p tcp -s 10.1.0.0/24 -d
IP_CIDR_DEFACEBOOK
> -j >> REJECT >> >> Saludos ! >> >> >> El 5 de noviembre de 2013 05:08, David González Romero >> dgrvedado@gmail.comescribió: >> >>> Tu has probado esta opción en Squid? >>> >>> acl denys url_regex "/etc/squid/denys" >>> Donde >>> /etc/squid/denys contiene: >>> facebook >>> twitter >>> ..... >>> Y luego >>> http_access deny restric >>> >>> Al menos así me funciona a mi. >>> >>> >>> Otra opcion sería comentar la línea "acl SSL_ports port 443"
para
> evitar >>> conexiones por el 443... >>> >>> >>> >>> >>> Saludos, >>> David >>> >>> >>> >>> El 4 de noviembre de 2013 18:47, angel jauregui >>> darkdiabliyo@gmail.comescribió: >>> >>>> Buenas. >>>> >>>> Estoy implementando limitaciones en la red, el objetivo es
quitar
>> acceso >>> a >>>> Redes Sociales, en primera instancia tengo SQUID que logra
tapar
el
>>> acceso >>>> a los sitios mediante http. >>>> >>>> El problema es que si los sitios tienes HTTPS, este es accesible.... >>>> En este caso http://facebook.com esta denegad por Squid. >>>> Pero al poner https://facebook.com entra exitosamente. >>>> >>>> La unica ocurrencia que tuve es usar IPTABLES, asi que puse
esta
> regla >>> que >>>> me esta haceindo cumplir el objetivo "En parte": >>>> >>>> iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range >>>> 173.252.64.0-173.252.127.255 -j REJECT >>>> >>>> Donde: 173.252.64.0-173.252.127.255 ---> es el rando CIDr de > facebook. >>>> El problema *ahora radica* en que no logro hacer que ciertas
IPs
>> Locales >>>> (privilegiada - jefes) SI puedan acceder a redes sociales :S
!.
>>>> Intente ANTEponiendo esta regla: >>>> >>>> iptables -I FORWARD *-s ip_del_jefe *-m tcp -p tcp -m iprange >> --dst-range >>>> 173.252.64.0-173.252.127.255 -j ACCEPT >>>> >>>> Pero aun asi, se sigue bloqueando el sitio :S.... >>>> >>>> *shell# iptables -L -n* >>>> REJECT tcp -- 0.0.0.0/0 0.0.0.0/0
tcp
>>>> destination IP range 173.252.64.0-173.252.127.255 reject-with >>>> icmp-port-unreachable >>>> ACCEPT tcp -- 10.1.0.150 0.0.0.0/0
tcp
>>>> destination IP range 173.252.64.0-173.252.127.255 >>>> >>>> -- >>>> M.S.I. Angel Haniel Cantu Jauregui. >>>> >>>> Celular: (011-52-1)-899-871-17-22 >>>> E-Mail: angel.cantu@sie-group.net >>>> Web: http://www.sie-group.net/ >>>> Cd. Reynosa Tamaulipas. >>>> _______________________________________________ >>>> CentOS-es mailing list >>>> CentOS-es@centos.org >>>> http://lists.centos.org/mailman/listinfo/centos-es >>>> >>> _______________________________________________ >>> CentOS-es mailing list >>> CentOS-es@centos.org >>> http://lists.centos.org/mailman/listinfo/centos-es >>> >> >> >> -- >> M.S.I. Angel Haniel Cantu Jauregui. >> >> Celular: (011-52-1)-899-871-17-22 >> E-Mail: angel.cantu@sie-group.net >> Web: http://www.sie-group.net/ >> Cd. Reynosa Tamaulipas. >> _______________________________________________ >> CentOS-es mailing list >> CentOS-es@centos.org >> http://lists.centos.org/mailman/listinfo/centos-es >> > _______________________________________________ > CentOS-es mailing list > CentOS-es@centos.org > http://lists.centos.org/mailman/listinfo/centos-es >
-- M.S.I. Angel Haniel Cantu Jauregui.
Celular: (011-52-1)-899-871-17-22 E-Mail: angel.cantu@sie-group.net Web: http://www.sie-group.net/ Cd. Reynosa Tamaulipas. _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es