Saludos amigos listeros espero que todos se encuentren bien, acudo a ustedes más que una consulta por un problema es una pregunta suelta, en mis implementaciones para filtrado de contenido de navegación uso centos 7 + squid + iptables para bloquear accesos a sitios https como facebook, youtube entre otros hasta el momento me funciona bastante bien, como ahora google a implementado la política de dar mejor posicionamiento a sitios que tengan un certificado ssl https, pues la mayoría de sitios ahora ya cuentan con uno, como saben squid no filtra sitios https por ende se vuelve una tarea más compleja agregar sitio por sitio en iptables para este bloqueo ya que en sitios normales solo se crea un archivo con ciertos nombres por ejemplo radio y todo lo que este relacionado con eso en la navegación del usuario es bloqueado, de pronto saben si squid ya tiene alguna versión que permita filtrar sitios https sin tener que usar iptables para este fin u alguna otra herramienta o sugerencia personal que me pueda ayudar con esto.
Agradezco a todos quienes puedan ayudarme con este tema
Estimado César, de manera personal uso la siguiente línea de iptables que me funciona muy bien para bloquear sitios https, y es muy buena,
/sbin/iptables -I FORWARD -p tcp -m tcp dport 443 -m string --string "youtube" --algo bm -j ACCEPT
como verás con "youtube", especifico el sitio al que quiero bloquear, ahora si deseas que se bloquee todas las páginas https (cosa que no es muy frecuente), solamente omitiría la cadena a comparar y dejaría algo parecido a lo que sigue:
/sbin/iptables -I FORWARD -p tcp -m tcp dport 443 -j ACCEPT
Ahora, claro que esta tarea se volvería mucho mas facil si se lo pudiera hacer en squid, pero recordemos que el squid solo escucha en el puerto 80 o el 3128, por lo que no sería posible controlar otros puertos.
Desearía aprovechar la oprtunidad de preguntar a la lista, si saben como poder bloquear este puerto en terminales que usan chrome, pues lo que acabé de especificar funciona bastante bien con Internet Explorer y Mozilla, pero en terminal que usan chrome siguen teniendo acceso a los sitios que estan bloqueados en iptables.
de antemano agradezco a todos por sus comentarios
El 21 de junio de 2017, 09:10, César Martinezcmartinez@servicomecuador.com escribió:
Saludos amigos listeros espero que todos se encuentren bien, acudo a ustedes más que una consulta por un problema es una pregunta suelta, en mis implementaciones para filtrado de contenido de navegación uso centos 7 + squid + iptables para bloquear accesos a sitios https como facebook, youtube entre otros hasta el momento me funciona bastante bien, como ahora google a implementado la política de dar mejor posicionamiento a sitios que tengan un certificado ssl https, pues la mayoría de sitios ahora ya cuentan con uno, como saben squid no filtra sitios https por ende se vuelve una tarea más compleja agregar sitio por sitio en iptables para este bloqueo ya que en sitios normales solo se crea un archivo con ciertos nombres por ejemplo radio y todo lo que este relacionado con eso en la navegación del usuario es bloqueado, de pronto saben si squid ya tiene alguna versión que permita filtrar sitios https sin tener que usar iptables para este fin u alguna otra herramienta o sugerencia personal que me pueda ayudar con esto.
Agradezco a todos quienes puedan ayudarme con este tema
-- |Saludos Cordiales |César Martínez M. | Ingeniero de Sistemas |Consultor & Proyectos Software Libre| SERVICOM |Tel: (593-2)554-271 2221-386 | Ext 4501 |Celular:(593 999374317 |Skype servicomecuador |Web www.servicomecuador.com Síguenos en: |Twitter: @servicomecuador |Facebook: servicomec |Zona Clientes: www.servicomecuador.com/billing |Blog: http://servicomecuador.com/blog |Dir. Av. 10 de Agosto N29-140 Entre |Acuña y Cuero y Caicedo |Quito - Ecuador - Sudamérica
CentOS-es mailing list CentOS-es@centos.org https://lists.centos.org/mailman/listinfo/centos-es
Hola Roberto gracias por responder, si justamente esa linea que tu mencionas es la que yo uso para filtrar https y me funciona bien en todos los navegadores, uso siempre proxy transparente por eso se vuelve cada vez más difícil el filtrar sitios https por iptables, alguna vez escuche que en freebsd había una versión de squid que permitía filtrar https, por eso pensé que en squid había ya, busque por la red pero no veo nada al respecto.
El Miércoles 21/06/2017 a las 11:27, Cc3a9sar Martinez escribió:
Hola Roberto gracias por responder, si justamente esa linea que tu mencionas es la que yo uso para filtrar https y me funciona bien en todos los navegadores, uso siempre proxy transparente por eso se vuelve cada vez más difícil el filtrar sitios https por iptables, alguna vez escuche que en freebsd había una versión de squid que permitía filtrar https, por eso pensé que en squid había ya, busque por la red pero no veo nada al respecto.
Que yo sepa, proxy transparente para https no hay, al menos nunca encontramos nada y tiene sentido que no se pueda ya que si se pudiera la encriptacion no seria muy confiable :)
Nosotros la hacemos corta: bloqueamos la salida https y en cada navegador configuramos el proxy solo para https, http sigue transparente.
Parece algo engorroso, y si no tienes control sobre las PCs puede llegar a serlo, pero es lo mejor que encontramos y nos permite seguir manejando los permitidos y bloqueados desde el squid para ambos casos.
Saludos,
+1 Ricardo
El 21 jun. 2017 10:51 a. m., "Ricardo J. Barberis" ricardo@palmtx.com.ar escribió:
El Miércoles 21/06/2017 a las 11:27, Cc3a9sar Martinez escribió:
Hola Roberto gracias por responder, si justamente esa linea que tu mencionas es la que yo uso para filtrar https y me funciona bien en todos los navegadores, uso siempre proxy transparente por eso se vuelve cada vez más difícil el filtrar sitios https por iptables, alguna vez escuche que en freebsd había una versión de squid que permitía filtrar https, por eso pensé que en squid había ya, busque por la red pero no veo nada al respecto.
Que yo sepa, proxy transparente para https no hay, al menos nunca encontramos nada y tiene sentido que no se pueda ya que si se pudiera la encriptacion no seria muy confiable :)
Nosotros la hacemos corta: bloqueamos la salida https y en cada navegador configuramos el proxy solo para https, http sigue transparente.
Parece algo engorroso, y si no tienes control sobre las PCs puede llegar a serlo, pero es lo mejor que encontramos y nos permite seguir manejando los permitidos y bloqueados desde el squid para ambos casos.
Saludos,
Ricardo J. Barberis Usuario Linux Nº 250625: http://counter.li.org/ Usuario LFS Nº 5121: http://www.linuxfromscratch.org/ Senior SysAdmin / IT Architect - www.DonWeb.com _______________________________________________ CentOS-es mailing list CentOS-es@centos.org https://lists.centos.org/mailman/listinfo/centos-es
Yo la hago más corta: Doy una instrucción de lo que no se debe hacer. Al pesque, lo despedimos!. Usualmente, en mi experiencia, se "ejecuta" al primero y se alinean todos. Elijo a quien "pesco".
A veces no todo es técnica, se vuelve muy complicado eso de uno a taparle y los demás a saltar la puerta. Si no hay consecuencia, tiene la motivación de buscar, de preguntar, de probar como darle la vuelta a las restricciones.
Claro, se requiere apoyo de la administración. r.lara
-----Mensaje original----- De: CentOS-es [mailto:centos-es-bounces@centos.org] En nombre de Ricardo J. Barberis Enviado el: miércoles, 21 de junio de 2017 10:51 a.m. Para: centos-es@centos.org Asunto: Re: [CentOS-es] filtración sitios squid https
El Miércoles 21/06/2017 a las 11:27, Cc3a9sar Martinez escribió:
Hola Roberto gracias por responder, si justamente esa linea que tu mencionas es la que yo uso para filtrar https y me funciona bien en todos los navegadores, uso siempre proxy transparente por eso se vuelve cada vez más difícil el filtrar sitios https por iptables, alguna vez escuche que en freebsd había una versión de squid que permitía filtrar https, por eso pensé que en squid había ya, busque por la red pero no veo nada al respecto.
Que yo sepa, proxy transparente para https no hay, al menos nunca encontramos nada y tiene sentido que no se pueda ya que si se pudiera la encriptacion no
seria muy confiable :)
Nosotros la hacemos corta: bloqueamos la salida https y en cada navegador configuramos el proxy solo para https, http sigue transparente.
Parece algo engorroso, y si no tienes control sobre las PCs puede llegar a serlo, pero es lo mejor que encontramos y nos permite seguir manejando los permitidos y bloqueados desde el squid para ambos casos.
Saludos,
Squid no puede ser ni sera filtrados de conexiones HTTPS, porque seria violacion de privacidad :S. Tendria que actuar como un "sslstripe".
Lo recomendable es usar reglas iptables para bloquear el trafico a ese dominio, o bien, puedes consultar el CIDR del dominio con "whois" y sacar el rango de IPs para ser mas especifico.
Yo tengo mi propio script que se apoya con Squid para poder hacer la faena de hacer bloqueos a sitios HTTPS que esten en la lista de exclusiones, segun si o no, se haya indicado que la IP Fija o Rango tenga esta exclusion. Ya sabe... Gerencia SI quier ver Facebook, en cambio los demas mortales NO pueden jajaja.
Saludos !
El 21 de junio de 2017, 11:39, René Lara sistemas@trimaso.com.mx escribió:
Yo la hago más corta: Doy una instrucción de lo que no se debe hacer. Al pesque, lo despedimos!. Usualmente, en mi experiencia, se "ejecuta" al primero y se alinean todos. Elijo a quien "pesco".
A veces no todo es técnica, se vuelve muy complicado eso de uno a taparle y los demás a saltar la puerta. Si no hay consecuencia, tiene la motivación de buscar, de preguntar, de probar como darle la vuelta a las restricciones.
Claro, se requiere apoyo de la administración. r.lara
-----Mensaje original----- De: CentOS-es [mailto:centos-es-bounces@centos.org] En nombre de Ricardo J. Barberis Enviado el: miércoles, 21 de junio de 2017 10:51 a.m. Para: centos-es@centos.org Asunto: Re: [CentOS-es] filtración sitios squid https
El Miércoles 21/06/2017 a las 11:27, Cc3a9sar Martinez escribió:
Hola Roberto gracias por responder, si justamente esa linea que tu mencionas es la que yo uso para filtrar https y me funciona bien en todos los navegadores, uso siempre proxy transparente por eso se vuelve cada vez más difícil el filtrar sitios https por iptables, alguna vez escuche que en freebsd había una versión de squid que permitía filtrar https, por eso pensé que en squid había ya, busque por la red pero no veo nada al respecto.
Que yo sepa, proxy transparente para https no hay, al menos nunca encontramos nada y tiene sentido que no se pueda ya que si se pudiera la encriptacion no
seria muy confiable :)
Nosotros la hacemos corta: bloqueamos la salida https y en cada navegador configuramos el proxy solo para https, http sigue transparente.
Parece algo engorroso, y si no tienes control sobre las PCs puede llegar a serlo, pero es lo mejor que encontramos y nos permite seguir manejando los permitidos y bloqueados desde el squid para ambos casos.
Saludos,
Ricardo J. Barberis Usuario Linux Nº 250625: http://counter.li.org/ Usuario LFS Nº 5121: http://www.linuxfromscratch.org/ Senior SysAdmin / IT Architect - www.DonWeb.com _______________________________________________ CentOS-es mailing list CentOS-es@centos.org https://lists.centos.org/mailman/listinfo/centos-es
CentOS-es mailing list CentOS-es@centos.org https://lists.centos.org/mailman/listinfo/centos-es
Gracias Ángel pero en realidad es una tarea titánica ir filtrando sitio por sitio por https, por eso pensé que había alguna forma con squid mismo para bloquear todo https, tu script lee algún archivo donde colocas nombres de sitios?
Saludos
César Martínez M. Ingeniero de Sistemas Proyectos de Software Libre Servicom Móvil 0999374317
E-mail enviado desde mi móvil 4G A3
El 22 de junio de 2017 19:02:27 GMT-05:00, angel jauregui darkdiabliyo@gmail.com escribió:
Squid no puede ser ni sera filtrados de conexiones HTTPS, porque seria violacion de privacidad :S. Tendria que actuar como un "sslstripe".
Lo recomendable es usar reglas iptables para bloquear el trafico a ese dominio, o bien, puedes consultar el CIDR del dominio con "whois" y sacar el rango de IPs para ser mas especifico.
Yo tengo mi propio script que se apoya con Squid para poder hacer la faena de hacer bloqueos a sitios HTTPS que esten en la lista de exclusiones, segun si o no, se haya indicado que la IP Fija o Rango tenga esta exclusion. Ya sabe... Gerencia SI quier ver Facebook, en cambio los demas mortales NO pueden jajaja.
Saludos !
El 21 de junio de 2017, 11:39, René Lara sistemas@trimaso.com.mx escribió:
Yo la hago más corta: Doy una instrucción de lo que no se debe hacer. Al pesque, lo
despedimos!.
Usualmente, en mi experiencia, se "ejecuta" al primero y se alinean
todos.
Elijo a quien "pesco".
A veces no todo es técnica, se vuelve muy complicado eso de uno a
taparle y
los demás a saltar la puerta. Si no hay consecuencia, tiene la motivación de buscar, de preguntar,
de
probar como darle la vuelta a las restricciones.
Claro, se requiere apoyo de la administración. r.lara
-----Mensaje original----- De: CentOS-es [mailto:centos-es-bounces@centos.org] En nombre de
Ricardo
J. Barberis Enviado el: miércoles, 21 de junio de 2017 10:51 a.m. Para: centos-es@centos.org Asunto: Re: [CentOS-es] filtración sitios squid https
El Miércoles 21/06/2017 a las 11:27, Cc3a9sar Martinez escribió:
Hola Roberto gracias por responder, si justamente esa linea que tu mencionas es la que yo uso para filtrar https y me funciona bien en todos los navegadores, uso siempre proxy transparente por eso se
vuelve
cada vez más difícil el filtrar sitios https por iptables, alguna
vez
escuche que en freebsd había una versión de squid que permitía
filtrar
https, por eso pensé que en squid había ya, busque por la red pero
no
veo nada al respecto.
Que yo sepa, proxy transparente para https no hay, al menos nunca encontramos nada y tiene sentido que no se pueda ya que si se pudiera la
encriptacion
no
seria muy confiable :)
Nosotros la hacemos corta: bloqueamos la salida https y en cada
navegador
configuramos el proxy solo para https, http sigue transparente.
Parece algo engorroso, y si no tienes control sobre las PCs puede
llegar a
serlo, pero es lo mejor que encontramos y nos permite seguir
manejando los
permitidos y bloqueados desde el squid para ambos casos.
Saludos,
Ricardo J. Barberis Usuario Linux Nº 250625: http://counter.li.org/ Usuario LFS Nº 5121: http://www.linuxfromscratch.org/ Senior SysAdmin / IT Architect - www.DonWeb.com _______________________________________________ CentOS-es mailing list CentOS-es@centos.org https://lists.centos.org/mailman/listinfo/centos-es
CentOS-es mailing list CentOS-es@centos.org https://lists.centos.org/mailman/listinfo/centos-es
-- M.S.I. Angel Haniel Cantu Jauregui.
Celular: (011-52-1)-899-871-17-22 E-Mail: angel.cantu@sie-group.net Web: http://www.sie-group.net/ Cd. Reynosa Tamaulipas. _______________________________________________ CentOS-es mailing list CentOS-es@centos.org https://lists.centos.org/mailman/listinfo/centos-es
-
angel jauregui -
Anthony Mogrovejo -
César Martinez -
César Martínez M.
-
René Lara -
Ricardo J. Barberis -
Roberto Bermúdez