Otra alternativa simple, aunque vulnerable, es configurar un "resolver" DNS local como dnsmasq, con el que se interviene el nombre youtube.com con otro ip, probablemente un sitio local con una advertencia.
Se debe tener la precaución en este caso que solo el ip del resolver tenga permiso de salida al puerto 53/udp
Son pequeños detalles que en conjunto pueden ayudar.
Luis de la Barra www.wyzer.cl Enviado desde Samsung Mobile
<div>-------- Mensaje original --------</div><div>De: David González Romero dgrvedado@gmail.com </div><div>Fecha:12/03/2015 08:59 (GMT-04:00) </div><div>A: centos-es@centos.org </div><div>Asunto: Re: [CentOS-es] Bloqueo youtube </div><div> </div>Y porque no pruebas cerrando todo el puerto 443... es lo que quiero que pruebes, porque si usas una regla del tipo
iptables ... -dport 443 youtube.com
El DNS bloqueará el IP que en el instante de levantarse el IPtables haya agarrado como youtube.com; y según creo youtube.com tiene varios IP que responden a ese nombre.
Prueba bloquear todo el trafico al puerto 443 y luego intenta de nuevo.
Saludos, David
El día 12 de marzo de 2015, 7:30, César Martínez cmartinez@servicomecuador.com escribió:
Hola David aplique una regla para cerrar el puerto 443 de YouTube pero en ie se abre
Saludos César Martínez Ingeniero de Sistemas
Enviado desde mi móvil Samsung Galaxy
El 12 de marzo de 2015 05:18:08 GMT-05:00, "David González Romero" dgrvedado@gmail.com escribió:
Sigo pensando que si cierras el puerto 443 no te debería abrir...
Saludos, David
El día 11 de marzo de 2015, 19:03, Luis Huacho Lazo l.huacho@gmail.com escribió:
Aunque el tema es Linux centos, en mi red gestionada con fortigate
pasa lo
mismo, todo bloqueado pero el ie8 pasa y visualiza youtube sólo con
https.
¿La magia de Bill? Claro q carga el sitio, las imágenes, pero no
cargan los
vídeos. Curioso problema con ie8. El 11/03/2015 15:19, "César Martinez" cmartinez@servicomecuador.com escribió:
No me marca nada en el log del firewall la alternativa momentanea es bloquear por ip ahí si no carga en IE seguiré buscando la solución,
gracias
a todos y si alguien tiene alguna otra idea gracias.
-- Saludos Cordiales
|César Martínez | Ingeniero de Sistemas | SERVICOM |Tel: (593-2)554-271 2221-386 | Ext 4501 |Celular: 0999374317 |Skype servicomecuador |Web www.servicomecuador.com Síguenos en: |Twitter: @servicomecuador |Facebook: servicomec |Zona Clientes: www.servicomecuador.com/billing |Blog: http://servicomecuador.com/blog |Dir. Av. 10 de Agosto N29-140 Entre |Acuña y Cuero y Caicedo |Quito - Ecuador - Sudamérica
On 11/03/15 10:17, Emilio Alvarado wrote:
Que ves en el log de iptables? Emilio Alvarado
El 10 de marzo de 2015 17:35:31 César Martinez < cmartinez@servicomecuador.com> escribio:
Saludos amigos listeros, tengo un servidor centos 6.6 de 64 bits
que
hace proxy firewall en este servidor bloqueo sitios https con un
post
que Epe tiene publicado en ecualug y acoplado un poco de mi parte,
puedo
bloquear cualquier sitio https menos youtube, bueno más bien
youtube a
medias porque se bloquea en todos los navegadores excepto internet explorer llevo ya como dos semanas tratando de solventar esto y no funciona, no bloqueo por ips ya que algunas ips de youtube
funcionan
para gmail y google, de pronto alguien a logrado cerrar youtube
en
todos los navegadores y pueda ayudarme, aquí al regla con al que
bloqueo
$IPTABLES -I FORWARD -s 192.168.0.1/24 -p tcp -m string --string "facebook" --algo kmp -j REJECT
-- Saludos Cordiales
|César Martínez | Ingeniero de Sistemas | SERVICOM |Tel: (593-2)554-271 2221-386 | Ext 4501 |Celular: 0999374317 |Skype servicomecuador |Web www.servicomecuador.com Síguenos en: |Twitter: @servicomecuador |Facebook: servicomec |Zona Clientes: www.servicomecuador.com/billing |Blog: http://servicomecuador.com/blog |Dir. Av. 10 de Agosto N29-140 Entre |Acuña y Cuero y Caicedo |Quito - Ecuador - Sudamérica
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
_______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Gracias por responder
Luis tu alternativa es válida respecto al host el problema es que solo se necesita bloquear a X equipos no a todos, algo adicional mi proxy es transparente y como sabes squid no bloquea conexiones seguras por el puerto https
David sabes que uso esta regla para bloquear el puerto 443 por youtube pero igual en IE carga $IPTABLES -I FORWARD -p tcp --dport 443 -m string --string 'youtube' --algo bm -j DROP $IPTABLES -I FORWARD -p tcp --dport 443 -m string --string "youtube.com" --algo bm -j DROP
De acuerdo a lo comenta nuestro amigo que usa fortiget y le pasa lo mismo no se que tiene ie que hace que cargue youtube, lo que voy a probar es que si cargan los videos eso no he probado porque la pantalla aparece con los videos pero no he probado si reproduce
Prueba:
$IPTABLES -A FORWARD -p tcp --dport 443 -j DROP
Saludos, David
El día 12 de marzo de 2015, 10:31, César Martinez cmartinez@servicomecuador.com escribió:
Gracias por responder
Luis tu alternativa es válida respecto al host el problema es que solo se necesita bloquear a X equipos no a todos, algo adicional mi proxy es transparente y como sabes squid no bloquea conexiones seguras por el puerto https
David sabes que uso esta regla para bloquear el puerto 443 por youtube pero igual en IE carga $IPTABLES -I FORWARD -p tcp --dport 443 -m string --string 'youtube' --algo bm -j DROP $IPTABLES -I FORWARD -p tcp --dport 443 -m string --string "youtube.com" --algo bm -j DROP
De acuerdo a lo comenta nuestro amigo que usa fortiget y le pasa lo mismo no se que tiene ie que hace que cargue youtube, lo que voy a probar es que si cargan los videos eso no he probado porque la pantalla aparece con los videos pero no he probado si reproduce
-- Saludos Cordiales
|César Martínez | Ingeniero de Sistemas | SERVICOM |Tel: (593-2)554-271 2221-386 | Ext 4501 |Celular: 0999374317 |Skype servicomecuador |Web www.servicomecuador.com Síguenos en: |Twitter: @servicomecuador |Facebook: servicomec |Zona Clientes: www.servicomecuador.com/billing |Blog: http://servicomecuador.com/blog |Dir. Av. 10 de Agosto N29-140 Entre |Acuña y Cuero y Caicedo |Quito - Ecuador - Sudamérica
On 12/03/15 07:32, Luis Hernán de la Barra wrote:
Otra alternativa simple, aunque vulnerable, es configurar un "resolver" DNS local como dnsmasq, con el que se interviene el nombre youtube.com con otro ip, probablemente un sitio local con una advertencia.
Se debe tener la precaución en este caso que solo el ip del resolver tenga permiso de salida al puerto 53/udp
Son pequeños detalles que en conjunto pueden ayudar.
Luis de la Barra www.wyzer.cl Enviado desde Samsung Mobile
<div>-------- Mensaje original --------</div><div>De: David González Romero <dgrvedado@gmail.com> </div><div>Fecha:12/03/2015 08:59 (GMT-04:00) </div><div>A: centos-es@centos.org </div><div>Asunto: Re: [CentOS-es] Bloqueo youtube </div><div> </div>Y porque no pruebas cerrando todo el puerto 443... es lo que quiero que pruebes, porque si usas una regla del tipo
iptables ... -dport 443 youtube.com
El DNS bloqueará el IP que en el instante de levantarse el IPtables haya agarrado como youtube.com; y según creo youtube.com tiene varios IP que responden a ese nombre.
Prueba bloquear todo el trafico al puerto 443 y luego intenta de nuevo.
Saludos, David
El día 12 de marzo de 2015, 7:30, César Martínez cmartinez@servicomecuador.com escribió:
Hola David aplique una regla para cerrar el puerto 443 de YouTube pero en ie se abre -- Saludos César Martínez Ingeniero de Sistemas
Enviado desde mi móvil Samsung Galaxy
El 12 de marzo de 2015 05:18:08 GMT-05:00, "David González Romero" dgrvedado@gmail.com escribió:
Sigo pensando que si cierras el puerto 443 no te debería abrir...
Saludos, David
El día 11 de marzo de 2015, 19:03, Luis Huacho Lazo l.huacho@gmail.com escribió:
Aunque el tema es Linux centos, en mi red gestionada con fortigate
pasa lo
mismo, todo bloqueado pero el ie8 pasa y visualiza youtube sólo con
https.
¿La magia de Bill? Claro q carga el sitio, las imágenes, pero no
cargan los
vídeos. Curioso problema con ie8. El 11/03/2015 15:19, "César Martinez" cmartinez@servicomecuador.com escribió:
No me marca nada en el log del firewall la alternativa momentanea es bloquear por ip ahí si no carga en IE seguiré buscando la solución,
gracias
a todos y si alguien tiene alguna otra idea gracias.
-- Saludos Cordiales
|César Martínez | Ingeniero de Sistemas | SERVICOM |Tel: (593-2)554-271 2221-386 | Ext 4501 |Celular: 0999374317 |Skype servicomecuador |Web www.servicomecuador.com Síguenos en: |Twitter: @servicomecuador |Facebook: servicomec |Zona Clientes: www.servicomecuador.com/billing |Blog: http://servicomecuador.com/blog |Dir. Av. 10 de Agosto N29-140 Entre |Acuña y Cuero y Caicedo |Quito - Ecuador - Sudamérica
On 11/03/15 10:17, Emilio Alvarado wrote:
> Que ves en el log de iptables? > Emilio Alvarado > > > > El 10 de marzo de 2015 17:35:31 César Martinez < > cmartinez@servicomecuador.com> escribio: > > Saludos amigos listeros, tengo un servidor centos 6.6 de 64 bits
que
>> >> hace proxy firewall en este servidor bloqueo sitios https con un
post
>> >> que Epe tiene publicado en ecualug y acoplado un poco de mi parte,
puedo
>> >> bloquear cualquier sitio https menos youtube, bueno más bien
youtube a
>> >> medias porque se bloquea en todos los navegadores excepto internet >> explorer llevo ya como dos semanas tratando de solventar esto y no >> funciona, no bloqueo por ips ya que algunas ips de youtube
funcionan
>> >> para gmail y google, de pronto alguien a logrado cerrar youtube
en
>> >> todos los navegadores y pueda ayudarme, aquí al regla con al que
bloqueo
>> >> $IPTABLES -I FORWARD -s 192.168.0.1/24 -p tcp -m string --string >> "facebook" --algo kmp -j REJECT >> >> -- >> Saludos Cordiales >> >> |César Martínez | Ingeniero de Sistemas | SERVICOM >> |Tel: (593-2)554-271 2221-386 | Ext 4501 >> |Celular: 0999374317 |Skype servicomecuador >> |Web www.servicomecuador.com Síguenos en: >> |Twitter: @servicomecuador |Facebook: servicomec >> |Zona Clientes: www.servicomecuador.com/billing >> |Blog: http://servicomecuador.com/blog >> |Dir. Av. 10 de Agosto N29-140 Entre >> |Acuña y Cuero y Caicedo >> |Quito - Ecuador - Sudamérica >> >> _______________________________________________ >> CentOS-es mailing list >> CentOS-es@centos.org >> http://lists.centos.org/mailman/listinfo/centos-es >> > > _______________________________________________ > CentOS-es mailing list > CentOS-es@centos.org > http://lists.centos.org/mailman/listinfo/centos-es > > _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Pero con esa regla cierro a todos el puerto 443 la idea es solo cerrar a un deperminado número de ips el acceso al YouTube
-
César Martinez -
David González Romero -
Luis Hernán de la Barra