[CentOS-es] [iptables] denegar rando dependiendo la IP de la fuenta ?
angel jauregui
darkdiabliyo en gmail.com
Mar Nov 5 14:34:30 UTC 2013
@David asi tengo la denegacion tambien, pero si el usuario cambia a "https"
la pagina ya no es bloqueada, se brinca el filtro.
Esto mas que nada porque en IPTables la regla indica que cualquier cosa que
va al 80 se rediriga al 3128 (puerto squid), y al cambiar a HTTPS, ya no se
aplica la regla.
Ahora no puedo quitar el puerto https y forzar solo http, ya que existen
paginas de gobierno que requieren https, y se me vendria el mundo encima :S.
Estoy intentando con estas reglas, ustedes que opinan:
*# dar acceso a facebook para una ip fija*
shell# iptables -A FORWARD -p tcp -s 10.1.0.10 -d IP_CIDR_DEFACEBOOK -j
ACCEPT
*# quitar acceso facebook para cualquiera del segmento*
shell# iptables -A FORWARD -p tcp -s 10.1.0.0/24 -d IP_CIDR_DEFACEBOOK -j
REJECT
Saludos !
El 5 de noviembre de 2013 05:08, David González Romero
<dgrvedado en gmail.com>escribió:
> Tu has probado esta opción en Squid?
>
> acl denys url_regex "/etc/squid/denys"
> Donde
> /etc/squid/denys contiene:
> facebook
> twitter
> .....
> Y luego
> http_access deny restric
>
> Al menos así me funciona a mi.
>
>
> Otra opcion sería comentar la línea "acl SSL_ports port 443" para evitar
> conexiones por el 443...
>
>
>
>
> Saludos,
> David
>
>
>
> El 4 de noviembre de 2013 18:47, angel jauregui
> <darkdiabliyo en gmail.com>escribió:
>
> > Buenas.
> >
> > Estoy implementando limitaciones en la red, el objetivo es quitar acceso
> a
> > Redes Sociales, en primera instancia tengo SQUID que logra tapar el
> acceso
> > a los sitios mediante http.
> >
> > El problema es que si los sitios tienes HTTPS, este es accesible....
> >
> > En este caso http://facebook.com esta denegad por Squid.
> > Pero al poner https://facebook.com entra exitosamente.
> >
> > La unica ocurrencia que tuve es usar IPTABLES, asi que puse esta regla
> que
> > me esta haceindo cumplir el objetivo "En parte":
> >
> > iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range
> > 173.252.64.0-173.252.127.255 -j REJECT
> >
> > Donde: 173.252.64.0-173.252.127.255 ---> es el rando CIDr de facebook.
> >
> > El problema *ahora radica* en que no logro hacer que ciertas IPs Locales
> > (privilegiada - jefes) SI puedan acceder a redes sociales :S !.
> >
> > Intente ANTEponiendo esta regla:
> >
> > iptables -I FORWARD *-s ip_del_jefe *-m tcp -p tcp -m iprange --dst-range
> > 173.252.64.0-173.252.127.255 -j ACCEPT
> >
> > Pero aun asi, se sigue bloqueando el sitio :S....
> >
> > *shell# iptables -L -n*
> > REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp
> > destination IP range 173.252.64.0-173.252.127.255 reject-with
> > icmp-port-unreachable
> > ACCEPT tcp -- 10.1.0.150 0.0.0.0/0 tcp
> > destination IP range 173.252.64.0-173.252.127.255
> >
> > --
> > M.S.I. Angel Haniel Cantu Jauregui.
> >
> > Celular: (011-52-1)-899-871-17-22
> > E-Mail: angel.cantu en sie-group.net
> > Web: http://www.sie-group.net/
> > Cd. Reynosa Tamaulipas.
> > _______________________________________________
> > CentOS-es mailing list
> > CentOS-es en centos.org
> > http://lists.centos.org/mailman/listinfo/centos-es
> >
> _______________________________________________
> CentOS-es mailing list
> CentOS-es en centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>
--
M.S.I. Angel Haniel Cantu Jauregui.
Celular: (011-52-1)-899-871-17-22
E-Mail: angel.cantu en sie-group.net
Web: http://www.sie-group.net/
Cd. Reynosa Tamaulipas.
Más información sobre la lista de distribución CentOS-es