[CentOS-es] [iptables] denegar rando dependiendo la IP de la fuenta ?
angel jauregui
darkdiabliyo en gmail.com
Mar Nov 5 14:36:20 UTC 2013
El CID lo tomo de aqui:
shell# host facebook.com
Ip_de_Face_book
shell# whois Ip_de_Face_book
CID Ip_del_seg_mento/mask
Saludos !
El 5 de noviembre de 2013 08:34, angel jauregui
<darkdiabliyo en gmail.com>escribió:
> @David asi tengo la denegacion tambien, pero si el usuario cambia a
> "https" la pagina ya no es bloqueada, se brinca el filtro.
>
> Esto mas que nada porque en IPTables la regla indica que cualquier cosa
> que va al 80 se rediriga al 3128 (puerto squid), y al cambiar a HTTPS, ya
> no se aplica la regla.
>
> Ahora no puedo quitar el puerto https y forzar solo http, ya que existen
> paginas de gobierno que requieren https, y se me vendria el mundo encima :S.
>
> Estoy intentando con estas reglas, ustedes que opinan:
>
> *# dar acceso a facebook para una ip fija*
> shell# iptables -A FORWARD -p tcp -s 10.1.0.10 -d IP_CIDR_DEFACEBOOK -j
> ACCEPT
>
> *# quitar acceso facebook para cualquiera del segmento*
> shell# iptables -A FORWARD -p tcp -s 10.1.0.0/24 -d IP_CIDR_DEFACEBOOK -j
> REJECT
>
> Saludos !
>
>
> El 5 de noviembre de 2013 05:08, David González Romero <
> dgrvedado en gmail.com> escribió:
>
> Tu has probado esta opción en Squid?
>>
>> acl denys url_regex "/etc/squid/denys"
>> Donde
>> /etc/squid/denys contiene:
>> facebook
>> twitter
>> .....
>> Y luego
>> http_access deny restric
>>
>> Al menos así me funciona a mi.
>>
>>
>> Otra opcion sería comentar la línea "acl SSL_ports port 443" para evitar
>> conexiones por el 443...
>>
>>
>>
>>
>> Saludos,
>> David
>>
>>
>>
>> El 4 de noviembre de 2013 18:47, angel jauregui
>> <darkdiabliyo en gmail.com>escribió:
>>
>> > Buenas.
>> >
>> > Estoy implementando limitaciones en la red, el objetivo es quitar
>> acceso a
>> > Redes Sociales, en primera instancia tengo SQUID que logra tapar el
>> acceso
>> > a los sitios mediante http.
>> >
>> > El problema es que si los sitios tienes HTTPS, este es accesible....
>> >
>> > En este caso http://facebook.com esta denegad por Squid.
>> > Pero al poner https://facebook.com entra exitosamente.
>> >
>> > La unica ocurrencia que tuve es usar IPTABLES, asi que puse esta regla
>> que
>> > me esta haceindo cumplir el objetivo "En parte":
>> >
>> > iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range
>> > 173.252.64.0-173.252.127.255 -j REJECT
>> >
>> > Donde: 173.252.64.0-173.252.127.255 ---> es el rando CIDr de facebook.
>> >
>> > El problema *ahora radica* en que no logro hacer que ciertas IPs Locales
>> > (privilegiada - jefes) SI puedan acceder a redes sociales :S !.
>> >
>> > Intente ANTEponiendo esta regla:
>> >
>> > iptables -I FORWARD *-s ip_del_jefe *-m tcp -p tcp -m iprange
>> --dst-range
>> > 173.252.64.0-173.252.127.255 -j ACCEPT
>> >
>> > Pero aun asi, se sigue bloqueando el sitio :S....
>> >
>> > *shell# iptables -L -n*
>> > REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp
>> > destination IP range 173.252.64.0-173.252.127.255 reject-with
>> > icmp-port-unreachable
>> > ACCEPT tcp -- 10.1.0.150 0.0.0.0/0 tcp
>> > destination IP range 173.252.64.0-173.252.127.255
>> >
>> > --
>> > M.S.I. Angel Haniel Cantu Jauregui.
>> >
>> > Celular: (011-52-1)-899-871-17-22
>> > E-Mail: angel.cantu en sie-group.net
>> > Web: http://www.sie-group.net/
>> > Cd. Reynosa Tamaulipas.
>> > _______________________________________________
>> > CentOS-es mailing list
>> > CentOS-es en centos.org
>> > http://lists.centos.org/mailman/listinfo/centos-es
>> >
>> _______________________________________________
>> CentOS-es mailing list
>> CentOS-es en centos.org
>> http://lists.centos.org/mailman/listinfo/centos-es
>>
>
>
>
> --
> M.S.I. Angel Haniel Cantu Jauregui.
>
> Celular: (011-52-1)-899-871-17-22
> E-Mail: angel.cantu en sie-group.net
> Web: http://www.sie-group.net/
> Cd. Reynosa Tamaulipas.
>
--
M.S.I. Angel Haniel Cantu Jauregui.
Celular: (011-52-1)-899-871-17-22
E-Mail: angel.cantu en sie-group.net
Web: http://www.sie-group.net/
Cd. Reynosa Tamaulipas.
Más información sobre la lista de distribución CentOS-es