[CentOS-es] [iptables] denegar rando dependiendo la IP de la fuenta ?
Ramón Macías Zamora
rmacias en rks.ec
Mar Nov 5 14:38:43 UTC 2013
Yo creo que la solución ahí es forzar a que los usuarios configuren el
proxy en vez de usar proxy transparente que sólo funciona para http y no
para https.
Saludos
--
Ramón Macías Zamora
Tecnología, Investigación y Desarrollo
www.rks.ec - www.raykasolutions.com
Guayaquil - Ecuador
msn: ramon_macias en hotmail.com
skype: ramon_macias
UserLinux# 180926 (http://counter.li.org)
Cel: 593-8-0192238
Tel: 593 4 6044566
<http://www.raykasolutions.com/>
WEB SITES, HOSTINGS, DOMINIOS, MANTENIMIENTO DE EQUIPOS, REDES, SERVIDORES
LINUX, SOPORTE.
2013/11/5 angel jauregui <darkdiabliyo en gmail.com>
> @David asi tengo la denegacion tambien, pero si el usuario cambia a "https"
> la pagina ya no es bloqueada, se brinca el filtro.
>
> Esto mas que nada porque en IPTables la regla indica que cualquier cosa que
> va al 80 se rediriga al 3128 (puerto squid), y al cambiar a HTTPS, ya no se
> aplica la regla.
>
> Ahora no puedo quitar el puerto https y forzar solo http, ya que existen
> paginas de gobierno que requieren https, y se me vendria el mundo encima
> :S.
>
> Estoy intentando con estas reglas, ustedes que opinan:
>
> *# dar acceso a facebook para una ip fija*
> shell# iptables -A FORWARD -p tcp -s 10.1.0.10 -d IP_CIDR_DEFACEBOOK -j
> ACCEPT
>
> *# quitar acceso facebook para cualquiera del segmento*
> shell# iptables -A FORWARD -p tcp -s 10.1.0.0/24 -d IP_CIDR_DEFACEBOOK -j
> REJECT
>
> Saludos !
>
>
> El 5 de noviembre de 2013 05:08, David González Romero
> <dgrvedado en gmail.com>escribió:
>
> > Tu has probado esta opción en Squid?
> >
> > acl denys url_regex "/etc/squid/denys"
> > Donde
> > /etc/squid/denys contiene:
> > facebook
> > twitter
> > .....
> > Y luego
> > http_access deny restric
> >
> > Al menos así me funciona a mi.
> >
> >
> > Otra opcion sería comentar la línea "acl SSL_ports port 443" para evitar
> > conexiones por el 443...
> >
> >
> >
> >
> > Saludos,
> > David
> >
> >
> >
> > El 4 de noviembre de 2013 18:47, angel jauregui
> > <darkdiabliyo en gmail.com>escribió:
> >
> > > Buenas.
> > >
> > > Estoy implementando limitaciones en la red, el objetivo es quitar
> acceso
> > a
> > > Redes Sociales, en primera instancia tengo SQUID que logra tapar el
> > acceso
> > > a los sitios mediante http.
> > >
> > > El problema es que si los sitios tienes HTTPS, este es accesible....
> > >
> > > En este caso http://facebook.com esta denegad por Squid.
> > > Pero al poner https://facebook.com entra exitosamente.
> > >
> > > La unica ocurrencia que tuve es usar IPTABLES, asi que puse esta regla
> > que
> > > me esta haceindo cumplir el objetivo "En parte":
> > >
> > > iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range
> > > 173.252.64.0-173.252.127.255 -j REJECT
> > >
> > > Donde: 173.252.64.0-173.252.127.255 ---> es el rando CIDr de facebook.
> > >
> > > El problema *ahora radica* en que no logro hacer que ciertas IPs
> Locales
> > > (privilegiada - jefes) SI puedan acceder a redes sociales :S !.
> > >
> > > Intente ANTEponiendo esta regla:
> > >
> > > iptables -I FORWARD *-s ip_del_jefe *-m tcp -p tcp -m iprange
> --dst-range
> > > 173.252.64.0-173.252.127.255 -j ACCEPT
> > >
> > > Pero aun asi, se sigue bloqueando el sitio :S....
> > >
> > > *shell# iptables -L -n*
> > > REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp
> > > destination IP range 173.252.64.0-173.252.127.255 reject-with
> > > icmp-port-unreachable
> > > ACCEPT tcp -- 10.1.0.150 0.0.0.0/0 tcp
> > > destination IP range 173.252.64.0-173.252.127.255
> > >
> > > --
> > > M.S.I. Angel Haniel Cantu Jauregui.
> > >
> > > Celular: (011-52-1)-899-871-17-22
> > > E-Mail: angel.cantu en sie-group.net
> > > Web: http://www.sie-group.net/
> > > Cd. Reynosa Tamaulipas.
> > > _______________________________________________
> > > CentOS-es mailing list
> > > CentOS-es en centos.org
> > > http://lists.centos.org/mailman/listinfo/centos-es
> > >
> > _______________________________________________
> > CentOS-es mailing list
> > CentOS-es en centos.org
> > http://lists.centos.org/mailman/listinfo/centos-es
> >
>
>
>
> --
> M.S.I. Angel Haniel Cantu Jauregui.
>
> Celular: (011-52-1)-899-871-17-22
> E-Mail: angel.cantu en sie-group.net
> Web: http://www.sie-group.net/
> Cd. Reynosa Tamaulipas.
> _______________________________________________
> CentOS-es mailing list
> CentOS-es en centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>
Más información sobre la lista de distribución CentOS-es