[CentOS-es] [iptables] denegar rando dependiendo la IP de la fuenta ?

César Martinez cmartinez en servicomecuador.com
Mar Nov 5 14:44:53 UTC 2013 

Acá Epe publicó algo muy sencillo, comentanos si te funcionó

http://www.ecualug.org/?q=2012/05/23/comos/centos6_%C2%BFc%C3%B3mo_bloquear_facebook_con_iptables

Cordialmente
  
César Martínez Mora
Ingeniero de Sistemas
SERVICOM
User Linux 494131
  
Números Convencionales 02-2554-271 02-2221-386
Extensión 4501
Móvil 09-99374-317
Usa (315) 519-7220
Email & Msn cmartinez en servicomecuador.com
Skype servicomecuador
Web www.servicomecuador.com
Síguenos en
Twitter: http://twitter.com/servicomecuador
Facebook: http://www.facebook.com/servicomec
Zona Clientes: www.servicomecuador.com/billing
Blog: http://servicomecuador.com/blog
  
Dir. Av. 10 de Agosto N29-140 Entre
Acuña y  Cuero y Caicedo Edificio Vivanco Castillo
2do. Piso Oficina 201
Quito - Ecuador - Sudamérica
  
=================================================
  
Cláusula de Confidencialidad
La información contenida en este e-mail es confidencial y solo puede ser utilizada por la persona a la
cual esta dirigida.Si Usted no es el receptor autorizado, cualquier retención, difusión, distribución o copia
de este mensaje es prohibida y sancionada por la ley. Si por error recibe este mensaje,  por favor reenviarlo
al remitente y borre el mensaje recibido inmediatamente.
=================================================

On 05/11/13 09:36, angel jauregui wrote:
> El CID lo tomo de aqui:
>
> shell# host facebook.com
> Ip_de_Face_book
>
> shell# whois Ip_de_Face_book
> CID Ip_del_seg_mento/mask
>
> Saludos !
>
>
> El 5 de noviembre de 2013 08:34, angel jauregui
> <darkdiabliyo en gmail.com>escribió:
>
>> @David asi tengo la denegacion tambien, pero si el usuario cambia a
>> "https" la pagina ya no es bloqueada, se brinca el filtro.
>>
>> Esto mas que nada porque en IPTables la regla indica que cualquier cosa
>> que va al 80 se rediriga al 3128 (puerto squid), y al cambiar a HTTPS, ya
>> no se aplica la regla.
>>
>> Ahora no puedo quitar el puerto https y forzar solo http, ya que existen
>> paginas de gobierno que requieren https, y se me vendria el mundo encima :S.
>>
>> Estoy intentando con estas reglas, ustedes que opinan:
>>
>> *# dar acceso a facebook para una ip fija*
>> shell# iptables -A FORWARD -p tcp  -s 10.1.0.10 -d IP_CIDR_DEFACEBOOK -j
>> ACCEPT
>>
>> *# quitar acceso facebook para cualquiera del segmento*
>> shell# iptables -A FORWARD -p tcp -s 10.1.0.0/24 -d IP_CIDR_DEFACEBOOK -j
>> REJECT
>>
>> Saludos !
>>
>>
>> El 5 de noviembre de 2013 05:08, David González Romero <
>> dgrvedado en gmail.com> escribió:
>>
>> Tu has probado esta opción en Squid?
>>> acl denys url_regex "/etc/squid/denys"
>>> Donde
>>> /etc/squid/denys contiene:
>>> facebook
>>> twitter
>>> .....
>>> Y luego
>>> http_access deny restric
>>>
>>> Al menos así me funciona a mi.
>>>
>>>
>>> Otra opcion sería comentar la línea "acl SSL_ports port 443" para evitar
>>> conexiones por el 443...
>>>
>>>
>>>
>>>
>>> Saludos,
>>> David
>>>
>>>
>>>
>>> El 4 de noviembre de 2013 18:47, angel jauregui
>>> <darkdiabliyo en gmail.com>escribió:
>>>
>>>> Buenas.
>>>>
>>>> Estoy implementando limitaciones en la red, el objetivo es quitar
>>> acceso a
>>>> Redes Sociales, en primera instancia tengo SQUID que logra tapar el
>>> acceso
>>>> a los sitios mediante http.
>>>>
>>>> El problema es que si los sitios tienes HTTPS, este es accesible....
>>>>
>>>> En este caso http://facebook.com esta denegad por Squid.
>>>> Pero al poner https://facebook.com entra exitosamente.
>>>>
>>>> La unica ocurrencia que tuve es usar IPTABLES, asi que puse esta regla
>>> que
>>>> me esta haceindo cumplir el objetivo "En parte":
>>>>
>>>> iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range
>>>> 173.252.64.0-173.252.127.255 -j REJECT
>>>>
>>>> Donde: 173.252.64.0-173.252.127.255  ---> es el rando CIDr de facebook.
>>>>
>>>> El problema *ahora radica* en que no logro hacer que ciertas IPs Locales
>>>> (privilegiada - jefes) SI puedan acceder a redes sociales :S !.
>>>>
>>>> Intente ANTEponiendo esta regla:
>>>>
>>>> iptables -I FORWARD *-s ip_del_jefe *-m tcp -p tcp -m iprange
>>> --dst-range
>>>> 173.252.64.0-173.252.127.255 -j ACCEPT
>>>>
>>>> Pero aun asi, se sigue bloqueando el sitio :S....
>>>>
>>>> *shell# iptables -L -n*
>>>> REJECT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp
>>>> destination IP range 173.252.64.0-173.252.127.255 reject-with
>>>> icmp-port-unreachable
>>>> ACCEPT     tcp  --  10.1.0.150           0.0.0.0/0           tcp
>>>> destination IP range 173.252.64.0-173.252.127.255
>>>>
>>>> --
>>>> M.S.I. Angel Haniel Cantu Jauregui.
>>>>
>>>> Celular: (011-52-1)-899-871-17-22
>>>> E-Mail: angel.cantu en sie-group.net
>>>> Web: http://www.sie-group.net/
>>>> Cd. Reynosa Tamaulipas.
>>>> _______________________________________________
>>>> CentOS-es mailing list
>>>> CentOS-es en centos.org
>>>> http://lists.centos.org/mailman/listinfo/centos-es
>>>>
>>> _______________________________________________
>>> CentOS-es mailing list
>>> CentOS-es en centos.org
>>> http://lists.centos.org/mailman/listinfo/centos-es
>>>
>>
>>
>> --
>> M.S.I. Angel Haniel Cantu Jauregui.
>>
>> Celular: (011-52-1)-899-871-17-22
>> E-Mail: angel.cantu en sie-group.net
>> Web: http://www.sie-group.net/
>> Cd. Reynosa Tamaulipas.
>>
>
>

Más información sobre la lista de distribución CentOS-es