[CentOS-es] [iptables] denegar rando dependiendo la IP de la fuenta ?

angel jauregui darkdiabliyo en gmail.com
Mar Nov 5 14:48:17 UTC 2013


@Cesar va por iptables :D, solo que el comando es algo distinto... lo
probare !


El 5 de noviembre de 2013 08:44, César Martinez <
cmartinez en servicomecuador.com> escribió:

> Acá Epe publicó algo muy sencillo, comentanos si te funcionó
>
>
> http://www.ecualug.org/?q=2012/05/23/comos/centos6_%C2%BFc%C3%B3mo_bloquear_facebook_con_iptables
>
> Cordialmente
>
> César Martínez Mora
> Ingeniero de Sistemas
> SERVICOM
> User Linux 494131
>
> Números Convencionales 02-2554-271 02-2221-386
> Extensión 4501
> Móvil 09-99374-317
> Usa (315) 519-7220
> Email & Msn cmartinez en servicomecuador.com
> Skype servicomecuador
> Web www.servicomecuador.com
> Síguenos en
> Twitter: http://twitter.com/servicomecuador
> Facebook: http://www.facebook.com/servicomec
> Zona Clientes: www.servicomecuador.com/billing
> Blog: http://servicomecuador.com/blog
>
> Dir. Av. 10 de Agosto N29-140 Entre
> Acuña y  Cuero y Caicedo Edificio Vivanco Castillo
> 2do. Piso Oficina 201
> Quito - Ecuador - Sudamérica
>
> =================================================
>
> Cláusula de Confidencialidad
> La información contenida en este e-mail es confidencial y solo puede ser
> utilizada por la persona a la
> cual esta dirigida.Si Usted no es el receptor autorizado, cualquier
> retención, difusión, distribución o copia
> de este mensaje es prohibida y sancionada por la ley. Si por error recibe
> este mensaje,  por favor reenviarlo
> al remitente y borre el mensaje recibido inmediatamente.
> =================================================
>
> On 05/11/13 09:36, angel jauregui wrote:
> > El CID lo tomo de aqui:
> >
> > shell# host facebook.com
> > Ip_de_Face_book
> >
> > shell# whois Ip_de_Face_book
> > CID Ip_del_seg_mento/mask
> >
> > Saludos !
> >
> >
> > El 5 de noviembre de 2013 08:34, angel jauregui
> > <darkdiabliyo en gmail.com>escribió:
> >
> >> @David asi tengo la denegacion tambien, pero si el usuario cambia a
> >> "https" la pagina ya no es bloqueada, se brinca el filtro.
> >>
> >> Esto mas que nada porque en IPTables la regla indica que cualquier cosa
> >> que va al 80 se rediriga al 3128 (puerto squid), y al cambiar a HTTPS,
> ya
> >> no se aplica la regla.
> >>
> >> Ahora no puedo quitar el puerto https y forzar solo http, ya que existen
> >> paginas de gobierno que requieren https, y se me vendria el mundo
> encima :S.
> >>
> >> Estoy intentando con estas reglas, ustedes que opinan:
> >>
> >> *# dar acceso a facebook para una ip fija*
> >> shell# iptables -A FORWARD -p tcp  -s 10.1.0.10 -d IP_CIDR_DEFACEBOOK -j
> >> ACCEPT
> >>
> >> *# quitar acceso facebook para cualquiera del segmento*
> >> shell# iptables -A FORWARD -p tcp -s 10.1.0.0/24 -d IP_CIDR_DEFACEBOOK
> -j
> >> REJECT
> >>
> >> Saludos !
> >>
> >>
> >> El 5 de noviembre de 2013 05:08, David González Romero <
> >> dgrvedado en gmail.com> escribió:
> >>
> >> Tu has probado esta opción en Squid?
> >>> acl denys url_regex "/etc/squid/denys"
> >>> Donde
> >>> /etc/squid/denys contiene:
> >>> facebook
> >>> twitter
> >>> .....
> >>> Y luego
> >>> http_access deny restric
> >>>
> >>> Al menos así me funciona a mi.
> >>>
> >>>
> >>> Otra opcion sería comentar la línea "acl SSL_ports port 443" para
> evitar
> >>> conexiones por el 443...
> >>>
> >>>
> >>>
> >>>
> >>> Saludos,
> >>> David
> >>>
> >>>
> >>>
> >>> El 4 de noviembre de 2013 18:47, angel jauregui
> >>> <darkdiabliyo en gmail.com>escribió:
> >>>
> >>>> Buenas.
> >>>>
> >>>> Estoy implementando limitaciones en la red, el objetivo es quitar
> >>> acceso a
> >>>> Redes Sociales, en primera instancia tengo SQUID que logra tapar el
> >>> acceso
> >>>> a los sitios mediante http.
> >>>>
> >>>> El problema es que si los sitios tienes HTTPS, este es accesible....
> >>>>
> >>>> En este caso http://facebook.com esta denegad por Squid.
> >>>> Pero al poner https://facebook.com entra exitosamente.
> >>>>
> >>>> La unica ocurrencia que tuve es usar IPTABLES, asi que puse esta regla
> >>> que
> >>>> me esta haceindo cumplir el objetivo "En parte":
> >>>>
> >>>> iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range
> >>>> 173.252.64.0-173.252.127.255 -j REJECT
> >>>>
> >>>> Donde: 173.252.64.0-173.252.127.255  ---> es el rando CIDr de
> facebook.
> >>>>
> >>>> El problema *ahora radica* en que no logro hacer que ciertas IPs
> Locales
> >>>> (privilegiada - jefes) SI puedan acceder a redes sociales :S !.
> >>>>
> >>>> Intente ANTEponiendo esta regla:
> >>>>
> >>>> iptables -I FORWARD *-s ip_del_jefe *-m tcp -p tcp -m iprange
> >>> --dst-range
> >>>> 173.252.64.0-173.252.127.255 -j ACCEPT
> >>>>
> >>>> Pero aun asi, se sigue bloqueando el sitio :S....
> >>>>
> >>>> *shell# iptables -L -n*
> >>>> REJECT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp
> >>>> destination IP range 173.252.64.0-173.252.127.255 reject-with
> >>>> icmp-port-unreachable
> >>>> ACCEPT     tcp  --  10.1.0.150           0.0.0.0/0           tcp
> >>>> destination IP range 173.252.64.0-173.252.127.255
> >>>>
> >>>> --
> >>>> M.S.I. Angel Haniel Cantu Jauregui.
> >>>>
> >>>> Celular: (011-52-1)-899-871-17-22
> >>>> E-Mail: angel.cantu en sie-group.net
> >>>> Web: http://www.sie-group.net/
> >>>> Cd. Reynosa Tamaulipas.
> >>>> _______________________________________________
> >>>> CentOS-es mailing list
> >>>> CentOS-es en centos.org
> >>>> http://lists.centos.org/mailman/listinfo/centos-es
> >>>>
> >>> _______________________________________________
> >>> CentOS-es mailing list
> >>> CentOS-es en centos.org
> >>> http://lists.centos.org/mailman/listinfo/centos-es
> >>>
> >>
> >>
> >> --
> >> M.S.I. Angel Haniel Cantu Jauregui.
> >>
> >> Celular: (011-52-1)-899-871-17-22
> >> E-Mail: angel.cantu en sie-group.net
> >> Web: http://www.sie-group.net/
> >> Cd. Reynosa Tamaulipas.
> >>
> >
> >
>
> _______________________________________________
> CentOS-es mailing list
> CentOS-es en centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>



-- 
M.S.I. Angel Haniel Cantu Jauregui.

Celular: (011-52-1)-899-871-17-22
E-Mail: angel.cantu en sie-group.net
Web: http://www.sie-group.net/
Cd. Reynosa Tamaulipas.


Más información sobre la lista de distribución CentOS-es