[CentOS-es] [iptables] denegar rando dependiendo la IP de la fuenta ?

César Martínez cmartinez en servicomecuador.com
Mar Nov 5 14:49:03 UTC 2013


El link que te envie bloquea por iptables 
--
Saludos

César Martinez Mora
Ingeniero de Sistemas
Servicom

Enviado desde mi mobile Samsung galaxy

angel jauregui <darkdiabliyo en gmail.com> escribió:
>@Cesar va por iptables :D, solo que el comando es algo distinto... lo
>probare !
>
>
>El 5 de noviembre de 2013 08:44, César Martinez <
>cmartinez en servicomecuador.com> escribió:
>
>> Acá Epe publicó algo muy sencillo, comentanos si te funcionó
>>
>>
>>
>http://www.ecualug.org/?q=2012/05/23/comos/centos6_%C2%BFc%C3%B3mo_bloquear_facebook_con_iptables
>>
>> Cordialmente
>>
>> César Martínez Mora
>> Ingeniero de Sistemas
>> SERVICOM
>> User Linux 494131
>>
>> Números Convencionales 02-2554-271 02-2221-386
>> Extensión 4501
>> Móvil 09-99374-317
>> Usa (315) 519-7220
>> Email & Msn cmartinez en servicomecuador.com
>> Skype servicomecuador
>> Web www.servicomecuador.com
>> Síguenos en
>> Twitter: http://twitter.com/servicomecuador
>> Facebook: http://www.facebook.com/servicomec
>> Zona Clientes: www.servicomecuador.com/billing
>> Blog: http://servicomecuador.com/blog
>>
>> Dir. Av. 10 de Agosto N29-140 Entre
>> Acuña y  Cuero y Caicedo Edificio Vivanco Castillo
>> 2do. Piso Oficina 201
>> Quito - Ecuador - Sudamérica
>>
>> =================================================
>>
>> Cláusula de Confidencialidad
>> La información contenida en este e-mail es confidencial y solo puede
>ser
>> utilizada por la persona a la
>> cual esta dirigida.Si Usted no es el receptor autorizado, cualquier
>> retención, difusión, distribución o copia
>> de este mensaje es prohibida y sancionada por la ley. Si por error
>recibe
>> este mensaje,  por favor reenviarlo
>> al remitente y borre el mensaje recibido inmediatamente.
>> =================================================
>>
>> On 05/11/13 09:36, angel jauregui wrote:
>> > El CID lo tomo de aqui:
>> >
>> > shell# host facebook.com
>> > Ip_de_Face_book
>> >
>> > shell# whois Ip_de_Face_book
>> > CID Ip_del_seg_mento/mask
>> >
>> > Saludos !
>> >
>> >
>> > El 5 de noviembre de 2013 08:34, angel jauregui
>> > <darkdiabliyo en gmail.com>escribió:
>> >
>> >> @David asi tengo la denegacion tambien, pero si el usuario cambia
>a
>> >> "https" la pagina ya no es bloqueada, se brinca el filtro.
>> >>
>> >> Esto mas que nada porque en IPTables la regla indica que cualquier
>cosa
>> >> que va al 80 se rediriga al 3128 (puerto squid), y al cambiar a
>HTTPS,
>> ya
>> >> no se aplica la regla.
>> >>
>> >> Ahora no puedo quitar el puerto https y forzar solo http, ya que
>existen
>> >> paginas de gobierno que requieren https, y se me vendria el mundo
>> encima :S.
>> >>
>> >> Estoy intentando con estas reglas, ustedes que opinan:
>> >>
>> >> *# dar acceso a facebook para una ip fija*
>> >> shell# iptables -A FORWARD -p tcp  -s 10.1.0.10 -d
>IP_CIDR_DEFACEBOOK -j
>> >> ACCEPT
>> >>
>> >> *# quitar acceso facebook para cualquiera del segmento*
>> >> shell# iptables -A FORWARD -p tcp -s 10.1.0.0/24 -d
>IP_CIDR_DEFACEBOOK
>> -j
>> >> REJECT
>> >>
>> >> Saludos !
>> >>
>> >>
>> >> El 5 de noviembre de 2013 05:08, David González Romero <
>> >> dgrvedado en gmail.com> escribió:
>> >>
>> >> Tu has probado esta opción en Squid?
>> >>> acl denys url_regex "/etc/squid/denys"
>> >>> Donde
>> >>> /etc/squid/denys contiene:
>> >>> facebook
>> >>> twitter
>> >>> .....
>> >>> Y luego
>> >>> http_access deny restric
>> >>>
>> >>> Al menos así me funciona a mi.
>> >>>
>> >>>
>> >>> Otra opcion sería comentar la línea "acl SSL_ports port 443" para
>> evitar
>> >>> conexiones por el 443...
>> >>>
>> >>>
>> >>>
>> >>>
>> >>> Saludos,
>> >>> David
>> >>>
>> >>>
>> >>>
>> >>> El 4 de noviembre de 2013 18:47, angel jauregui
>> >>> <darkdiabliyo en gmail.com>escribió:
>> >>>
>> >>>> Buenas.
>> >>>>
>> >>>> Estoy implementando limitaciones en la red, el objetivo es
>quitar
>> >>> acceso a
>> >>>> Redes Sociales, en primera instancia tengo SQUID que logra tapar
>el
>> >>> acceso
>> >>>> a los sitios mediante http.
>> >>>>
>> >>>> El problema es que si los sitios tienes HTTPS, este es
>accesible....
>> >>>>
>> >>>> En este caso http://facebook.com esta denegad por Squid.
>> >>>> Pero al poner https://facebook.com entra exitosamente.
>> >>>>
>> >>>> La unica ocurrencia que tuve es usar IPTABLES, asi que puse esta
>regla
>> >>> que
>> >>>> me esta haceindo cumplir el objetivo "En parte":
>> >>>>
>> >>>> iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range
>> >>>> 173.252.64.0-173.252.127.255 -j REJECT
>> >>>>
>> >>>> Donde: 173.252.64.0-173.252.127.255  ---> es el rando CIDr de
>> facebook.
>> >>>>
>> >>>> El problema *ahora radica* en que no logro hacer que ciertas IPs
>> Locales
>> >>>> (privilegiada - jefes) SI puedan acceder a redes sociales :S !.
>> >>>>
>> >>>> Intente ANTEponiendo esta regla:
>> >>>>
>> >>>> iptables -I FORWARD *-s ip_del_jefe *-m tcp -p tcp -m iprange
>> >>> --dst-range
>> >>>> 173.252.64.0-173.252.127.255 -j ACCEPT
>> >>>>
>> >>>> Pero aun asi, se sigue bloqueando el sitio :S....
>> >>>>
>> >>>> *shell# iptables -L -n*
>> >>>> REJECT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp
>> >>>> destination IP range 173.252.64.0-173.252.127.255 reject-with
>> >>>> icmp-port-unreachable
>> >>>> ACCEPT     tcp  --  10.1.0.150           0.0.0.0/0           tcp
>> >>>> destination IP range 173.252.64.0-173.252.127.255
>> >>>>
>> >>>> --
>> >>>> M.S.I. Angel Haniel Cantu Jauregui.
>> >>>>
>> >>>> Celular: (011-52-1)-899-871-17-22
>> >>>> E-Mail: angel.cantu en sie-group.net
>> >>>> Web: http://www.sie-group.net/
>> >>>> Cd. Reynosa Tamaulipas.
>> >>>> _______________________________________________
>> >>>> CentOS-es mailing list
>> >>>> CentOS-es en centos.org
>> >>>> http://lists.centos.org/mailman/listinfo/centos-es
>> >>>>
>> >>> _______________________________________________
>> >>> CentOS-es mailing list
>> >>> CentOS-es en centos.org
>> >>> http://lists.centos.org/mailman/listinfo/centos-es
>> >>>
>> >>
>> >>
>> >> --
>> >> M.S.I. Angel Haniel Cantu Jauregui.
>> >>
>> >> Celular: (011-52-1)-899-871-17-22
>> >> E-Mail: angel.cantu en sie-group.net
>> >> Web: http://www.sie-group.net/
>> >> Cd. Reynosa Tamaulipas.
>> >>
>> >
>> >
>>
>> _______________________________________________
>> CentOS-es mailing list
>> CentOS-es en centos.org
>> http://lists.centos.org/mailman/listinfo/centos-es
>>
>
>
>
>-- 
>M.S.I. Angel Haniel Cantu Jauregui.
>
>Celular: (011-52-1)-899-871-17-22
>E-Mail: angel.cantu en sie-group.net
>Web: http://www.sie-group.net/
>Cd. Reynosa Tamaulipas.
>_______________________________________________
>CentOS-es mailing list
>CentOS-es en centos.org
>http://lists.centos.org/mailman/listinfo/centos-es


Más información sobre la lista de distribución CentOS-es