[CentOS-es] [iptables] denegar rando dependiendo la IP de la fuenta ?
David González Romero
dgrvedado en gmail.com
Mar Nov 5 15:19:23 UTC 2013
Hace un forward en el IPtables de que todo lo que vaya al 0/0 port 80, 443,
21, 20, etc... vaya al 3128...
Squid no necesita configuacion adicional para https lo soporta
perfectamente bien. Tu puedes controlar los accesos por dominios, o por
IP... escoge el que te guste.
Saludos,
David
El 5 de noviembre de 2013 12:07, angel jauregui
<darkdiabliyo en gmail.com>escribió:
> mmm es qye hay varios listillos que se lo podrian brincar :S... existe la
> problematica que en esa red todos tienen acceso admin a sus propios
> equipos. Generalmente siempre estan conectados con una cuenta de usuario
> dentro del dominio local, pero a veces se logean con la cuenta admin.
>
> Y como soy un prestador de servicios y no quieren invertir, la unica
> solucion es poner el proxy como GW.
>
> Para prevenir retardos coloque en el proxy 2 tarjetas de red 1Gb en
> virtual, y configure el switch cisco como VLAN en los 2 puertos donde
> conecto el proxy.
>
> Saludos !
>
>
> El 5 de noviembre de 2013 08:52, Ramón Macías Zamora <rmacias en rks.ec
> >escribió:
>
> > Efectivamente el problema que tienes es porque está usando proxy
> > transparente.
> >
> > Si no usas proxy transparente si puedes controlarlo con las acl normales,
> > sin embargo para que funcione el proxy debes configurar manualmente el
> > proxy en los navegadores (En Firefox -> Preferencias -> Avanzado -> red
> ->
> > Conexión dar click en Configurar -> Configuración Manual del Proxy
> >
> > Saludos
> >
> > --
> >
> >
> >
> > Ramón Macías Zamora
> > Tecnología, Investigación y Desarrollo
> > www.rks.ec - www.raykasolutions.com
> > Guayaquil - Ecuador
> > msn: ramon_macias en hotmail.com
> > skype: ramon_macias
> > UserLinux# 180926 (http://counter.li.org)
> > Cel: 593-8-0192238
> > Tel: 593 4 6044566
> >
> > <http://www.raykasolutions.com/>
> >
> >
> > WEB SITES, HOSTINGS, DOMINIOS, MANTENIMIENTO DE EQUIPOS, REDES,
> SERVIDORES
> > LINUX, SOPORTE.
> >
> >
> > 2013/11/5 angel jauregui <darkdiabliyo en gmail.com>
> >
> > > @Ramon no entiendo cuando mencionas "forzar a que los usuarios
> configuren
> > > el proxy" ???
> > >
> > > Los usuarios no tienen que configurar nada, ya que por consecuencia el
> GW
> > > que se les asigna es el del proxy, el proxy en si actua como
> > > Proxy+Router+firewall.
> > >
> > > No entendi :S
> > >
> > > Saludos !
> > >
> > >
> > > El 5 de noviembre de 2013 08:38, Ramón Macías Zamora <rmacias en rks.ec
> > > >escribió:
> > >
> > > > Yo creo que la solución ahí es forzar a que los usuarios configuren
> el
> > > > proxy en vez de usar proxy transparente que sólo funciona para http y
> > no
> > > > para https.
> > > >
> > > > Saludos
> > > >
> > > > --
> > > >
> > > >
> > > >
> > > > Ramón Macías Zamora
> > > > Tecnología, Investigación y Desarrollo
> > > > www.rks.ec - www.raykasolutions.com
> > > > Guayaquil - Ecuador
> > > > msn: ramon_macias en hotmail.com
> > > > skype: ramon_macias
> > > > UserLinux# 180926 (http://counter.li.org)
> > > > Cel: 593-8-0192238
> > > > Tel: 593 4 6044566
> > > >
> > > > <http://www.raykasolutions.com/>
> > > >
> > > >
> > > > WEB SITES, HOSTINGS, DOMINIOS, MANTENIMIENTO DE EQUIPOS, REDES,
> > > SERVIDORES
> > > > LINUX, SOPORTE.
> > > >
> > > >
> > > > 2013/11/5 angel jauregui <darkdiabliyo en gmail.com>
> > > >
> > > > > @David asi tengo la denegacion tambien, pero si el usuario cambia a
> > > > "https"
> > > > > la pagina ya no es bloqueada, se brinca el filtro.
> > > > >
> > > > > Esto mas que nada porque en IPTables la regla indica que cualquier
> > cosa
> > > > que
> > > > > va al 80 se rediriga al 3128 (puerto squid), y al cambiar a HTTPS,
> ya
> > > no
> > > > se
> > > > > aplica la regla.
> > > > >
> > > > > Ahora no puedo quitar el puerto https y forzar solo http, ya que
> > > existen
> > > > > paginas de gobierno que requieren https, y se me vendria el mundo
> > > encima
> > > > > :S.
> > > > >
> > > > > Estoy intentando con estas reglas, ustedes que opinan:
> > > > >
> > > > > *# dar acceso a facebook para una ip fija*
> > > > > shell# iptables -A FORWARD -p tcp -s 10.1.0.10 -d
> IP_CIDR_DEFACEBOOK
> > > -j
> > > > > ACCEPT
> > > > >
> > > > > *# quitar acceso facebook para cualquiera del segmento*
> > > > > shell# iptables -A FORWARD -p tcp -s 10.1.0.0/24 -d
> > IP_CIDR_DEFACEBOOK
> > > > -j
> > > > > REJECT
> > > > >
> > > > > Saludos !
> > > > >
> > > > >
> > > > > El 5 de noviembre de 2013 05:08, David González Romero
> > > > > <dgrvedado en gmail.com>escribió:
> > > > >
> > > > > > Tu has probado esta opción en Squid?
> > > > > >
> > > > > > acl denys url_regex "/etc/squid/denys"
> > > > > > Donde
> > > > > > /etc/squid/denys contiene:
> > > > > > facebook
> > > > > > twitter
> > > > > > .....
> > > > > > Y luego
> > > > > > http_access deny restric
> > > > > >
> > > > > > Al menos así me funciona a mi.
> > > > > >
> > > > > >
> > > > > > Otra opcion sería comentar la línea "acl SSL_ports port 443" para
> > > > evitar
> > > > > > conexiones por el 443...
> > > > > >
> > > > > >
> > > > > >
> > > > > >
> > > > > > Saludos,
> > > > > > David
> > > > > >
> > > > > >
> > > > > >
> > > > > > El 4 de noviembre de 2013 18:47, angel jauregui
> > > > > > <darkdiabliyo en gmail.com>escribió:
> > > > > >
> > > > > > > Buenas.
> > > > > > >
> > > > > > > Estoy implementando limitaciones en la red, el objetivo es
> quitar
> > > > > acceso
> > > > > > a
> > > > > > > Redes Sociales, en primera instancia tengo SQUID que logra
> tapar
> > el
> > > > > > acceso
> > > > > > > a los sitios mediante http.
> > > > > > >
> > > > > > > El problema es que si los sitios tienes HTTPS, este es
> > > accesible....
> > > > > > >
> > > > > > > En este caso http://facebook.com esta denegad por Squid.
> > > > > > > Pero al poner https://facebook.com entra exitosamente.
> > > > > > >
> > > > > > > La unica ocurrencia que tuve es usar IPTABLES, asi que puse
> esta
> > > > regla
> > > > > > que
> > > > > > > me esta haceindo cumplir el objetivo "En parte":
> > > > > > >
> > > > > > > iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range
> > > > > > > 173.252.64.0-173.252.127.255 -j REJECT
> > > > > > >
> > > > > > > Donde: 173.252.64.0-173.252.127.255 ---> es el rando CIDr de
> > > > facebook.
> > > > > > >
> > > > > > > El problema *ahora radica* en que no logro hacer que ciertas
> IPs
> > > > > Locales
> > > > > > > (privilegiada - jefes) SI puedan acceder a redes sociales :S !.
> > > > > > >
> > > > > > > Intente ANTEponiendo esta regla:
> > > > > > >
> > > > > > > iptables -I FORWARD *-s ip_del_jefe *-m tcp -p tcp -m iprange
> > > > > --dst-range
> > > > > > > 173.252.64.0-173.252.127.255 -j ACCEPT
> > > > > > >
> > > > > > > Pero aun asi, se sigue bloqueando el sitio :S....
> > > > > > >
> > > > > > > *shell# iptables -L -n*
> > > > > > > REJECT tcp -- 0.0.0.0/0 0.0.0.0/0
> tcp
> > > > > > > destination IP range 173.252.64.0-173.252.127.255 reject-with
> > > > > > > icmp-port-unreachable
> > > > > > > ACCEPT tcp -- 10.1.0.150 0.0.0.0/0
> tcp
> > > > > > > destination IP range 173.252.64.0-173.252.127.255
> > > > > > >
> > > > > > > --
> > > > > > > M.S.I. Angel Haniel Cantu Jauregui.
> > > > > > >
> > > > > > > Celular: (011-52-1)-899-871-17-22
> > > > > > > E-Mail: angel.cantu en sie-group.net
> > > > > > > Web: http://www.sie-group.net/
> > > > > > > Cd. Reynosa Tamaulipas.
> > > > > > > _______________________________________________
> > > > > > > CentOS-es mailing list
> > > > > > > CentOS-es en centos.org
> > > > > > > http://lists.centos.org/mailman/listinfo/centos-es
> > > > > > >
> > > > > > _______________________________________________
> > > > > > CentOS-es mailing list
> > > > > > CentOS-es en centos.org
> > > > > > http://lists.centos.org/mailman/listinfo/centos-es
> > > > > >
> > > > >
> > > > >
> > > > >
> > > > > --
> > > > > M.S.I. Angel Haniel Cantu Jauregui.
> > > > >
> > > > > Celular: (011-52-1)-899-871-17-22
> > > > > E-Mail: angel.cantu en sie-group.net
> > > > > Web: http://www.sie-group.net/
> > > > > Cd. Reynosa Tamaulipas.
> > > > > _______________________________________________
> > > > > CentOS-es mailing list
> > > > > CentOS-es en centos.org
> > > > > http://lists.centos.org/mailman/listinfo/centos-es
> > > > >
> > > > _______________________________________________
> > > > CentOS-es mailing list
> > > > CentOS-es en centos.org
> > > > http://lists.centos.org/mailman/listinfo/centos-es
> > > >
> > >
> > >
> > >
> > > --
> > > M.S.I. Angel Haniel Cantu Jauregui.
> > >
> > > Celular: (011-52-1)-899-871-17-22
> > > E-Mail: angel.cantu en sie-group.net
> > > Web: http://www.sie-group.net/
> > > Cd. Reynosa Tamaulipas.
> > > _______________________________________________
> > > CentOS-es mailing list
> > > CentOS-es en centos.org
> > > http://lists.centos.org/mailman/listinfo/centos-es
> > >
> > _______________________________________________
> > CentOS-es mailing list
> > CentOS-es en centos.org
> > http://lists.centos.org/mailman/listinfo/centos-es
> >
>
>
>
> --
> M.S.I. Angel Haniel Cantu Jauregui.
>
> Celular: (011-52-1)-899-871-17-22
> E-Mail: angel.cantu en sie-group.net
> Web: http://www.sie-group.net/
> Cd. Reynosa Tamaulipas.
> _______________________________________________
> CentOS-es mailing list
> CentOS-es en centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>
Más información sobre la lista de distribución CentOS-es