[CentOS-es] [iptables] denegar rando dependiendo la IP de la fuenta ?

César Martinez cmartinez en servicomecuador.com
Mie Nov 6 22:16:33 UTC 2013


Hola acabo de probar con punto y coma las instrucciones que hay en este 
link que alguien mencionó 
http://servercomputing.blogspot.com/2012/01/block-facebook-in-squid-proxy-server.html 
y facebook funciona igual con https tengo mi centos 6.4 actualizado no 
se si falta algo pero no funciona, lo mejor es cerrar via iptables.


Cordialmente
  
César Martínez Mora
Ingeniero de Sistemas
SERVICOM
User Linux 494131
  
Números Convencionales 02-2554-271 02-2221-386
Extensión 4501
Móvil 09-99374-317
Usa (315) 519-7220
Email & Msn cmartinez en servicomecuador.com
Skype servicomecuador
Web www.servicomecuador.com
Síguenos en
Twitter: http://twitter.com/servicomecuador
Facebook: http://www.facebook.com/servicomec
Zona Clientes: www.servicomecuador.com/billing
Blog: http://servicomecuador.com/blog
  
Dir. Av. 10 de Agosto N29-140 Entre
Acuña y  Cuero y Caicedo Edificio Vivanco Castillo
2do. Piso Oficina 201
Quito - Ecuador - Sudamérica
  
=================================================
  
Cláusula de Confidencialidad
La información contenida en este e-mail es confidencial y solo puede ser utilizada por la persona a la
cual esta dirigida.Si Usted no es el receptor autorizado, cualquier retención, difusión, distribución o copia
de este mensaje es prohibida y sancionada por la ley. Si por error recibe este mensaje,  por favor reenviarlo
al remitente y borre el mensaje recibido inmediatamente.
=================================================

On 06/11/13 13:50, David González Romero wrote:
> Esta es una opción 100% Squid, probada por mi y funciona super bien
>
> http://servercomputing.blogspot.com/2012/01/block-facebook-in-squid-proxy-server.html
>
> Saludos,
> David
>
>
> El 5 de noviembre de 2013 12:42, Ignacio Ordeñana <ifor1982 en gmail.com>escribió:
>
>> te envio un link de una perosna que tuvo ese mismo problema
>>
>>
>> http://www.ecualug.org/?q=2011/02/10/forums/bloquear_https_de_facebook_en_ip_tables&page=3
>>
>> saludos
>>
>>
>> El 5 de noviembre de 2013 09:32, angel jauregui
>> <darkdiabliyo en gmail.com>escribió:
>>
>>> Se cumple la excepcion, y funcionaria no ?
>>>
>>>
>>> El 5 de noviembre de 2013 09:25, Ignacio Ordeñana <ifor1982 en gmail.com
>>>> escribió:
>>>> a mi parecer esa regla de iptables no te funcionara ya que primero la
>>> estas
>>>> permitiendo el acceso a una ip en particular luego le quitas acceso a
>>> todo
>>>> el segmento de red incluyendo la ip que le permites acceso.
>>>>
>>>> saludos
>>>>
>>>>
>>>> El 5 de noviembre de 2013 08:34, angel jauregui
>>>> <darkdiabliyo en gmail.com>escribió:
>>>>
>>>>> @David asi tengo la denegacion tambien, pero si el usuario cambia a
>>>> "https"
>>>>> la pagina ya no es bloqueada, se brinca el filtro.
>>>>>
>>>>> Esto mas que nada porque en IPTables la regla indica que cualquier
>> cosa
>>>> que
>>>>> va al 80 se rediriga al 3128 (puerto squid), y al cambiar a HTTPS, ya
>>> no
>>>> se
>>>>> aplica la regla.
>>>>>
>>>>> Ahora no puedo quitar el puerto https y forzar solo http, ya que
>>> existen
>>>>> paginas de gobierno que requieren https, y se me vendria el mundo
>>> encima
>>>>> :S.
>>>>>
>>>>> Estoy intentando con estas reglas, ustedes que opinan:
>>>>>
>>>>> *# dar acceso a facebook para una ip fija*
>>>>> shell# iptables -A FORWARD -p tcp  -s 10.1.0.10 -d IP_CIDR_DEFACEBOOK
>>> -j
>>>>> ACCEPT
>>>>>
>>>>> *# quitar acceso facebook para cualquiera del segmento*
>>>>> shell# iptables -A FORWARD -p tcp -s 10.1.0.0/24 -d
>> IP_CIDR_DEFACEBOOK
>>>> -j
>>>>> REJECT
>>>>>
>>>>> Saludos !
>>>>>
>>>>>
>>>>> El 5 de noviembre de 2013 05:08, David González Romero
>>>>> <dgrvedado en gmail.com>escribió:
>>>>>
>>>>>> Tu has probado esta opción en Squid?
>>>>>>
>>>>>> acl denys url_regex "/etc/squid/denys"
>>>>>> Donde
>>>>>> /etc/squid/denys contiene:
>>>>>> facebook
>>>>>> twitter
>>>>>> .....
>>>>>> Y luego
>>>>>> http_access deny restric
>>>>>>
>>>>>> Al menos así me funciona a mi.
>>>>>>
>>>>>>
>>>>>> Otra opcion sería comentar la línea "acl SSL_ports port 443" para
>>>> evitar
>>>>>> conexiones por el 443...
>>>>>>
>>>>>>
>>>>>>
>>>>>>
>>>>>> Saludos,
>>>>>> David
>>>>>>
>>>>>>
>>>>>>
>>>>>> El 4 de noviembre de 2013 18:47, angel jauregui
>>>>>> <darkdiabliyo en gmail.com>escribió:
>>>>>>
>>>>>>> Buenas.
>>>>>>>
>>>>>>> Estoy implementando limitaciones en la red, el objetivo es quitar
>>>>> acceso
>>>>>> a
>>>>>>> Redes Sociales, en primera instancia tengo SQUID que logra tapar
>> el
>>>>>> acceso
>>>>>>> a los sitios mediante http.
>>>>>>>
>>>>>>> El problema es que si los sitios tienes HTTPS, este es
>>> accesible....
>>>>>>> En este caso http://facebook.com esta denegad por Squid.
>>>>>>> Pero al poner https://facebook.com entra exitosamente.
>>>>>>>
>>>>>>> La unica ocurrencia que tuve es usar IPTABLES, asi que puse esta
>>>> regla
>>>>>> que
>>>>>>> me esta haceindo cumplir el objetivo "En parte":
>>>>>>>
>>>>>>> iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range
>>>>>>> 173.252.64.0-173.252.127.255 -j REJECT
>>>>>>>
>>>>>>> Donde: 173.252.64.0-173.252.127.255  ---> es el rando CIDr de
>>>> facebook.
>>>>>>> El problema *ahora radica* en que no logro hacer que ciertas IPs
>>>>> Locales
>>>>>>> (privilegiada - jefes) SI puedan acceder a redes sociales :S !.
>>>>>>>
>>>>>>> Intente ANTEponiendo esta regla:
>>>>>>>
>>>>>>> iptables -I FORWARD *-s ip_del_jefe *-m tcp -p tcp -m iprange
>>>>> --dst-range
>>>>>>> 173.252.64.0-173.252.127.255 -j ACCEPT
>>>>>>>
>>>>>>> Pero aun asi, se sigue bloqueando el sitio :S....
>>>>>>>
>>>>>>> *shell# iptables -L -n*
>>>>>>> REJECT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp
>>>>>>> destination IP range 173.252.64.0-173.252.127.255 reject-with
>>>>>>> icmp-port-unreachable
>>>>>>> ACCEPT     tcp  --  10.1.0.150           0.0.0.0/0           tcp
>>>>>>> destination IP range 173.252.64.0-173.252.127.255
>>>>>>>
>>>>>>> --
>>>>>>> M.S.I. Angel Haniel Cantu Jauregui.
>>>>>>>
>>>>>>> Celular: (011-52-1)-899-871-17-22
>>>>>>> E-Mail: angel.cantu en sie-group.net
>>>>>>> Web: http://www.sie-group.net/
>>>>>>> Cd. Reynosa Tamaulipas.
>>>>>>> _______________________________________________
>>>>>>> CentOS-es mailing list
>>>>>>> CentOS-es en centos.org
>>>>>>> http://lists.centos.org/mailman/listinfo/centos-es
>>>>>>>
>>>>>> _______________________________________________
>>>>>> CentOS-es mailing list
>>>>>> CentOS-es en centos.org
>>>>>> http://lists.centos.org/mailman/listinfo/centos-es
>>>>>>
>>>>>
>>>>>
>>>>> --
>>>>> M.S.I. Angel Haniel Cantu Jauregui.
>>>>>
>>>>> Celular: (011-52-1)-899-871-17-22
>>>>> E-Mail: angel.cantu en sie-group.net
>>>>> Web: http://www.sie-group.net/
>>>>> Cd. Reynosa Tamaulipas.
>>>>> _______________________________________________
>>>>> CentOS-es mailing list
>>>>> CentOS-es en centos.org
>>>>> http://lists.centos.org/mailman/listinfo/centos-es
>>>>>
>>>> _______________________________________________
>>>> CentOS-es mailing list
>>>> CentOS-es en centos.org
>>>> http://lists.centos.org/mailman/listinfo/centos-es
>>>>
>>>
>>>
>>> --
>>> M.S.I. Angel Haniel Cantu Jauregui.
>>>
>>> Celular: (011-52-1)-899-871-17-22
>>> E-Mail: angel.cantu en sie-group.net
>>> Web: http://www.sie-group.net/
>>> Cd. Reynosa Tamaulipas.
>>> _______________________________________________
>>> CentOS-es mailing list
>>> CentOS-es en centos.org
>>> http://lists.centos.org/mailman/listinfo/centos-es
>>>
>> _______________________________________________
>> CentOS-es mailing list
>> CentOS-es en centos.org
>> http://lists.centos.org/mailman/listinfo/centos-es
>>
> _______________________________________________
> CentOS-es mailing list
> CentOS-es en centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>



Más información sobre la lista de distribución CentOS-es