[CentOS-es] [iptables] denegar rando dependiendo la IP de la fuenta ?

angel jauregui darkdiabliyo en gmail.com
Mie Nov 6 22:26:59 UTC 2013


Pero estoy haciendo una implementacion que me recomendo @David sobre
bloquear facebook en https usando squid.


El 6 de noviembre de 2013 16:26, angel jauregui
<darkdiabliyo en gmail.com>escribió:

> @Cesar yo ahorita estoy bloqueando con exito facebook en HTTPS, pero
> bloqueo el rango de IPs no solo del CIDR de facebook, sino tambien las IPs
> de los DNSs de facebook y la IP de facebook.
>
> shell# host facebook.com
> ip_de_face_book   <-- esta ip la bloqueo
>
> shell# whois ip_de_face_book
> CIDR  ip_de_rango_inicial/X  <-- este rango lo bloqueo
>
> shell# whois facebook.com
> Name Servers:
> ns1_de_face_book
> ns2_de_face_book
>
> Al ns2 y ns2 les saco el IP, consulto el CIDR y tambien lo bloqueo.
>
> Saludos !
>
>
> El 6 de noviembre de 2013 16:16, César Martinez <
> cmartinez en servicomecuador.com> escribió:
>
> Hola acabo de probar con punto y coma las instrucciones que hay en este
>> link que alguien mencionó
>>
>> http://servercomputing.blogspot.com/2012/01/block-facebook-in-squid-proxy-server.html
>> y facebook funciona igual con https tengo mi centos 6.4 actualizado no
>> se si falta algo pero no funciona, lo mejor es cerrar via iptables.
>>
>>
>> Cordialmente
>>
>> César Martínez Mora
>> Ingeniero de Sistemas
>> SERVICOM
>> User Linux 494131
>>
>> Números Convencionales 02-2554-271 02-2221-386
>> Extensión 4501
>> Móvil 09-99374-317
>> Usa (315) 519-7220
>> Email & Msn cmartinez en servicomecuador.com
>> Skype servicomecuador
>> Web www.servicomecuador.com
>> Síguenos en
>> Twitter: http://twitter.com/servicomecuador
>> Facebook: http://www.facebook.com/servicomec
>> Zona Clientes: www.servicomecuador.com/billing
>> Blog: http://servicomecuador.com/blog
>>
>> Dir. Av. 10 de Agosto N29-140 Entre
>> Acuña y  Cuero y Caicedo Edificio Vivanco Castillo
>> 2do. Piso Oficina 201
>> Quito - Ecuador - Sudamérica
>>
>> =================================================
>>
>> Cláusula de Confidencialidad
>> La información contenida en este e-mail es confidencial y solo puede ser
>> utilizada por la persona a la
>> cual esta dirigida.Si Usted no es el receptor autorizado, cualquier
>> retención, difusión, distribución o copia
>> de este mensaje es prohibida y sancionada por la ley. Si por error recibe
>> este mensaje,  por favor reenviarlo
>> al remitente y borre el mensaje recibido inmediatamente.
>> =================================================
>>
>> On 06/11/13 13:50, David González Romero wrote:
>> > Esta es una opción 100% Squid, probada por mi y funciona super bien
>> >
>> >
>> http://servercomputing.blogspot.com/2012/01/block-facebook-in-squid-proxy-server.html
>> >
>> > Saludos,
>> > David
>> >
>> >
>> > El 5 de noviembre de 2013 12:42, Ignacio Ordeñana <ifor1982 en gmail.com
>> >escribió:
>> >
>> >> te envio un link de una perosna que tuvo ese mismo problema
>> >>
>> >>
>> >>
>> http://www.ecualug.org/?q=2011/02/10/forums/bloquear_https_de_facebook_en_ip_tables&page=3
>> >>
>> >> saludos
>> >>
>> >>
>> >> El 5 de noviembre de 2013 09:32, angel jauregui
>> >> <darkdiabliyo en gmail.com>escribió:
>> >>
>> >>> Se cumple la excepcion, y funcionaria no ?
>> >>>
>> >>>
>> >>> El 5 de noviembre de 2013 09:25, Ignacio Ordeñana <ifor1982 en gmail.com
>> >>>> escribió:
>> >>>> a mi parecer esa regla de iptables no te funcionara ya que primero la
>> >>> estas
>> >>>> permitiendo el acceso a una ip en particular luego le quitas acceso a
>> >>> todo
>> >>>> el segmento de red incluyendo la ip que le permites acceso.
>> >>>>
>> >>>> saludos
>> >>>>
>> >>>>
>> >>>> El 5 de noviembre de 2013 08:34, angel jauregui
>> >>>> <darkdiabliyo en gmail.com>escribió:
>> >>>>
>> >>>>> @David asi tengo la denegacion tambien, pero si el usuario cambia a
>> >>>> "https"
>> >>>>> la pagina ya no es bloqueada, se brinca el filtro.
>> >>>>>
>> >>>>> Esto mas que nada porque en IPTables la regla indica que cualquier
>> >> cosa
>> >>>> que
>> >>>>> va al 80 se rediriga al 3128 (puerto squid), y al cambiar a HTTPS,
>> ya
>> >>> no
>> >>>> se
>> >>>>> aplica la regla.
>> >>>>>
>> >>>>> Ahora no puedo quitar el puerto https y forzar solo http, ya que
>> >>> existen
>> >>>>> paginas de gobierno que requieren https, y se me vendria el mundo
>> >>> encima
>> >>>>> :S.
>> >>>>>
>> >>>>> Estoy intentando con estas reglas, ustedes que opinan:
>> >>>>>
>> >>>>> *# dar acceso a facebook para una ip fija*
>> >>>>> shell# iptables -A FORWARD -p tcp  -s 10.1.0.10 -d
>> IP_CIDR_DEFACEBOOK
>> >>> -j
>> >>>>> ACCEPT
>> >>>>>
>> >>>>> *# quitar acceso facebook para cualquiera del segmento*
>> >>>>> shell# iptables -A FORWARD -p tcp -s 10.1.0.0/24 -d
>> >> IP_CIDR_DEFACEBOOK
>> >>>> -j
>> >>>>> REJECT
>> >>>>>
>> >>>>> Saludos !
>> >>>>>
>> >>>>>
>> >>>>> El 5 de noviembre de 2013 05:08, David González Romero
>> >>>>> <dgrvedado en gmail.com>escribió:
>> >>>>>
>> >>>>>> Tu has probado esta opción en Squid?
>> >>>>>>
>> >>>>>> acl denys url_regex "/etc/squid/denys"
>> >>>>>> Donde
>> >>>>>> /etc/squid/denys contiene:
>> >>>>>> facebook
>> >>>>>> twitter
>> >>>>>> .....
>> >>>>>> Y luego
>> >>>>>> http_access deny restric
>> >>>>>>
>> >>>>>> Al menos así me funciona a mi.
>> >>>>>>
>> >>>>>>
>> >>>>>> Otra opcion sería comentar la línea "acl SSL_ports port 443" para
>> >>>> evitar
>> >>>>>> conexiones por el 443...
>> >>>>>>
>> >>>>>>
>> >>>>>>
>> >>>>>>
>> >>>>>> Saludos,
>> >>>>>> David
>> >>>>>>
>> >>>>>>
>> >>>>>>
>> >>>>>> El 4 de noviembre de 2013 18:47, angel jauregui
>> >>>>>> <darkdiabliyo en gmail.com>escribió:
>> >>>>>>
>> >>>>>>> Buenas.
>> >>>>>>>
>> >>>>>>> Estoy implementando limitaciones en la red, el objetivo es quitar
>> >>>>> acceso
>> >>>>>> a
>> >>>>>>> Redes Sociales, en primera instancia tengo SQUID que logra tapar
>> >> el
>> >>>>>> acceso
>> >>>>>>> a los sitios mediante http.
>> >>>>>>>
>> >>>>>>> El problema es que si los sitios tienes HTTPS, este es
>> >>> accesible....
>> >>>>>>> En este caso http://facebook.com esta denegad por Squid.
>> >>>>>>> Pero al poner https://facebook.com entra exitosamente.
>> >>>>>>>
>> >>>>>>> La unica ocurrencia que tuve es usar IPTABLES, asi que puse esta
>> >>>> regla
>> >>>>>> que
>> >>>>>>> me esta haceindo cumplir el objetivo "En parte":
>> >>>>>>>
>> >>>>>>> iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range
>> >>>>>>> 173.252.64.0-173.252.127.255 -j REJECT
>> >>>>>>>
>> >>>>>>> Donde: 173.252.64.0-173.252.127.255  ---> es el rando CIDr de
>> >>>> facebook.
>> >>>>>>> El problema *ahora radica* en que no logro hacer que ciertas IPs
>> >>>>> Locales
>> >>>>>>> (privilegiada - jefes) SI puedan acceder a redes sociales :S !.
>> >>>>>>>
>> >>>>>>> Intente ANTEponiendo esta regla:
>> >>>>>>>
>> >>>>>>> iptables -I FORWARD *-s ip_del_jefe *-m tcp -p tcp -m iprange
>> >>>>> --dst-range
>> >>>>>>> 173.252.64.0-173.252.127.255 -j ACCEPT
>> >>>>>>>
>> >>>>>>> Pero aun asi, se sigue bloqueando el sitio :S....
>> >>>>>>>
>> >>>>>>> *shell# iptables -L -n*
>> >>>>>>> REJECT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp
>> >>>>>>> destination IP range 173.252.64.0-173.252.127.255 reject-with
>> >>>>>>> icmp-port-unreachable
>> >>>>>>> ACCEPT     tcp  --  10.1.0.150           0.0.0.0/0           tcp
>> >>>>>>> destination IP range 173.252.64.0-173.252.127.255
>> >>>>>>>
>> >>>>>>> --
>> >>>>>>> M.S.I. Angel Haniel Cantu Jauregui.
>> >>>>>>>
>> >>>>>>> Celular: (011-52-1)-899-871-17-22
>> >>>>>>> E-Mail: angel.cantu en sie-group.net
>> >>>>>>> Web: http://www.sie-group.net/
>> >>>>>>> Cd. Reynosa Tamaulipas.
>> >>>>>>> _______________________________________________
>> >>>>>>> CentOS-es mailing list
>> >>>>>>> CentOS-es en centos.org
>> >>>>>>> http://lists.centos.org/mailman/listinfo/centos-es
>> >>>>>>>
>> >>>>>> _______________________________________________
>> >>>>>> CentOS-es mailing list
>> >>>>>> CentOS-es en centos.org
>> >>>>>> http://lists.centos.org/mailman/listinfo/centos-es
>> >>>>>>
>> >>>>>
>> >>>>>
>> >>>>> --
>> >>>>> M.S.I. Angel Haniel Cantu Jauregui.
>> >>>>>
>> >>>>> Celular: (011-52-1)-899-871-17-22
>> >>>>> E-Mail: angel.cantu en sie-group.net
>> >>>>> Web: http://www.sie-group.net/
>> >>>>> Cd. Reynosa Tamaulipas.
>> >>>>> _______________________________________________
>> >>>>> CentOS-es mailing list
>> >>>>> CentOS-es en centos.org
>> >>>>> http://lists.centos.org/mailman/listinfo/centos-es
>> >>>>>
>> >>>> _______________________________________________
>> >>>> CentOS-es mailing list
>> >>>> CentOS-es en centos.org
>> >>>> http://lists.centos.org/mailman/listinfo/centos-es
>> >>>>
>> >>>
>> >>>
>> >>> --
>> >>> M.S.I. Angel Haniel Cantu Jauregui.
>> >>>
>> >>> Celular: (011-52-1)-899-871-17-22
>> >>> E-Mail: angel.cantu en sie-group.net
>> >>> Web: http://www.sie-group.net/
>> >>> Cd. Reynosa Tamaulipas.
>> >>> _______________________________________________
>> >>> CentOS-es mailing list
>> >>> CentOS-es en centos.org
>> >>> http://lists.centos.org/mailman/listinfo/centos-es
>> >>>
>> >> _______________________________________________
>> >> CentOS-es mailing list
>> >> CentOS-es en centos.org
>> >> http://lists.centos.org/mailman/listinfo/centos-es
>> >>
>> > _______________________________________________
>> > CentOS-es mailing list
>> > CentOS-es en centos.org
>> > http://lists.centos.org/mailman/listinfo/centos-es
>> >
>>
>> _______________________________________________
>> CentOS-es mailing list
>> CentOS-es en centos.org
>> http://lists.centos.org/mailman/listinfo/centos-es
>>
>
>
>
> --
> M.S.I. Angel Haniel Cantu Jauregui.
>
> Celular: (011-52-1)-899-871-17-22
> E-Mail: angel.cantu en sie-group.net
> Web: http://www.sie-group.net/
> Cd. Reynosa Tamaulipas.
>



-- 
M.S.I. Angel Haniel Cantu Jauregui.

Celular: (011-52-1)-899-871-17-22
E-Mail: angel.cantu en sie-group.net
Web: http://www.sie-group.net/
Cd. Reynosa Tamaulipas.


Más información sobre la lista de distribución CentOS-es