[CentOS-es] [iptables] denegar rando dependiendo la IP de la fuenta ?

César Martinez cmartinez en servicomecuador.com
Mie Nov 6 22:37:44 UTC 2013


Si lo vi pero estaba probando el link que pasaron te paso como bloqueo 
facebook yo y me funciona super bien estan todas las ips que hasta ahora 
usa facebook, pruebale y avisame, de hecho funciona al 100%, al final 
esta linea done < /etc/squid/reglas/permitidos.txt lee las ips que 
pueden navegar al facebook, aqui agregas la sips que vas a dar acceso y 
eso es todo.

##bloqueo facebook
$IPTABLES -I FORWARD -s 66.220.144.0/24 -j DROP
$IPTABLES -I FORWARD -s 69.63.176.0/24 -j DROP
$IPTABLES -I FORWARD -s 184.50.162.0/24 -j DROP
$IPTABLES -I FORWARD -s 204.15.20.0/24 -j DROP
$IPTABLES -I FORWARD -s 66.220.144.0/24 -j DROP
$IPTABLES -I FORWARD -s 69.63.176.0/24 -j DROP
$IPTABLES -I FORWARD -s 69.171.242.0/24 -j DROP
$IPTABLES -I FORWARD -s 65.54.20.0/24 -j DROP
$IPTABLES -I FORWARD -s 69.63.189.0/24 -j DROP
$IPTABLES -I FORWARD -s 66.220.156.0/24 -j DROP
$IPTABLES -I FORWARD -s 66.220.149.0/24 -j DROP
$IPTABLES -I FORWARD -s 64.13.161.0/24 -j DROP
$IPTABLES -I FORWARD -s 173.252.110.0/24 -j DROP
$IPTABLES -I FORWARD -s 173.252.73.0/24 -j DROP
$IPTABLES -I FORWARD -s 69.171.239.0/24 -j DROP
$IPTABLES -I FORWARD -s 69.171.255.0/24 -j DROP
$IPTABLES -I FORWARD -s 31.13.73.0/24 -j DROP
$IPTABLES -I FORWARD -s 31.13.70.0/24 -j DROP
$IPTABLES -I FORWARD -s 173.252.112.0/24 -j DROP

while read IP
do
##desbloqueo facebook
$IPTABLES -I FORWARD -s $IP -d 66.220.144.0/24 -j ACCEPT
$IPTABLES -I FORWARD -s $IP -d 69.63.176.0/24 -j ACCEPT
$IPTABLES -I FORWARD -s $IP -d 184.50.162.0/24 -j ACCEPT
$IPTABLES -I FORWARD -s $IP -d 204.15.20.0/24 -j ACCEPT
$IPTABLES -I FORWARD -s $IP -d 66.220.144.0/24 -j ACCEPT
$IPTABLES -I FORWARD -s $IP -d 69.63.176.0/24 -j ACCEPT
$IPTABLES -I FORWARD -s $IP -d 69.171.242.0/24 -j ACCEPT
$IPTABLES -I FORWARD -s $IP -d 65.54.20.0/24 -j ACCEPT
$IPTABLES -I FORWARD -s $IP -d 69.63.189.0/24 -j ACCEPT
$IPTABLES -I FORWARD -s $IP -d 66.220.156.0/24 -j ACCEPT
$IPTABLES -I FORWARD -s $IP -d 66.220.149.0/24 -j ACCEPT
$IPTABLES -I FORWARD -s $IP -d 64.13.161.0/24 -j ACCEPT
$IPTABLES -I FORWARD -s $IP -d 173.252.110.0/24 -j ACCEPT
$IPTABLES -I FORWARD -s $IP -d 173.252.73.0/24 -j ACCEPT
$IPTABLES -I FORWARD -s $IP -d 69.171.239.0/24 -j ACCEPT
$IPTABLES -I FORWARD -s $IP -d 69.171.255.0/24 -j ACCEPT
$IPTABLES -I FORWARD -s $IP -d 31.13.73.0/24 -j ACCEPT
$IPTABLES -I FORWARD -s $IP -d 31.13.70.0/24 -j ACCEPT
$IPTABLES -I FORWARD -s $IP -d 173.252.112.0/24 -j ACCEPT
$IPTABLES -I FORWARD -d $IP -s 66.220.144.0/24 -j ACCEPT
$IPTABLES -I FORWARD -d $IP -s 69.63.176.0/24 -j ACCEPT
$IPTABLES -I FORWARD -d $IP -s 184.50.162.0/24 -j ACCEPT
$IPTABLES -I FORWARD -d $IP -s 204.15.20.0/24 -j ACCEPT
$IPTABLES -I FORWARD -d $IP -s 66.220.144.0/24 -j ACCEPT
$IPTABLES -I FORWARD -d $IP -s 69.63.176.0/24 -j ACCEPT
$IPTABLES -I FORWARD -d $IP -s 69.171.242.0/24 -j ACCEPT
$IPTABLES -I FORWARD -d $IP -s 65.54.20.0/24 -j ACCEPT
$IPTABLES -I FORWARD -d $IP -s 69.63.189.0/24 -j ACCEPT
$IPTABLES -I FORWARD -d $IP -s 66.220.156.0/24 -j ACCEPT
$IPTABLES -I FORWARD -d $IP -s 66.220.149.0/24 -j ACCEPT
$IPTABLES -I FORWARD -d $IP -s 64.13.161.0/24 -j ACCEPT
$IPTABLES -I FORWARD -d $IP -s 173.252.110.0/24 -j ACCEPT
$IPTABLES -I FORWARD -d $IP -s 173.252.73.0/24 -j ACCEPT
$IPTABLES -I FORWARD -d $IP -s 69.171.239.0/24 -j ACCEPT
$IPTABLES -I FORWARD -d $IP -s 69.171.255.0/24 -j ACCEPT
$IPTABLES -I FORWARD -d $IP -s 31.13.73.0/24 -j ACCEPT
$IPTABLES -I FORWARD -d $IP -s 31.13.70.0/24 -j ACCEPT
$IPTABLES -I FORWARD -d $IP -s 173.252.112.0/24 -j ACCEPT
done < /etc/squid/reglas/permitidos.txt


Cordialmente
  
César Martínez Mora
Ingeniero de Sistemas
SERVICOM
User Linux 494131
  
Números Convencionales 02-2554-271 02-2221-386
Extensión 4501
Móvil 09-99374-317
Usa (315) 519-7220
Email & Msn cmartinez en servicomecuador.com
Skype servicomecuador
Web www.servicomecuador.com
Síguenos en
Twitter: http://twitter.com/servicomecuador
Facebook: http://www.facebook.com/servicomec
Zona Clientes: www.servicomecuador.com/billing
Blog: http://servicomecuador.com/blog
  
Dir. Av. 10 de Agosto N29-140 Entre
Acuña y  Cuero y Caicedo Edificio Vivanco Castillo
2do. Piso Oficina 201
Quito - Ecuador - Sudamérica
  
=================================================
  
Cláusula de Confidencialidad
La información contenida en este e-mail es confidencial y solo puede ser utilizada por la persona a la
cual esta dirigida.Si Usted no es el receptor autorizado, cualquier retención, difusión, distribución o copia
de este mensaje es prohibida y sancionada por la ley. Si por error recibe este mensaje,  por favor reenviarlo
al remitente y borre el mensaje recibido inmediatamente.
=================================================

On 06/11/13 17:26, angel jauregui wrote:
> @Cesar yo ahorita estoy bloqueando con exito facebook en HTTPS, pero
> bloqueo el rango de IPs no solo del CIDR de facebook, sino tambien las IPs
> de los DNSs de facebook y la IP de facebook.
>
> shell# host facebook.com
> ip_de_face_book   <-- esta ip la bloqueo
>
> shell# whois ip_de_face_book
> CIDR  ip_de_rango_inicial/X  <-- este rango lo bloqueo
>
> shell# whois facebook.com
> Name Servers:
> ns1_de_face_book
> ns2_de_face_book
>
> Al ns2 y ns2 les saco el IP, consulto el CIDR y tambien lo bloqueo.
>
> Saludos !
>
>
> El 6 de noviembre de 2013 16:16, César Martinez <
> cmartinez en servicomecuador.com> escribió:
>
>> Hola acabo de probar con punto y coma las instrucciones que hay en este
>> link que alguien mencionó
>>
>> http://servercomputing.blogspot.com/2012/01/block-facebook-in-squid-proxy-server.html
>> y facebook funciona igual con https tengo mi centos 6.4 actualizado no
>> se si falta algo pero no funciona, lo mejor es cerrar via iptables.
>>
>>
>> Cordialmente
>>
>> César Martínez Mora
>> Ingeniero de Sistemas
>> SERVICOM
>> User Linux 494131
>>
>> Números Convencionales 02-2554-271 02-2221-386
>> Extensión 4501
>> Móvil 09-99374-317
>> Usa (315) 519-7220
>> Email & Msn cmartinez en servicomecuador.com
>> Skype servicomecuador
>> Web www.servicomecuador.com
>> Síguenos en
>> Twitter: http://twitter.com/servicomecuador
>> Facebook: http://www.facebook.com/servicomec
>> Zona Clientes: www.servicomecuador.com/billing
>> Blog: http://servicomecuador.com/blog
>>
>> Dir. Av. 10 de Agosto N29-140 Entre
>> Acuña y  Cuero y Caicedo Edificio Vivanco Castillo
>> 2do. Piso Oficina 201
>> Quito - Ecuador - Sudamérica
>>
>> =================================================
>>
>> Cláusula de Confidencialidad
>> La información contenida en este e-mail es confidencial y solo puede ser
>> utilizada por la persona a la
>> cual esta dirigida.Si Usted no es el receptor autorizado, cualquier
>> retención, difusión, distribución o copia
>> de este mensaje es prohibida y sancionada por la ley. Si por error recibe
>> este mensaje,  por favor reenviarlo
>> al remitente y borre el mensaje recibido inmediatamente.
>> =================================================
>>
>> On 06/11/13 13:50, David González Romero wrote:
>>> Esta es una opción 100% Squid, probada por mi y funciona super bien
>>>
>>>
>> http://servercomputing.blogspot.com/2012/01/block-facebook-in-squid-proxy-server.html
>>> Saludos,
>>> David
>>>
>>>
>>> El 5 de noviembre de 2013 12:42, Ignacio Ordeñana <ifor1982 en gmail.com
>>> escribió:
>>>
>>>> te envio un link de una perosna que tuvo ese mismo problema
>>>>
>>>>
>>>>
>> http://www.ecualug.org/?q=2011/02/10/forums/bloquear_https_de_facebook_en_ip_tables&page=3
>>>> saludos
>>>>
>>>>
>>>> El 5 de noviembre de 2013 09:32, angel jauregui
>>>> <darkdiabliyo en gmail.com>escribió:
>>>>
>>>>> Se cumple la excepcion, y funcionaria no ?
>>>>>
>>>>>
>>>>> El 5 de noviembre de 2013 09:25, Ignacio Ordeñana <ifor1982 en gmail.com
>>>>>> escribió:
>>>>>> a mi parecer esa regla de iptables no te funcionara ya que primero la
>>>>> estas
>>>>>> permitiendo el acceso a una ip en particular luego le quitas acceso a
>>>>> todo
>>>>>> el segmento de red incluyendo la ip que le permites acceso.
>>>>>>
>>>>>> saludos
>>>>>>
>>>>>>
>>>>>> El 5 de noviembre de 2013 08:34, angel jauregui
>>>>>> <darkdiabliyo en gmail.com>escribió:
>>>>>>
>>>>>>> @David asi tengo la denegacion tambien, pero si el usuario cambia a
>>>>>> "https"
>>>>>>> la pagina ya no es bloqueada, se brinca el filtro.
>>>>>>>
>>>>>>> Esto mas que nada porque en IPTables la regla indica que cualquier
>>>> cosa
>>>>>> que
>>>>>>> va al 80 se rediriga al 3128 (puerto squid), y al cambiar a HTTPS, ya
>>>>> no
>>>>>> se
>>>>>>> aplica la regla.
>>>>>>>
>>>>>>> Ahora no puedo quitar el puerto https y forzar solo http, ya que
>>>>> existen
>>>>>>> paginas de gobierno que requieren https, y se me vendria el mundo
>>>>> encima
>>>>>>> :S.
>>>>>>>
>>>>>>> Estoy intentando con estas reglas, ustedes que opinan:
>>>>>>>
>>>>>>> *# dar acceso a facebook para una ip fija*
>>>>>>> shell# iptables -A FORWARD -p tcp  -s 10.1.0.10 -d IP_CIDR_DEFACEBOOK
>>>>> -j
>>>>>>> ACCEPT
>>>>>>>
>>>>>>> *# quitar acceso facebook para cualquiera del segmento*
>>>>>>> shell# iptables -A FORWARD -p tcp -s 10.1.0.0/24 -d
>>>> IP_CIDR_DEFACEBOOK
>>>>>> -j
>>>>>>> REJECT
>>>>>>>
>>>>>>> Saludos !
>>>>>>>
>>>>>>>
>>>>>>> El 5 de noviembre de 2013 05:08, David González Romero
>>>>>>> <dgrvedado en gmail.com>escribió:
>>>>>>>
>>>>>>>> Tu has probado esta opción en Squid?
>>>>>>>>
>>>>>>>> acl denys url_regex "/etc/squid/denys"
>>>>>>>> Donde
>>>>>>>> /etc/squid/denys contiene:
>>>>>>>> facebook
>>>>>>>> twitter
>>>>>>>> .....
>>>>>>>> Y luego
>>>>>>>> http_access deny restric
>>>>>>>>
>>>>>>>> Al menos así me funciona a mi.
>>>>>>>>
>>>>>>>>
>>>>>>>> Otra opcion sería comentar la línea "acl SSL_ports port 443" para
>>>>>> evitar
>>>>>>>> conexiones por el 443...
>>>>>>>>
>>>>>>>>
>>>>>>>>
>>>>>>>>
>>>>>>>> Saludos,
>>>>>>>> David
>>>>>>>>
>>>>>>>>
>>>>>>>>
>>>>>>>> El 4 de noviembre de 2013 18:47, angel jauregui
>>>>>>>> <darkdiabliyo en gmail.com>escribió:
>>>>>>>>
>>>>>>>>> Buenas.
>>>>>>>>>
>>>>>>>>> Estoy implementando limitaciones en la red, el objetivo es quitar
>>>>>>> acceso
>>>>>>>> a
>>>>>>>>> Redes Sociales, en primera instancia tengo SQUID que logra tapar
>>>> el
>>>>>>>> acceso
>>>>>>>>> a los sitios mediante http.
>>>>>>>>>
>>>>>>>>> El problema es que si los sitios tienes HTTPS, este es
>>>>> accesible....
>>>>>>>>> En este caso http://facebook.com esta denegad por Squid.
>>>>>>>>> Pero al poner https://facebook.com entra exitosamente.
>>>>>>>>>
>>>>>>>>> La unica ocurrencia que tuve es usar IPTABLES, asi que puse esta
>>>>>> regla
>>>>>>>> que
>>>>>>>>> me esta haceindo cumplir el objetivo "En parte":
>>>>>>>>>
>>>>>>>>> iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range
>>>>>>>>> 173.252.64.0-173.252.127.255 -j REJECT
>>>>>>>>>
>>>>>>>>> Donde: 173.252.64.0-173.252.127.255  ---> es el rando CIDr de
>>>>>> facebook.
>>>>>>>>> El problema *ahora radica* en que no logro hacer que ciertas IPs
>>>>>>> Locales
>>>>>>>>> (privilegiada - jefes) SI puedan acceder a redes sociales :S !.
>>>>>>>>>
>>>>>>>>> Intente ANTEponiendo esta regla:
>>>>>>>>>
>>>>>>>>> iptables -I FORWARD *-s ip_del_jefe *-m tcp -p tcp -m iprange
>>>>>>> --dst-range
>>>>>>>>> 173.252.64.0-173.252.127.255 -j ACCEPT
>>>>>>>>>
>>>>>>>>> Pero aun asi, se sigue bloqueando el sitio :S....
>>>>>>>>>
>>>>>>>>> *shell# iptables -L -n*
>>>>>>>>> REJECT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp
>>>>>>>>> destination IP range 173.252.64.0-173.252.127.255 reject-with
>>>>>>>>> icmp-port-unreachable
>>>>>>>>> ACCEPT     tcp  --  10.1.0.150           0.0.0.0/0           tcp
>>>>>>>>> destination IP range 173.252.64.0-173.252.127.255
>>>>>>>>>
>>>>>>>>> --
>>>>>>>>> M.S.I. Angel Haniel Cantu Jauregui.
>>>>>>>>>
>>>>>>>>> Celular: (011-52-1)-899-871-17-22
>>>>>>>>> E-Mail: angel.cantu en sie-group.net
>>>>>>>>> Web: http://www.sie-group.net/
>>>>>>>>> Cd. Reynosa Tamaulipas.
>>>>>>>>> _______________________________________________
>>>>>>>>> CentOS-es mailing list
>>>>>>>>> CentOS-es en centos.org
>>>>>>>>> http://lists.centos.org/mailman/listinfo/centos-es
>>>>>>>>>
>>>>>>>> _______________________________________________
>>>>>>>> CentOS-es mailing list
>>>>>>>> CentOS-es en centos.org
>>>>>>>> http://lists.centos.org/mailman/listinfo/centos-es
>>>>>>>>
>>>>>>>
>>>>>>> --
>>>>>>> M.S.I. Angel Haniel Cantu Jauregui.
>>>>>>>
>>>>>>> Celular: (011-52-1)-899-871-17-22
>>>>>>> E-Mail: angel.cantu en sie-group.net
>>>>>>> Web: http://www.sie-group.net/
>>>>>>> Cd. Reynosa Tamaulipas.
>>>>>>> _______________________________________________
>>>>>>> CentOS-es mailing list
>>>>>>> CentOS-es en centos.org
>>>>>>> http://lists.centos.org/mailman/listinfo/centos-es
>>>>>>>
>>>>>> _______________________________________________
>>>>>> CentOS-es mailing list
>>>>>> CentOS-es en centos.org
>>>>>> http://lists.centos.org/mailman/listinfo/centos-es
>>>>>>
>>>>>
>>>>> --
>>>>> M.S.I. Angel Haniel Cantu Jauregui.
>>>>>
>>>>> Celular: (011-52-1)-899-871-17-22
>>>>> E-Mail: angel.cantu en sie-group.net
>>>>> Web: http://www.sie-group.net/
>>>>> Cd. Reynosa Tamaulipas.
>>>>> _______________________________________________
>>>>> CentOS-es mailing list
>>>>> CentOS-es en centos.org
>>>>> http://lists.centos.org/mailman/listinfo/centos-es
>>>>>
>>>> _______________________________________________
>>>> CentOS-es mailing list
>>>> CentOS-es en centos.org
>>>> http://lists.centos.org/mailman/listinfo/centos-es
>>>>
>>> _______________________________________________
>>> CentOS-es mailing list
>>> CentOS-es en centos.org
>>> http://lists.centos.org/mailman/listinfo/centos-es
>>>
>> _______________________________________________
>> CentOS-es mailing list
>> CentOS-es en centos.org
>> http://lists.centos.org/mailman/listinfo/centos-es
>>
>
>



Más información sobre la lista de distribución CentOS-es