[CentOS-es] [iptables] denegar rando dependiendo la IP de la fuenta ?

David González Romero dgrvedado en gmail.com
Sab Nov 16 00:08:40 UTC 2013


Bueno yo lo tengo implementado en mi red, claro yo no uso proxy
transparente.

Como lo hice

En squid.conf

Siempre están estas líneas:
acl SSL_ports port 443
acl Safe_ports port 80        # http
acl Safe_ports port 21        # ftp
acl Safe_ports port 443        # https
acl Safe_ports port 70        # gopher
acl Safe_ports port 210        # wais
acl Safe_ports port 1025-65535    # unregistered ports
acl Safe_ports port 280        # http-mgmt
acl Safe_ports port 488        # gss-http
acl Safe_ports port 591        # filemaker
acl Safe_ports port 777        # multiling http
acl CONNECT method CONNECT

Luego de estas ACL están las reglas en si:
# Deny requests to certain unsafe ports
#http_access deny !Safe_ports
http_access allow Safe_ports

# Deny CONNECT to other than secure SSL ports
http_access deny CONNECT !SSL_ports

Bien el código que envié antes funciona perfectamente quedando de esta
forma:
---------------------------------------------------------------------------------------------------------
##Por problemas de Dengacion de Redes Sociales se pasa a este nivel la
denegacion de FB y demas
acl redes-soc url_regex -i  "/etc/squid/redes-soc"
acl extenciones url_regex "/etc/squid/extenciones"
http_reply_access deny  redes-soc localnet
http_access deny CONNECT redes-soc localnet
http_access allow localnet

# Deny requests to certain unsafe ports
#http_access deny !Safe_ports
http_access allow Safe_ports

# Deny CONNECT to other than secure SSL ports
http_access deny CONNECT !SSL_ports
---------------------------------------------------------------------------------------------------------
Dentro de /etc/squid/redes-soc tengo
facebook.com
twitter.com
hi5.com

Te puedo asegurar que funciona 100% con reclamos de los clientes incluidos
al ser implementada la regla. Eso si y repito mi servidor no es un proxy
transparente. Pero no tuve que hacer adsolutamente más nada en iptables o
similares.

Ahh!!! Google, Yahoo y comapñias https entran super bien.

Saludos,
David




El 6 de noviembre de 2013 19:58, Ignacio Ordeñana <ifor1982 en gmail.com>escribió:

> hola david no funciona ya la probe en su momento en proxy transparente
>
> saludos
>
>
> El 6 de noviembre de 2013 12:50, David González Romero
> <dgrvedado en gmail.com>escribió:
>
> > Esta es una opción 100% Squid, probada por mi y funciona super bien
> >
> >
> >
> http://servercomputing.blogspot.com/2012/01/block-facebook-in-squid-proxy-server.html
> >
> > Saludos,
> > David
> >
> >
> > El 5 de noviembre de 2013 12:42, Ignacio Ordeñana <ifor1982 en gmail.com
> > >escribió:
> >
> > > te envio un link de una perosna que tuvo ese mismo problema
> > >
> > >
> > >
> >
> http://www.ecualug.org/?q=2011/02/10/forums/bloquear_https_de_facebook_en_ip_tables&page=3
> > >
> > > saludos
> > >
> > >
> > > El 5 de noviembre de 2013 09:32, angel jauregui
> > > <darkdiabliyo en gmail.com>escribió:
> > >
> > > > Se cumple la excepcion, y funcionaria no ?
> > > >
> > > >
> > > > El 5 de noviembre de 2013 09:25, Ignacio Ordeñana <
> ifor1982 en gmail.com
> > > > >escribió:
> > > >
> > > > > a mi parecer esa regla de iptables no te funcionara ya que primero
> la
> > > > estas
> > > > > permitiendo el acceso a una ip en particular luego le quitas
> acceso a
> > > > todo
> > > > > el segmento de red incluyendo la ip que le permites acceso.
> > > > >
> > > > > saludos
> > > > >
> > > > >
> > > > > El 5 de noviembre de 2013 08:34, angel jauregui
> > > > > <darkdiabliyo en gmail.com>escribió:
> > > > >
> > > > > > @David asi tengo la denegacion tambien, pero si el usuario
> cambia a
> > > > > "https"
> > > > > > la pagina ya no es bloqueada, se brinca el filtro.
> > > > > >
> > > > > > Esto mas que nada porque en IPTables la regla indica que
> cualquier
> > > cosa
> > > > > que
> > > > > > va al 80 se rediriga al 3128 (puerto squid), y al cambiar a
> HTTPS,
> > ya
> > > > no
> > > > > se
> > > > > > aplica la regla.
> > > > > >
> > > > > > Ahora no puedo quitar el puerto https y forzar solo http, ya que
> > > > existen
> > > > > > paginas de gobierno que requieren https, y se me vendria el mundo
> > > > encima
> > > > > > :S.
> > > > > >
> > > > > > Estoy intentando con estas reglas, ustedes que opinan:
> > > > > >
> > > > > > *# dar acceso a facebook para una ip fija*
> > > > > > shell# iptables -A FORWARD -p tcp  -s 10.1.0.10 -d
> > IP_CIDR_DEFACEBOOK
> > > > -j
> > > > > > ACCEPT
> > > > > >
> > > > > > *# quitar acceso facebook para cualquiera del segmento*
> > > > > > shell# iptables -A FORWARD -p tcp -s 10.1.0.0/24 -d
> > > IP_CIDR_DEFACEBOOK
> > > > > -j
> > > > > > REJECT
> > > > > >
> > > > > > Saludos !
> > > > > >
> > > > > >
> > > > > > El 5 de noviembre de 2013 05:08, David González Romero
> > > > > > <dgrvedado en gmail.com>escribió:
> > > > > >
> > > > > > > Tu has probado esta opción en Squid?
> > > > > > >
> > > > > > > acl denys url_regex "/etc/squid/denys"
> > > > > > > Donde
> > > > > > > /etc/squid/denys contiene:
> > > > > > > facebook
> > > > > > > twitter
> > > > > > > .....
> > > > > > > Y luego
> > > > > > > http_access deny restric
> > > > > > >
> > > > > > > Al menos así me funciona a mi.
> > > > > > >
> > > > > > >
> > > > > > > Otra opcion sería comentar la línea "acl SSL_ports port 443"
> para
> > > > > evitar
> > > > > > > conexiones por el 443...
> > > > > > >
> > > > > > >
> > > > > > >
> > > > > > >
> > > > > > > Saludos,
> > > > > > > David
> > > > > > >
> > > > > > >
> > > > > > >
> > > > > > > El 4 de noviembre de 2013 18:47, angel jauregui
> > > > > > > <darkdiabliyo en gmail.com>escribió:
> > > > > > >
> > > > > > > > Buenas.
> > > > > > > >
> > > > > > > > Estoy implementando limitaciones en la red, el objetivo es
> > quitar
> > > > > > acceso
> > > > > > > a
> > > > > > > > Redes Sociales, en primera instancia tengo SQUID que logra
> > tapar
> > > el
> > > > > > > acceso
> > > > > > > > a los sitios mediante http.
> > > > > > > >
> > > > > > > > El problema es que si los sitios tienes HTTPS, este es
> > > > accesible....
> > > > > > > >
> > > > > > > > En este caso http://facebook.com esta denegad por Squid.
> > > > > > > > Pero al poner https://facebook.com entra exitosamente.
> > > > > > > >
> > > > > > > > La unica ocurrencia que tuve es usar IPTABLES, asi que puse
> > esta
> > > > > regla
> > > > > > > que
> > > > > > > > me esta haceindo cumplir el objetivo "En parte":
> > > > > > > >
> > > > > > > > iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range
> > > > > > > > 173.252.64.0-173.252.127.255 -j REJECT
> > > > > > > >
> > > > > > > > Donde: 173.252.64.0-173.252.127.255  ---> es el rando CIDr de
> > > > > facebook.
> > > > > > > >
> > > > > > > > El problema *ahora radica* en que no logro hacer que ciertas
> > IPs
> > > > > > Locales
> > > > > > > > (privilegiada - jefes) SI puedan acceder a redes sociales :S
> !.
> > > > > > > >
> > > > > > > > Intente ANTEponiendo esta regla:
> > > > > > > >
> > > > > > > > iptables -I FORWARD *-s ip_del_jefe *-m tcp -p tcp -m iprange
> > > > > > --dst-range
> > > > > > > > 173.252.64.0-173.252.127.255 -j ACCEPT
> > > > > > > >
> > > > > > > > Pero aun asi, se sigue bloqueando el sitio :S....
> > > > > > > >
> > > > > > > > *shell# iptables -L -n*
> > > > > > > > REJECT     tcp  --  0.0.0.0/0            0.0.0.0/0
> > tcp
> > > > > > > > destination IP range 173.252.64.0-173.252.127.255 reject-with
> > > > > > > > icmp-port-unreachable
> > > > > > > > ACCEPT     tcp  --  10.1.0.150           0.0.0.0/0
> > tcp
> > > > > > > > destination IP range 173.252.64.0-173.252.127.255
> > > > > > > >
> > > > > > > > --
> > > > > > > > M.S.I. Angel Haniel Cantu Jauregui.
> > > > > > > >
> > > > > > > > Celular: (011-52-1)-899-871-17-22
> > > > > > > > E-Mail: angel.cantu en sie-group.net
> > > > > > > > Web: http://www.sie-group.net/
> > > > > > > > Cd. Reynosa Tamaulipas.
> > > > > > > > _______________________________________________
> > > > > > > > CentOS-es mailing list
> > > > > > > > CentOS-es en centos.org
> > > > > > > > http://lists.centos.org/mailman/listinfo/centos-es
> > > > > > > >
> > > > > > > _______________________________________________
> > > > > > > CentOS-es mailing list
> > > > > > > CentOS-es en centos.org
> > > > > > > http://lists.centos.org/mailman/listinfo/centos-es
> > > > > > >
> > > > > >
> > > > > >
> > > > > >
> > > > > > --
> > > > > > M.S.I. Angel Haniel Cantu Jauregui.
> > > > > >
> > > > > > Celular: (011-52-1)-899-871-17-22
> > > > > > E-Mail: angel.cantu en sie-group.net
> > > > > > Web: http://www.sie-group.net/
> > > > > > Cd. Reynosa Tamaulipas.
> > > > > > _______________________________________________
> > > > > > CentOS-es mailing list
> > > > > > CentOS-es en centos.org
> > > > > > http://lists.centos.org/mailman/listinfo/centos-es
> > > > > >
> > > > > _______________________________________________
> > > > > CentOS-es mailing list
> > > > > CentOS-es en centos.org
> > > > > http://lists.centos.org/mailman/listinfo/centos-es
> > > > >
> > > >
> > > >
> > > >
> > > > --
> > > > M.S.I. Angel Haniel Cantu Jauregui.
> > > >
> > > > Celular: (011-52-1)-899-871-17-22
> > > > E-Mail: angel.cantu en sie-group.net
> > > > Web: http://www.sie-group.net/
> > > > Cd. Reynosa Tamaulipas.
> > > > _______________________________________________
> > > > CentOS-es mailing list
> > > > CentOS-es en centos.org
> > > > http://lists.centos.org/mailman/listinfo/centos-es
> > > >
> > > _______________________________________________
> > > CentOS-es mailing list
> > > CentOS-es en centos.org
> > > http://lists.centos.org/mailman/listinfo/centos-es
> > >
> > _______________________________________________
> > CentOS-es mailing list
> > CentOS-es en centos.org
> > http://lists.centos.org/mailman/listinfo/centos-es
> >
> _______________________________________________
> CentOS-es mailing list
> CentOS-es en centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>


Más información sobre la lista de distribución CentOS-es