[CentOS-es] [iptables] denegar rando dependiendo la IP de la fuenta ?

César Martinez cmartinez en servicomecuador.com
Sab Nov 16 00:12:46 UTC 2013 

Yo crería que solucionaron este problema con lo que le envié a pesar 
que  no hemos recibido un agradecimiento,  tampoco se ha comentado que 
continua con el problema

Cordialmente
  
César Martínez Mora
Ingeniero de Sistemas
SERVICOM
User Linux 494131
  
Números Convencionales 02-2554-271 02-2221-386
Extensión 4501
Móvil 09-99374-317
Usa (315) 519-7220
Email & Msn cmartinez en servicomecuador.com
Skype servicomecuador
Web www.servicomecuador.com
Síguenos en
Twitter: http://twitter.com/servicomecuador
Facebook: http://www.facebook.com/servicomec
Zona Clientes: www.servicomecuador.com/billing
Blog: http://servicomecuador.com/blog
  
Dir. Av. 10 de Agosto N29-140 Entre
Acuña y  Cuero y Caicedo Edificio Vivanco Castillo
2do. Piso Oficina 201
Quito - Ecuador - Sudamérica
  
=================================================
  
Cláusula de Confidencialidad
La información contenida en este e-mail es confidencial y solo puede ser utilizada por la persona a la
cual esta dirigida.Si Usted no es el receptor autorizado, cualquier retención, difusión, distribución o copia
de este mensaje es prohibida y sancionada por la ley. Si por error recibe este mensaje,  por favor reenviarlo
al remitente y borre el mensaje recibido inmediatamente.
=================================================

El 15/11/13 19:08, David González Romero escribió:
> Bueno yo lo tengo implementado en mi red, claro yo no uso proxy
> transparente.
>
> Como lo hice
>
> En squid.conf
>
> Siempre están estas líneas:
> acl SSL_ports port 443
> acl Safe_ports port 80        # http
> acl Safe_ports port 21        # ftp
> acl Safe_ports port 443        # https
> acl Safe_ports port 70        # gopher
> acl Safe_ports port 210        # wais
> acl Safe_ports port 1025-65535    # unregistered ports
> acl Safe_ports port 280        # http-mgmt
> acl Safe_ports port 488        # gss-http
> acl Safe_ports port 591        # filemaker
> acl Safe_ports port 777        # multiling http
> acl CONNECT method CONNECT
>
> Luego de estas ACL están las reglas en si:
> # Deny requests to certain unsafe ports
> #http_access deny !Safe_ports
> http_access allow Safe_ports
>
> # Deny CONNECT to other than secure SSL ports
> http_access deny CONNECT !SSL_ports
>
> Bien el código que envié antes funciona perfectamente quedando de esta
> forma:
> ---------------------------------------------------------------------------------------------------------
> ##Por problemas de Dengacion de Redes Sociales se pasa a este nivel la
> denegacion de FB y demas
> acl redes-soc url_regex -i  "/etc/squid/redes-soc"
> acl extenciones url_regex "/etc/squid/extenciones"
> http_reply_access deny  redes-soc localnet
> http_access deny CONNECT redes-soc localnet
> http_access allow localnet
>
> # Deny requests to certain unsafe ports
> #http_access deny !Safe_ports
> http_access allow Safe_ports
>
> # Deny CONNECT to other than secure SSL ports
> http_access deny CONNECT !SSL_ports
> ---------------------------------------------------------------------------------------------------------
> Dentro de /etc/squid/redes-soc tengo
> facebook.com
> twitter.com
> hi5.com
>
> Te puedo asegurar que funciona 100% con reclamos de los clientes incluidos
> al ser implementada la regla. Eso si y repito mi servidor no es un proxy
> transparente. Pero no tuve que hacer adsolutamente más nada en iptables o
> similares.
>
> Ahh!!! Google, Yahoo y comapñias https entran super bien.
>
> Saludos,
> David
>
>
>
>
> El 6 de noviembre de 2013 19:58, Ignacio Ordeñana <ifor1982 en gmail.com>escribió:
>
>> hola david no funciona ya la probe en su momento en proxy transparente
>>
>> saludos
>>
>>
>> El 6 de noviembre de 2013 12:50, David González Romero
>> <dgrvedado en gmail.com>escribió:
>>
>>> Esta es una opción 100% Squid, probada por mi y funciona super bien
>>>
>>>
>>>
>> http://servercomputing.blogspot.com/2012/01/block-facebook-in-squid-proxy-server.html
>>> Saludos,
>>> David
>>>
>>>
>>> El 5 de noviembre de 2013 12:42, Ignacio Ordeñana <ifor1982 en gmail.com
>>>> escribió:
>>>> te envio un link de una perosna que tuvo ese mismo problema
>>>>
>>>>
>>>>
>> http://www.ecualug.org/?q=2011/02/10/forums/bloquear_https_de_facebook_en_ip_tables&page=3
>>>> saludos
>>>>
>>>>
>>>> El 5 de noviembre de 2013 09:32, angel jauregui
>>>> <darkdiabliyo en gmail.com>escribió:
>>>>
>>>>> Se cumple la excepcion, y funcionaria no ?
>>>>>
>>>>>
>>>>> El 5 de noviembre de 2013 09:25, Ignacio Ordeñana <
>> ifor1982 en gmail.com
>>>>>> escribió:
>>>>>> a mi parecer esa regla de iptables no te funcionara ya que primero
>> la
>>>>> estas
>>>>>> permitiendo el acceso a una ip en particular luego le quitas
>> acceso a
>>>>> todo
>>>>>> el segmento de red incluyendo la ip que le permites acceso.
>>>>>>
>>>>>> saludos
>>>>>>
>>>>>>
>>>>>> El 5 de noviembre de 2013 08:34, angel jauregui
>>>>>> <darkdiabliyo en gmail.com>escribió:
>>>>>>
>>>>>>> @David asi tengo la denegacion tambien, pero si el usuario
>> cambia a
>>>>>> "https"
>>>>>>> la pagina ya no es bloqueada, se brinca el filtro.
>>>>>>>
>>>>>>> Esto mas que nada porque en IPTables la regla indica que
>> cualquier
>>>> cosa
>>>>>> que
>>>>>>> va al 80 se rediriga al 3128 (puerto squid), y al cambiar a
>> HTTPS,
>>> ya
>>>>> no
>>>>>> se
>>>>>>> aplica la regla.
>>>>>>>
>>>>>>> Ahora no puedo quitar el puerto https y forzar solo http, ya que
>>>>> existen
>>>>>>> paginas de gobierno que requieren https, y se me vendria el mundo
>>>>> encima
>>>>>>> :S.
>>>>>>>
>>>>>>> Estoy intentando con estas reglas, ustedes que opinan:
>>>>>>>
>>>>>>> *# dar acceso a facebook para una ip fija*
>>>>>>> shell# iptables -A FORWARD -p tcp  -s 10.1.0.10 -d
>>> IP_CIDR_DEFACEBOOK
>>>>> -j
>>>>>>> ACCEPT
>>>>>>>
>>>>>>> *# quitar acceso facebook para cualquiera del segmento*
>>>>>>> shell# iptables -A FORWARD -p tcp -s 10.1.0.0/24 -d
>>>> IP_CIDR_DEFACEBOOK
>>>>>> -j
>>>>>>> REJECT
>>>>>>>
>>>>>>> Saludos !
>>>>>>>
>>>>>>>
>>>>>>> El 5 de noviembre de 2013 05:08, David González Romero
>>>>>>> <dgrvedado en gmail.com>escribió:
>>>>>>>
>>>>>>>> Tu has probado esta opción en Squid?
>>>>>>>>
>>>>>>>> acl denys url_regex "/etc/squid/denys"
>>>>>>>> Donde
>>>>>>>> /etc/squid/denys contiene:
>>>>>>>> facebook
>>>>>>>> twitter
>>>>>>>> .....
>>>>>>>> Y luego
>>>>>>>> http_access deny restric
>>>>>>>>
>>>>>>>> Al menos así me funciona a mi.
>>>>>>>>
>>>>>>>>
>>>>>>>> Otra opcion sería comentar la línea "acl SSL_ports port 443"
>> para
>>>>>> evitar
>>>>>>>> conexiones por el 443...
>>>>>>>>
>>>>>>>>
>>>>>>>>
>>>>>>>>
>>>>>>>> Saludos,
>>>>>>>> David
>>>>>>>>
>>>>>>>>
>>>>>>>>
>>>>>>>> El 4 de noviembre de 2013 18:47, angel jauregui
>>>>>>>> <darkdiabliyo en gmail.com>escribió:
>>>>>>>>
>>>>>>>>> Buenas.
>>>>>>>>>
>>>>>>>>> Estoy implementando limitaciones en la red, el objetivo es
>>> quitar
>>>>>>> acceso
>>>>>>>> a
>>>>>>>>> Redes Sociales, en primera instancia tengo SQUID que logra
>>> tapar
>>>> el
>>>>>>>> acceso
>>>>>>>>> a los sitios mediante http.
>>>>>>>>>
>>>>>>>>> El problema es que si los sitios tienes HTTPS, este es
>>>>> accesible....
>>>>>>>>> En este caso http://facebook.com esta denegad por Squid.
>>>>>>>>> Pero al poner https://facebook.com entra exitosamente.
>>>>>>>>>
>>>>>>>>> La unica ocurrencia que tuve es usar IPTABLES, asi que puse
>>> esta
>>>>>> regla
>>>>>>>> que
>>>>>>>>> me esta haceindo cumplir el objetivo "En parte":
>>>>>>>>>
>>>>>>>>> iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range
>>>>>>>>> 173.252.64.0-173.252.127.255 -j REJECT
>>>>>>>>>
>>>>>>>>> Donde: 173.252.64.0-173.252.127.255  ---> es el rando CIDr de
>>>>>> facebook.
>>>>>>>>> El problema *ahora radica* en que no logro hacer que ciertas
>>> IPs
>>>>>>> Locales
>>>>>>>>> (privilegiada - jefes) SI puedan acceder a redes sociales :S
>> !.
>>>>>>>>> Intente ANTEponiendo esta regla:
>>>>>>>>>
>>>>>>>>> iptables -I FORWARD *-s ip_del_jefe *-m tcp -p tcp -m iprange
>>>>>>> --dst-range
>>>>>>>>> 173.252.64.0-173.252.127.255 -j ACCEPT
>>>>>>>>>
>>>>>>>>> Pero aun asi, se sigue bloqueando el sitio :S....
>>>>>>>>>
>>>>>>>>> *shell# iptables -L -n*
>>>>>>>>> REJECT     tcp  --  0.0.0.0/0            0.0.0.0/0
>>> tcp
>>>>>>>>> destination IP range 173.252.64.0-173.252.127.255 reject-with
>>>>>>>>> icmp-port-unreachable
>>>>>>>>> ACCEPT     tcp  --  10.1.0.150           0.0.0.0/0
>>> tcp
>>>>>>>>> destination IP range 173.252.64.0-173.252.127.255
>>>>>>>>>
>>>>>>>>> --
>>>>>>>>> M.S.I. Angel Haniel Cantu Jauregui.
>>>>>>>>>
>>>>>>>>> Celular: (011-52-1)-899-871-17-22
>>>>>>>>> E-Mail: angel.cantu en sie-group.net
>>>>>>>>> Web: http://www.sie-group.net/
>>>>>>>>> Cd. Reynosa Tamaulipas.
>>>>>>>>> _______________________________________________
>>>>>>>>> CentOS-es mailing list
>>>>>>>>> CentOS-es en centos.org
>>>>>>>>> http://lists.centos.org/mailman/listinfo/centos-es
>>>>>>>>>
>>>>>>>> _______________________________________________
>>>>>>>> CentOS-es mailing list
>>>>>>>> CentOS-es en centos.org
>>>>>>>> http://lists.centos.org/mailman/listinfo/centos-es
>>>>>>>>
>>>>>>>
>>>>>>>
>>>>>>> --
>>>>>>> M.S.I. Angel Haniel Cantu Jauregui.
>>>>>>>
>>>>>>> Celular: (011-52-1)-899-871-17-22
>>>>>>> E-Mail: angel.cantu en sie-group.net
>>>>>>> Web: http://www.sie-group.net/
>>>>>>> Cd. Reynosa Tamaulipas.
>>>>>>> _______________________________________________
>>>>>>> CentOS-es mailing list
>>>>>>> CentOS-es en centos.org
>>>>>>> http://lists.centos.org/mailman/listinfo/centos-es
>>>>>>>
>>>>>> _______________________________________________
>>>>>> CentOS-es mailing list
>>>>>> CentOS-es en centos.org
>>>>>> http://lists.centos.org/mailman/listinfo/centos-es
>>>>>>
>>>>>
>>>>>
>>>>> --
>>>>> M.S.I. Angel Haniel Cantu Jauregui.
>>>>>
>>>>> Celular: (011-52-1)-899-871-17-22
>>>>> E-Mail: angel.cantu en sie-group.net
>>>>> Web: http://www.sie-group.net/
>>>>> Cd. Reynosa Tamaulipas.
>>>>> _______________________________________________
>>>>> CentOS-es mailing list
>>>>> CentOS-es en centos.org
>>>>> http://lists.centos.org/mailman/listinfo/centos-es
>>>>>
>>>> _______________________________________________
>>>> CentOS-es mailing list
>>>> CentOS-es en centos.org
>>>> http://lists.centos.org/mailman/listinfo/centos-es
>>>>
>>> _______________________________________________
>>> CentOS-es mailing list
>>> CentOS-es en centos.org
>>> http://lists.centos.org/mailman/listinfo/centos-es
>>>
>> _______________________________________________
>> CentOS-es mailing list
>> CentOS-es en centos.org
>> http://lists.centos.org/mailman/listinfo/centos-es
>>
> _______________________________________________
> CentOS-es mailing list
> CentOS-es en centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>

Más información sobre la lista de distribución CentOS-es