[CentOS-es] [iptables] denegar rando dependiendo la IP de la fuenta ?

Sab Nov 16 00:16:03 UTC 2013

Bueno yo estaba respondiendo a la negativa de Ignacio con relacion al
codigo que envie que es puramente en Squid.

Saludos,
David

El 15 de noviembre de 2013 21:12, César Martinez <
cmartinez en servicomecuador.com> escribió:

> Yo crería que solucionaron este problema con lo que le envié a pesar
> que  no hemos recibido un agradecimiento,  tampoco se ha comentado que
> continua con el problema
>
> Cordialmente
>
> César Martínez Mora
> Ingeniero de Sistemas
> SERVICOM
> User Linux 494131
>
> Números Convencionales 02-2554-271 02-2221-386
> Extensión 4501
> Móvil 09-99374-317
> Usa (315) 519-7220
> Email & Msn cmartinez en servicomecuador.com
> Skype servicomecuador
> Web www.servicomecuador.com
> Síguenos en
> Twitter: http://twitter.com/servicomecuador
> Facebook: http://www.facebook.com/servicomec
> Zona Clientes: www.servicomecuador.com/billing
> Blog: http://servicomecuador.com/blog
>
> Dir. Av. 10 de Agosto N29-140 Entre
> Acuña y  Cuero y Caicedo Edificio Vivanco Castillo
> 2do. Piso Oficina 201
> Quito - Ecuador - Sudamérica
>
> =================================================
>
> Cláusula de Confidencialidad
> La información contenida en este e-mail es confidencial y solo puede ser
> utilizada por la persona a la
> cual esta dirigida.Si Usted no es el receptor autorizado, cualquier
> retención, difusión, distribución o copia
> de este mensaje es prohibida y sancionada por la ley. Si por error recibe
> este mensaje,  por favor reenviarlo
> al remitente y borre el mensaje recibido inmediatamente.
> =================================================
>
> El 15/11/13 19:08, David González Romero escribió:
> > Bueno yo lo tengo implementado en mi red, claro yo no uso proxy
> > transparente.
> >
> > Como lo hice
> >
> > En squid.conf
> >
> > Siempre están estas líneas:
> > acl SSL_ports port 443
> > acl Safe_ports port 80        # http
> > acl Safe_ports port 21        # ftp
> > acl Safe_ports port 443        # https
> > acl Safe_ports port 70        # gopher
> > acl Safe_ports port 210        # wais
> > acl Safe_ports port 1025-65535    # unregistered ports
> > acl Safe_ports port 280        # http-mgmt
> > acl Safe_ports port 488        # gss-http
> > acl Safe_ports port 591        # filemaker
> > acl Safe_ports port 777        # multiling http
> > acl CONNECT method CONNECT
> >
> > Luego de estas ACL están las reglas en si:
> > # Deny requests to certain unsafe ports
> > #http_access deny !Safe_ports
> > http_access allow Safe_ports
> >
> > # Deny CONNECT to other than secure SSL ports
> > http_access deny CONNECT !SSL_ports
> >
> > Bien el código que envié antes funciona perfectamente quedando de esta
> > forma:
> >
> ---------------------------------------------------------------------------------------------------------
> > ##Por problemas de Dengacion de Redes Sociales se pasa a este nivel la
> > denegacion de FB y demas
> > acl redes-soc url_regex -i  "/etc/squid/redes-soc"
> > acl extenciones url_regex "/etc/squid/extenciones"
> > http_reply_access deny  redes-soc localnet
> > http_access deny CONNECT redes-soc localnet
> > http_access allow localnet
> >
> > # Deny requests to certain unsafe ports
> > #http_access deny !Safe_ports
> > http_access allow Safe_ports
> >
> > # Deny CONNECT to other than secure SSL ports
> > http_access deny CONNECT !SSL_ports
> >
> ---------------------------------------------------------------------------------------------------------
> > Dentro de /etc/squid/redes-soc tengo
> > facebook.com
> > twitter.com
> > hi5.com
> >
> > Te puedo asegurar que funciona 100% con reclamos de los clientes
> incluidos
> > al ser implementada la regla. Eso si y repito mi servidor no es un proxy
> > transparente. Pero no tuve que hacer adsolutamente más nada en iptables o
> > similares.
> >
> > Ahh!!! Google, Yahoo y comapñias https entran super bien.
> >
> > Saludos,
> > David
> >
> >
> >
> >
> > El 6 de noviembre de 2013 19:58, Ignacio Ordeñana <ifor1982 en gmail.com
> >escribió:
> >
> >> hola david no funciona ya la probe en su momento en proxy transparente
> >>
> >> saludos
> >>
> >>
> >> El 6 de noviembre de 2013 12:50, David González Romero
> >> <dgrvedado en gmail.com>escribió:
> >>
> >>> Esta es una opción 100% Squid, probada por mi y funciona super bien
> >>>
> >>>
> >>>
> >>
> http://servercomputing.blogspot.com/2012/01/block-facebook-in-squid-proxy-server.html
> >>> Saludos,
> >>> David
> >>>
> >>>
> >>> El 5 de noviembre de 2013 12:42, Ignacio Ordeñana <ifor1982 en gmail.com
> >>>> escribió:
> >>>> te envio un link de una perosna que tuvo ese mismo problema
> >>>>
> >>>>
> >>>>
> >>
> http://www.ecualug.org/?q=2011/02/10/forums/bloquear_https_de_facebook_en_ip_tables&page=3
> >>>> saludos
> >>>>
> >>>>
> >>>> El 5 de noviembre de 2013 09:32, angel jauregui
> >>>> <darkdiabliyo en gmail.com>escribió:
> >>>>
> >>>>> Se cumple la excepcion, y funcionaria no ?
> >>>>>
> >>>>>
> >>>>> El 5 de noviembre de 2013 09:25, Ignacio Ordeñana <
> >> ifor1982 en gmail.com
> >>>>>> escribió:
> >>>>>> a mi parecer esa regla de iptables no te funcionara ya que primero
> >> la
> >>>>> estas
> >>>>>> permitiendo el acceso a una ip en particular luego le quitas
> >> acceso a
> >>>>> todo
> >>>>>> el segmento de red incluyendo la ip que le permites acceso.
> >>>>>>
> >>>>>> saludos
> >>>>>>
> >>>>>>
> >>>>>> El 5 de noviembre de 2013 08:34, angel jauregui
> >>>>>> <darkdiabliyo en gmail.com>escribió:
> >>>>>>
> >>>>>>> @David asi tengo la denegacion tambien, pero si el usuario
> >> cambia a
> >>>>>> "https"
> >>>>>>> la pagina ya no es bloqueada, se brinca el filtro.
> >>>>>>>
> >>>>>>> Esto mas que nada porque en IPTables la regla indica que
> >> cualquier
> >>>> cosa
> >>>>>> que
> >>>>>>> va al 80 se rediriga al 3128 (puerto squid), y al cambiar a
> >> HTTPS,
> >>> ya
> >>>>> no
> >>>>>> se
> >>>>>>> aplica la regla.
> >>>>>>>
> >>>>>>> Ahora no puedo quitar el puerto https y forzar solo http, ya que
> >>>>> existen
> >>>>>>> paginas de gobierno que requieren https, y se me vendria el mundo
> >>>>> encima
> >>>>>>> :S.
> >>>>>>>
> >>>>>>> Estoy intentando con estas reglas, ustedes que opinan:
> >>>>>>>
> >>>>>>> *# dar acceso a facebook para una ip fija*
> >>>>>>> shell# iptables -A FORWARD -p tcp  -s 10.1.0.10 -d
> >>> IP_CIDR_DEFACEBOOK
> >>>>> -j
> >>>>>>> ACCEPT
> >>>>>>>
> >>>>>>> *# quitar acceso facebook para cualquiera del segmento*
> >>>>>>> shell# iptables -A FORWARD -p tcp -s 10.1.0.0/24 -d
> >>>> IP_CIDR_DEFACEBOOK
> >>>>>> -j
> >>>>>>> REJECT
> >>>>>>>
> >>>>>>> Saludos !
> >>>>>>>
> >>>>>>>
> >>>>>>> El 5 de noviembre de 2013 05:08, David González Romero
> >>>>>>> <dgrvedado en gmail.com>escribió:
> >>>>>>>
> >>>>>>>> Tu has probado esta opción en Squid?
> >>>>>>>>
> >>>>>>>> acl denys url_regex "/etc/squid/denys"
> >>>>>>>> Donde
> >>>>>>>> /etc/squid/denys contiene:
> >>>>>>>> facebook
> >>>>>>>> twitter
> >>>>>>>> .....
> >>>>>>>> Y luego
> >>>>>>>> http_access deny restric
> >>>>>>>>
> >>>>>>>> Al menos así me funciona a mi.
> >>>>>>>>
> >>>>>>>>
> >>>>>>>> Otra opcion sería comentar la línea "acl SSL_ports port 443"
> >> para
> >>>>>> evitar
> >>>>>>>> conexiones por el 443...
> >>>>>>>>
> >>>>>>>>
> >>>>>>>>
> >>>>>>>>
> >>>>>>>> Saludos,
> >>>>>>>> David
> >>>>>>>>
> >>>>>>>>
> >>>>>>>>
> >>>>>>>> El 4 de noviembre de 2013 18:47, angel jauregui
> >>>>>>>> <darkdiabliyo en gmail.com>escribió:
> >>>>>>>>
> >>>>>>>>> Buenas.
> >>>>>>>>>
> >>>>>>>>> Estoy implementando limitaciones en la red, el objetivo es
> >>> quitar
> >>>>>>> acceso
> >>>>>>>> a
> >>>>>>>>> Redes Sociales, en primera instancia tengo SQUID que logra
> >>> tapar
> >>>> el
> >>>>>>>> acceso
> >>>>>>>>> a los sitios mediante http.
> >>>>>>>>>
> >>>>>>>>> El problema es que si los sitios tienes HTTPS, este es
> >>>>> accesible....
> >>>>>>>>> En este caso http://facebook.com esta denegad por Squid.
> >>>>>>>>> Pero al poner https://facebook.com entra exitosamente.
> >>>>>>>>>
> >>>>>>>>> La unica ocurrencia que tuve es usar IPTABLES, asi que puse
> >>> esta
> >>>>>> regla
> >>>>>>>> que
> >>>>>>>>> me esta haceindo cumplir el objetivo "En parte":
> >>>>>>>>>
> >>>>>>>>> iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range
> >>>>>>>>> 173.252.64.0-173.252.127.255 -j REJECT
> >>>>>>>>>
> >>>>>>>>> Donde: 173.252.64.0-173.252.127.255  ---> es el rando CIDr de
> >>>>>> facebook.
> >>>>>>>>> El problema *ahora radica* en que no logro hacer que ciertas
> >>> IPs
> >>>>>>> Locales
> >>>>>>>>> (privilegiada - jefes) SI puedan acceder a redes sociales :S
> >> !.
> >>>>>>>>> Intente ANTEponiendo esta regla:
> >>>>>>>>>
> >>>>>>>>> iptables -I FORWARD *-s ip_del_jefe *-m tcp -p tcp -m iprange
> >>>>>>> --dst-range
> >>>>>>>>> 173.252.64.0-173.252.127.255 -j ACCEPT
> >>>>>>>>>
> >>>>>>>>> Pero aun asi, se sigue bloqueando el sitio :S....
> >>>>>>>>>
> >>>>>>>>> *shell# iptables -L -n*
> >>>>>>>>> REJECT     tcp  --  0.0.0.0/0            0.0.0.0/0
> >>> tcp
> >>>>>>>>> destination IP range 173.252.64.0-173.252.127.255 reject-with
> >>>>>>>>> icmp-port-unreachable
> >>>>>>>>> ACCEPT     tcp  --  10.1.0.150           0.0.0.0/0
> >>> tcp
> >>>>>>>>> destination IP range 173.252.64.0-173.252.127.255
> >>>>>>>>>
> >>>>>>>>> --
> >>>>>>>>> M.S.I. Angel Haniel Cantu Jauregui.
> >>>>>>>>>
> >>>>>>>>> Celular: (011-52-1)-899-871-17-22
> >>>>>>>>> E-Mail: angel.cantu en sie-group.net
> >>>>>>>>> Web: http://www.sie-group.net/
> >>>>>>>>> Cd. Reynosa Tamaulipas.
> >>>>>>>>> _______________________________________________
> >>>>>>>>> CentOS-es mailing list
> >>>>>>>>> CentOS-es en centos.org
> >>>>>>>>> http://lists.centos.org/mailman/listinfo/centos-es
> >>>>>>>>>
> >>>>>>>> _______________________________________________
> >>>>>>>> CentOS-es mailing list
> >>>>>>>> CentOS-es en centos.org
> >>>>>>>> http://lists.centos.org/mailman/listinfo/centos-es
> >>>>>>>>
> >>>>>>>
> >>>>>>>
> >>>>>>> --
> >>>>>>> M.S.I. Angel Haniel Cantu Jauregui.
> >>>>>>>
> >>>>>>> Celular: (011-52-1)-899-871-17-22
> >>>>>>> E-Mail: angel.cantu en sie-group.net
> >>>>>>> Web: http://www.sie-group.net/
> >>>>>>> Cd. Reynosa Tamaulipas.
> >>>>>>> _______________________________________________
> >>>>>>> CentOS-es mailing list
> >>>>>>> CentOS-es en centos.org
> >>>>>>> http://lists.centos.org/mailman/listinfo/centos-es
> >>>>>>>
> >>>>>> _______________________________________________
> >>>>>> CentOS-es mailing list
> >>>>>> CentOS-es en centos.org
> >>>>>> http://lists.centos.org/mailman/listinfo/centos-es
> >>>>>>
> >>>>>
> >>>>>
> >>>>> --
> >>>>> M.S.I. Angel Haniel Cantu Jauregui.
> >>>>>
> >>>>> Celular: (011-52-1)-899-871-17-22
> >>>>> E-Mail: angel.cantu en sie-group.net
> >>>>> Web: http://www.sie-group.net/
> >>>>> Cd. Reynosa Tamaulipas.
> >>>>> _______________________________________________
> >>>>> CentOS-es mailing list
> >>>>> CentOS-es en centos.org
> >>>>> http://lists.centos.org/mailman/listinfo/centos-es
> >>>>>
> >>>> _______________________________________________
> >>>> CentOS-es mailing list
> >>>> CentOS-es en centos.org
> >>>> http://lists.centos.org/mailman/listinfo/centos-es
> >>>>
> >>> _______________________________________________
> >>> CentOS-es mailing list
> >>> CentOS-es en centos.org
> >>> http://lists.centos.org/mailman/listinfo/centos-es
> >>>
> >> _______________________________________________
> >> CentOS-es mailing list
> >> CentOS-es en centos.org
> >> http://lists.centos.org/mailman/listinfo/centos-es
> >>
> > _______________________________________________
> > CentOS-es mailing list
> > CentOS-es en centos.org
> > http://lists.centos.org/mailman/listinfo/centos-es
> >
>
> _______________________________________________
> CentOS-es mailing list
> CentOS-es en centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>