[CentOS-es] Bloqueo de https

Julian S. Jatem Leañez jsjateml en gmail.com
Jue Ene 23 13:33:25 UTC 2014 

despues de instalar el squid a la carpeta de squid, /etc/squid,
1.- has un vi squid.conf buscas la linea 1120 dond aparece http_port
direccion_ip:3128.
  http_port 192.168.20.2:3128 (si dejas solo el puerto lo hace
transparente, pero despues me daba problema con el dansguardian para el
bloqueo de https)
2.- agrega un acl con tu red en mi caso quedo asi
    acl    red         src      192.168.20.0/24
3.- tambien crea acl para bloqueo de paginas y las paginas permitidas
   acl     sites_restringidos      url_regex
"/etc/squid/sites_restringidos"
   acl     sites_especiales        url_regex "/etc/squid/sites_especiales"
 sites_restringidos y sites_publicos son archivos que tu creas, y las
direcciones que colocas alli son sin el http
4.- tambie los acl para los puertos que vas a utilizar en internet en mi
caso  "
   acl SSL_ports port 9443 3000 1228
   acl Safe_ports port 9443 3000 1228
5.- por ultimo con squid tienes que decir que se permite y que no de esta
forma
   http_access     allow   permitidos
   http_access     allow   red
   http_access     allow   sites_publicos
   http_access     deny    sites_restringidos
6.- guarda los cambios

ahora vamos con dansguardian, ve a /etc/dansguardian
1.- has un vi a dansguardian.conf y ve a la linea 86, 89,92,95
   filterip = ip_del_filtrado_de_contenido
   filterport = 8080 (yo coloco este pero puedes usar el que tu quieras)
   proxyip = ip_ del_servidor_proxy
   proxyport = 3128
en mi caso el servidor de filtrado de contenido y el proxy es el mismo,
aunq se puede dar el caso de que los quieran separar pero no veo el caso de
eso
2.-ve a la carpeta lists y alli tienes varios archivos donde puede indicar
si vas a permitir ciertas ips o bannear paginas ( aqui es dond se bloquea
el https). En mi caso yo buscaba bloquear facebook, twitter y youtuble, asi
que en el archivo bannedurllist y bannedsitelist y coloque en cada una de
ellas facebook.com, twitter.com, youtube.com.

Por ultimo tienes que hacer una arregle en la iptables en las tablas de nat
en la cadena del PREROUTING
iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 8080
has esto con el puerto 80 443 y tambien el 3128. Esto lo hace para
canalizar todo el trafico que va hacia internet por el puerto 8080 (en tu
caso puede ser otro puerto)
Chain PREROUTING (policy ACCEPT 691K packets, 43M bytes)
 pkts bytes target     prot opt in     out     source
destination
31735 1666K REDIRECT   tcp  --  eth0   *       0.0.0.0/0
0.0.0.0/0            tcp dpt:80 redir ports 8080
 158K 8329K REDIRECT   tcp  --  eth0   *       0.0.0.0/0
0.0.0.0/0            tcp dpt:443 redir ports 8080

y coloca el proxy en cada navegador y de las maquinas de tu red

Espero que esto te ayude intente hacerlo lo mas sencillo posible, pero si
algo te da problema escribe y intentare responder. Igual deben haber muchos
gurus que podran dar una mejor explicacion


2014/1/23 Rodolfo Vargas <edgarr789 en gmail.com>

> El 22/1/14, tito25 en gmail.com <tito25 en gmail.com> escribió:
> > Hola buenas Tardes,
> >
> > Estoy por realizar unas pruebas de un servidor proxy en Centos 5.5 +
> Squid
>
> Deberías de actualizar a CentOS 5.10 ó mejor aún CentOS 6.5, recuerda
> que las imágenes iso son de libre descarga y si no puedes descargarlo
> puedes pedir el favor a algún amigo o a alguna persona con acceso a
> internet.
>
>
> > para bloquear paginas "https", si alguien tiene como realizarlo, seria de
> > mucha ayuda o también alguien podría decirme si esta solución va hacer
> > efectiva o re repente puedo instalar otra que sea mas efectiva.
>
> Si se puede hacer eso, si tienes proxy transparente de igual manera,
> nada mas que ya el squid no filtrará https, para resolver eso usa a
> iptables bloquea el puerto https para un rango de ips como el que
> tiene facebook.
>
> host -ta www.facebook.com
> whois laipdearriba
>
> luego regla iptables..., funciona perfecto, hay un articulo en ecualug
> ahi encontré la solucion, lo probé con algo de modificacion para mi
> red lan y funciona perfecto.
>
> >
> > También quisiera algún tipo de reporte como saber de q IP entro a q
> paginas
> > creo q el Squid dispone se eso no estoy muy seguro
>
> lo mas simple es leer al mismo squid, tail -f
> /var/log/squid/acces.log en tiempo real y si quiere ver más y revisar
> puede usar:
>
> tail -80 /var/log/squid/access.log | less eso muestra información,
> pero bueno usted puede instalar otras herramientas que requieren otros
> servicios para funcionar, mi recomendación es que solo use a squid,
> tiene lo necesario, soloe s cuestion de adaptarse, saludos y suerte.
>
> >
> >
> > Les agradecería me envíen sus sugerencias o experiencias
> >
> >
> > Saludos
> >
> >
> > Roberto
> > _______________________________________________
> > CentOS-es mailing list
> > CentOS-es en centos.org
> > http://lists.centos.org/mailman/listinfo/centos-es
> >
>
>
> --
> Live free or die!
> _______________________________________________
> CentOS-es mailing list
> CentOS-es en centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>



-- 

*Ing. Julian Jatem*
*0414-8695515*

Más información sobre la lista de distribución CentOS-es