@David voy hacer pruebas como me indicas.........
El 5 de noviembre de 2013 09:19, David González Romero <dgrved...@gmail.com>escribió: > Hace un forward en el IPtables de que todo lo que vaya al 0/0 port 80, 443, > 21, 20, etc... vaya al 3128... > > Squid no necesita configuacion adicional para https lo soporta > perfectamente bien. Tu puedes controlar los accesos por dominios, o por > IP... escoge el que te guste. > > Saludos, > David > > > El 5 de noviembre de 2013 12:07, angel jauregui > <darkdiabl...@gmail.com>escribió: > > > mmm es qye hay varios listillos que se lo podrian brincar :S... existe la > > problematica que en esa red todos tienen acceso admin a sus propios > > equipos. Generalmente siempre estan conectados con una cuenta de usuario > > dentro del dominio local, pero a veces se logean con la cuenta admin. > > > > Y como soy un prestador de servicios y no quieren invertir, la unica > > solucion es poner el proxy como GW. > > > > Para prevenir retardos coloque en el proxy 2 tarjetas de red 1Gb en > > virtual, y configure el switch cisco como VLAN en los 2 puertos donde > > conecto el proxy. > > > > Saludos ! > > > > > > El 5 de noviembre de 2013 08:52, Ramón Macías Zamora <rmac...@rks.ec > > >escribió: > > > > > Efectivamente el problema que tienes es porque está usando proxy > > > transparente. > > > > > > Si no usas proxy transparente si puedes controlarlo con las acl > normales, > > > sin embargo para que funcione el proxy debes configurar manualmente el > > > proxy en los navegadores (En Firefox -> Preferencias -> Avanzado -> > red > > -> > > > Conexión dar click en Configurar -> Configuración Manual del Proxy > > > > > > Saludos > > > > > > -- > > > > > > > > > > > > Ramón Macías Zamora > > > Tecnología, Investigación y Desarrollo > > > www.rks.ec - www.raykasolutions.com > > > Guayaquil - Ecuador > > > msn: ramon_mac...@hotmail.com > > > skype: ramon_macias > > > UserLinux# 180926 (http://counter.li.org) > > > Cel: 593-8-0192238 > > > Tel: 593 4 6044566 > > > > > > <http://www.raykasolutions.com/> > > > > > > > > > WEB SITES, HOSTINGS, DOMINIOS, MANTENIMIENTO DE EQUIPOS, REDES, > > SERVIDORES > > > LINUX, SOPORTE. > > > > > > > > > 2013/11/5 angel jauregui <darkdiabl...@gmail.com> > > > > > > > @Ramon no entiendo cuando mencionas "forzar a que los usuarios > > configuren > > > > el proxy" ??? > > > > > > > > Los usuarios no tienen que configurar nada, ya que por consecuencia > el > > GW > > > > que se les asigna es el del proxy, el proxy en si actua como > > > > Proxy+Router+firewall. > > > > > > > > No entendi :S > > > > > > > > Saludos ! > > > > > > > > > > > > El 5 de noviembre de 2013 08:38, Ramón Macías Zamora <rmac...@rks.ec > > > > >escribió: > > > > > > > > > Yo creo que la solución ahí es forzar a que los usuarios configuren > > el > > > > > proxy en vez de usar proxy transparente que sólo funciona para > http y > > > no > > > > > para https. > > > > > > > > > > Saludos > > > > > > > > > > -- > > > > > > > > > > > > > > > > > > > > Ramón Macías Zamora > > > > > Tecnología, Investigación y Desarrollo > > > > > www.rks.ec - www.raykasolutions.com > > > > > Guayaquil - Ecuador > > > > > msn: ramon_mac...@hotmail.com > > > > > skype: ramon_macias > > > > > UserLinux# 180926 (http://counter.li.org) > > > > > Cel: 593-8-0192238 > > > > > Tel: 593 4 6044566 > > > > > > > > > > <http://www.raykasolutions.com/> > > > > > > > > > > > > > > > WEB SITES, HOSTINGS, DOMINIOS, MANTENIMIENTO DE EQUIPOS, REDES, > > > > SERVIDORES > > > > > LINUX, SOPORTE. > > > > > > > > > > > > > > > 2013/11/5 angel jauregui <darkdiabl...@gmail.com> > > > > > > > > > > > @David asi tengo la denegacion tambien, pero si el usuario > cambia a > > > > > "https" > > > > > > la pagina ya no es bloqueada, se brinca el filtro. > > > > > > > > > > > > Esto mas que nada porque en IPTables la regla indica que > cualquier > > > cosa > > > > > que > > > > > > va al 80 se rediriga al 3128 (puerto squid), y al cambiar a > HTTPS, > > ya > > > > no > > > > > se > > > > > > aplica la regla. > > > > > > > > > > > > Ahora no puedo quitar el puerto https y forzar solo http, ya que > > > > existen > > > > > > paginas de gobierno que requieren https, y se me vendria el mundo > > > > encima > > > > > > :S. > > > > > > > > > > > > Estoy intentando con estas reglas, ustedes que opinan: > > > > > > > > > > > > *# dar acceso a facebook para una ip fija* > > > > > > shell# iptables -A FORWARD -p tcp -s 10.1.0.10 -d > > IP_CIDR_DEFACEBOOK > > > > -j > > > > > > ACCEPT > > > > > > > > > > > > *# quitar acceso facebook para cualquiera del segmento* > > > > > > shell# iptables -A FORWARD -p tcp -s 10.1.0.0/24 -d > > > IP_CIDR_DEFACEBOOK > > > > > -j > > > > > > REJECT > > > > > > > > > > > > Saludos ! > > > > > > > > > > > > > > > > > > El 5 de noviembre de 2013 05:08, David González Romero > > > > > > <dgrved...@gmail.com>escribió: > > > > > > > > > > > > > Tu has probado esta opción en Squid? > > > > > > > > > > > > > > acl denys url_regex "/etc/squid/denys" > > > > > > > Donde > > > > > > > /etc/squid/denys contiene: > > > > > > > facebook > > > > > > > twitter > > > > > > > ..... > > > > > > > Y luego > > > > > > > http_access deny restric > > > > > > > > > > > > > > Al menos así me funciona a mi. > > > > > > > > > > > > > > > > > > > > > Otra opcion sería comentar la línea "acl SSL_ports port 443" > para > > > > > evitar > > > > > > > conexiones por el 443... > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > Saludos, > > > > > > > David > > > > > > > > > > > > > > > > > > > > > > > > > > > > El 4 de noviembre de 2013 18:47, angel jauregui > > > > > > > <darkdiabl...@gmail.com>escribió: > > > > > > > > > > > > > > > Buenas. > > > > > > > > > > > > > > > > Estoy implementando limitaciones en la red, el objetivo es > > quitar > > > > > > acceso > > > > > > > a > > > > > > > > Redes Sociales, en primera instancia tengo SQUID que logra > > tapar > > > el > > > > > > > acceso > > > > > > > > a los sitios mediante http. > > > > > > > > > > > > > > > > El problema es que si los sitios tienes HTTPS, este es > > > > accesible.... > > > > > > > > > > > > > > > > En este caso http://facebook.com esta denegad por Squid. > > > > > > > > Pero al poner https://facebook.com entra exitosamente. > > > > > > > > > > > > > > > > La unica ocurrencia que tuve es usar IPTABLES, asi que puse > > esta > > > > > regla > > > > > > > que > > > > > > > > me esta haceindo cumplir el objetivo "En parte": > > > > > > > > > > > > > > > > iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range > > > > > > > > 173.252.64.0-173.252.127.255 -j REJECT > > > > > > > > > > > > > > > > Donde: 173.252.64.0-173.252.127.255 ---> es el rando CIDr de > > > > > facebook. > > > > > > > > > > > > > > > > El problema *ahora radica* en que no logro hacer que ciertas > > IPs > > > > > > Locales > > > > > > > > (privilegiada - jefes) SI puedan acceder a redes sociales :S > !. > > > > > > > > > > > > > > > > Intente ANTEponiendo esta regla: > > > > > > > > > > > > > > > > iptables -I FORWARD *-s ip_del_jefe *-m tcp -p tcp -m iprange > > > > > > --dst-range > > > > > > > > 173.252.64.0-173.252.127.255 -j ACCEPT > > > > > > > > > > > > > > > > Pero aun asi, se sigue bloqueando el sitio :S.... > > > > > > > > > > > > > > > > *shell# iptables -L -n* > > > > > > > > REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 > > tcp > > > > > > > > destination IP range 173.252.64.0-173.252.127.255 reject-with > > > > > > > > icmp-port-unreachable > > > > > > > > ACCEPT tcp -- 10.1.0.150 0.0.0.0/0 > > tcp > > > > > > > > destination IP range 173.252.64.0-173.252.127.255 > > > > > > > > > > > > > > > > -- > > > > > > > > M.S.I. Angel Haniel Cantu Jauregui. > > > > > > > > > > > > > > > > Celular: (011-52-1)-899-871-17-22 > > > > > > > > E-Mail: angel.ca...@sie-group.net > > > > > > > > Web: http://www.sie-group.net/ > > > > > > > > Cd. Reynosa Tamaulipas. > > > > > > > > _______________________________________________ > > > > > > > > CentOS-es mailing list > > > > > > > > CentOS-es@centos.org > > > > > > > > http://lists.centos.org/mailman/listinfo/centos-es > > > > > > > > > > > > > > > _______________________________________________ > > > > > > > CentOS-es mailing list > > > > > > > CentOS-es@centos.org > > > > > > > http://lists.centos.org/mailman/listinfo/centos-es > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > -- > > > > > > M.S.I. Angel Haniel Cantu Jauregui. > > > > > > > > > > > > Celular: (011-52-1)-899-871-17-22 > > > > > > E-Mail: angel.ca...@sie-group.net > > > > > > Web: http://www.sie-group.net/ > > > > > > Cd. Reynosa Tamaulipas. > > > > > > _______________________________________________ > > > > > > CentOS-es mailing list > > > > > > CentOS-es@centos.org > > > > > > http://lists.centos.org/mailman/listinfo/centos-es > > > > > > > > > > > _______________________________________________ > > > > > CentOS-es mailing list > > > > > CentOS-es@centos.org > > > > > http://lists.centos.org/mailman/listinfo/centos-es > > > > > > > > > > > > > > > > > > > > > -- > > > > M.S.I. Angel Haniel Cantu Jauregui. > > > > > > > > Celular: (011-52-1)-899-871-17-22 > > > > E-Mail: angel.ca...@sie-group.net > > > > Web: http://www.sie-group.net/ > > > > Cd. Reynosa Tamaulipas. > > > > _______________________________________________ > > > > CentOS-es mailing list > > > > CentOS-es@centos.org > > > > http://lists.centos.org/mailman/listinfo/centos-es > > > > > > > _______________________________________________ > > > CentOS-es mailing list > > > CentOS-es@centos.org > > > http://lists.centos.org/mailman/listinfo/centos-es > > > > > > > > > > > -- > > M.S.I. Angel Haniel Cantu Jauregui. > > > > Celular: (011-52-1)-899-871-17-22 > > E-Mail: angel.ca...@sie-group.net > > Web: http://www.sie-group.net/ > > Cd. Reynosa Tamaulipas. > > _______________________________________________ > > CentOS-es mailing list > > CentOS-es@centos.org > > http://lists.centos.org/mailman/listinfo/centos-es > > > _______________________________________________ > CentOS-es mailing list > CentOS-es@centos.org > http://lists.centos.org/mailman/listinfo/centos-es > -- M.S.I. Angel Haniel Cantu Jauregui. Celular: (011-52-1)-899-871-17-22 E-Mail: angel.ca...@sie-group.net Web: http://www.sie-group.net/ Cd. Reynosa Tamaulipas. _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
