Pero estoy haciendo una implementacion que me recomendo @David sobre bloquear facebook en https usando squid.
El 6 de noviembre de 2013 16:26, angel jauregui <darkdiabl...@gmail.com>escribió: > @Cesar yo ahorita estoy bloqueando con exito facebook en HTTPS, pero > bloqueo el rango de IPs no solo del CIDR de facebook, sino tambien las IPs > de los DNSs de facebook y la IP de facebook. > > shell# host facebook.com > ip_de_face_book <-- esta ip la bloqueo > > shell# whois ip_de_face_book > CIDR ip_de_rango_inicial/X <-- este rango lo bloqueo > > shell# whois facebook.com > Name Servers: > ns1_de_face_book > ns2_de_face_book > > Al ns2 y ns2 les saco el IP, consulto el CIDR y tambien lo bloqueo. > > Saludos ! > > > El 6 de noviembre de 2013 16:16, César Martinez < > cmarti...@servicomecuador.com> escribió: > > Hola acabo de probar con punto y coma las instrucciones que hay en este >> link que alguien mencionó >> >> http://servercomputing.blogspot.com/2012/01/block-facebook-in-squid-proxy-server.html >> y facebook funciona igual con https tengo mi centos 6.4 actualizado no >> se si falta algo pero no funciona, lo mejor es cerrar via iptables. >> >> >> Cordialmente >> >> César Martínez Mora >> Ingeniero de Sistemas >> SERVICOM >> User Linux 494131 >> >> Números Convencionales 02-2554-271 02-2221-386 >> Extensión 4501 >> Móvil 09-99374-317 >> Usa (315) 519-7220 >> Email & Msn cmarti...@servicomecuador.com >> Skype servicomecuador >> Web www.servicomecuador.com >> Síguenos en >> Twitter: http://twitter.com/servicomecuador >> Facebook: http://www.facebook.com/servicomec >> Zona Clientes: www.servicomecuador.com/billing >> Blog: http://servicomecuador.com/blog >> >> Dir. Av. 10 de Agosto N29-140 Entre >> Acuña y Cuero y Caicedo Edificio Vivanco Castillo >> 2do. Piso Oficina 201 >> Quito - Ecuador - Sudamérica >> >> ================================================= >> >> Cláusula de Confidencialidad >> La información contenida en este e-mail es confidencial y solo puede ser >> utilizada por la persona a la >> cual esta dirigida.Si Usted no es el receptor autorizado, cualquier >> retención, difusión, distribución o copia >> de este mensaje es prohibida y sancionada por la ley. Si por error recibe >> este mensaje, por favor reenviarlo >> al remitente y borre el mensaje recibido inmediatamente. >> ================================================= >> >> On 06/11/13 13:50, David González Romero wrote: >> > Esta es una opción 100% Squid, probada por mi y funciona super bien >> > >> > >> http://servercomputing.blogspot.com/2012/01/block-facebook-in-squid-proxy-server.html >> > >> > Saludos, >> > David >> > >> > >> > El 5 de noviembre de 2013 12:42, Ignacio Ordeñana <ifor1...@gmail.com >> >escribió: >> > >> >> te envio un link de una perosna que tuvo ese mismo problema >> >> >> >> >> >> >> http://www.ecualug.org/?q=2011/02/10/forums/bloquear_https_de_facebook_en_ip_tables&page=3 >> >> >> >> saludos >> >> >> >> >> >> El 5 de noviembre de 2013 09:32, angel jauregui >> >> <darkdiabl...@gmail.com>escribió: >> >> >> >>> Se cumple la excepcion, y funcionaria no ? >> >>> >> >>> >> >>> El 5 de noviembre de 2013 09:25, Ignacio Ordeñana <ifor1...@gmail.com >> >>>> escribió: >> >>>> a mi parecer esa regla de iptables no te funcionara ya que primero la >> >>> estas >> >>>> permitiendo el acceso a una ip en particular luego le quitas acceso a >> >>> todo >> >>>> el segmento de red incluyendo la ip que le permites acceso. >> >>>> >> >>>> saludos >> >>>> >> >>>> >> >>>> El 5 de noviembre de 2013 08:34, angel jauregui >> >>>> <darkdiabl...@gmail.com>escribió: >> >>>> >> >>>>> @David asi tengo la denegacion tambien, pero si el usuario cambia a >> >>>> "https" >> >>>>> la pagina ya no es bloqueada, se brinca el filtro. >> >>>>> >> >>>>> Esto mas que nada porque en IPTables la regla indica que cualquier >> >> cosa >> >>>> que >> >>>>> va al 80 se rediriga al 3128 (puerto squid), y al cambiar a HTTPS, >> ya >> >>> no >> >>>> se >> >>>>> aplica la regla. >> >>>>> >> >>>>> Ahora no puedo quitar el puerto https y forzar solo http, ya que >> >>> existen >> >>>>> paginas de gobierno que requieren https, y se me vendria el mundo >> >>> encima >> >>>>> :S. >> >>>>> >> >>>>> Estoy intentando con estas reglas, ustedes que opinan: >> >>>>> >> >>>>> *# dar acceso a facebook para una ip fija* >> >>>>> shell# iptables -A FORWARD -p tcp -s 10.1.0.10 -d >> IP_CIDR_DEFACEBOOK >> >>> -j >> >>>>> ACCEPT >> >>>>> >> >>>>> *# quitar acceso facebook para cualquiera del segmento* >> >>>>> shell# iptables -A FORWARD -p tcp -s 10.1.0.0/24 -d >> >> IP_CIDR_DEFACEBOOK >> >>>> -j >> >>>>> REJECT >> >>>>> >> >>>>> Saludos ! >> >>>>> >> >>>>> >> >>>>> El 5 de noviembre de 2013 05:08, David González Romero >> >>>>> <dgrved...@gmail.com>escribió: >> >>>>> >> >>>>>> Tu has probado esta opción en Squid? >> >>>>>> >> >>>>>> acl denys url_regex "/etc/squid/denys" >> >>>>>> Donde >> >>>>>> /etc/squid/denys contiene: >> >>>>>> facebook >> >>>>>> twitter >> >>>>>> ..... >> >>>>>> Y luego >> >>>>>> http_access deny restric >> >>>>>> >> >>>>>> Al menos así me funciona a mi. >> >>>>>> >> >>>>>> >> >>>>>> Otra opcion sería comentar la línea "acl SSL_ports port 443" para >> >>>> evitar >> >>>>>> conexiones por el 443... >> >>>>>> >> >>>>>> >> >>>>>> >> >>>>>> >> >>>>>> Saludos, >> >>>>>> David >> >>>>>> >> >>>>>> >> >>>>>> >> >>>>>> El 4 de noviembre de 2013 18:47, angel jauregui >> >>>>>> <darkdiabl...@gmail.com>escribió: >> >>>>>> >> >>>>>>> Buenas. >> >>>>>>> >> >>>>>>> Estoy implementando limitaciones en la red, el objetivo es quitar >> >>>>> acceso >> >>>>>> a >> >>>>>>> Redes Sociales, en primera instancia tengo SQUID que logra tapar >> >> el >> >>>>>> acceso >> >>>>>>> a los sitios mediante http. >> >>>>>>> >> >>>>>>> El problema es que si los sitios tienes HTTPS, este es >> >>> accesible.... >> >>>>>>> En este caso http://facebook.com esta denegad por Squid. >> >>>>>>> Pero al poner https://facebook.com entra exitosamente. >> >>>>>>> >> >>>>>>> La unica ocurrencia que tuve es usar IPTABLES, asi que puse esta >> >>>> regla >> >>>>>> que >> >>>>>>> me esta haceindo cumplir el objetivo "En parte": >> >>>>>>> >> >>>>>>> iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range >> >>>>>>> 173.252.64.0-173.252.127.255 -j REJECT >> >>>>>>> >> >>>>>>> Donde: 173.252.64.0-173.252.127.255 ---> es el rando CIDr de >> >>>> facebook. >> >>>>>>> El problema *ahora radica* en que no logro hacer que ciertas IPs >> >>>>> Locales >> >>>>>>> (privilegiada - jefes) SI puedan acceder a redes sociales :S !. >> >>>>>>> >> >>>>>>> Intente ANTEponiendo esta regla: >> >>>>>>> >> >>>>>>> iptables -I FORWARD *-s ip_del_jefe *-m tcp -p tcp -m iprange >> >>>>> --dst-range >> >>>>>>> 173.252.64.0-173.252.127.255 -j ACCEPT >> >>>>>>> >> >>>>>>> Pero aun asi, se sigue bloqueando el sitio :S.... >> >>>>>>> >> >>>>>>> *shell# iptables -L -n* >> >>>>>>> REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp >> >>>>>>> destination IP range 173.252.64.0-173.252.127.255 reject-with >> >>>>>>> icmp-port-unreachable >> >>>>>>> ACCEPT tcp -- 10.1.0.150 0.0.0.0/0 tcp >> >>>>>>> destination IP range 173.252.64.0-173.252.127.255 >> >>>>>>> >> >>>>>>> -- >> >>>>>>> M.S.I. Angel Haniel Cantu Jauregui. >> >>>>>>> >> >>>>>>> Celular: (011-52-1)-899-871-17-22 >> >>>>>>> E-Mail: angel.ca...@sie-group.net >> >>>>>>> Web: http://www.sie-group.net/ >> >>>>>>> Cd. Reynosa Tamaulipas. >> >>>>>>> _______________________________________________ >> >>>>>>> CentOS-es mailing list >> >>>>>>> CentOS-es@centos.org >> >>>>>>> http://lists.centos.org/mailman/listinfo/centos-es >> >>>>>>> >> >>>>>> _______________________________________________ >> >>>>>> CentOS-es mailing list >> >>>>>> CentOS-es@centos.org >> >>>>>> http://lists.centos.org/mailman/listinfo/centos-es >> >>>>>> >> >>>>> >> >>>>> >> >>>>> -- >> >>>>> M.S.I. Angel Haniel Cantu Jauregui. >> >>>>> >> >>>>> Celular: (011-52-1)-899-871-17-22 >> >>>>> E-Mail: angel.ca...@sie-group.net >> >>>>> Web: http://www.sie-group.net/ >> >>>>> Cd. Reynosa Tamaulipas. >> >>>>> _______________________________________________ >> >>>>> CentOS-es mailing list >> >>>>> CentOS-es@centos.org >> >>>>> http://lists.centos.org/mailman/listinfo/centos-es >> >>>>> >> >>>> _______________________________________________ >> >>>> CentOS-es mailing list >> >>>> CentOS-es@centos.org >> >>>> http://lists.centos.org/mailman/listinfo/centos-es >> >>>> >> >>> >> >>> >> >>> -- >> >>> M.S.I. Angel Haniel Cantu Jauregui. >> >>> >> >>> Celular: (011-52-1)-899-871-17-22 >> >>> E-Mail: angel.ca...@sie-group.net >> >>> Web: http://www.sie-group.net/ >> >>> Cd. Reynosa Tamaulipas. >> >>> _______________________________________________ >> >>> CentOS-es mailing list >> >>> CentOS-es@centos.org >> >>> http://lists.centos.org/mailman/listinfo/centos-es >> >>> >> >> _______________________________________________ >> >> CentOS-es mailing list >> >> CentOS-es@centos.org >> >> http://lists.centos.org/mailman/listinfo/centos-es >> >> >> > _______________________________________________ >> > CentOS-es mailing list >> > CentOS-es@centos.org >> > http://lists.centos.org/mailman/listinfo/centos-es >> > >> >> _______________________________________________ >> CentOS-es mailing list >> CentOS-es@centos.org >> http://lists.centos.org/mailman/listinfo/centos-es >> > > > > -- > M.S.I. Angel Haniel Cantu Jauregui. > > Celular: (011-52-1)-899-871-17-22 > E-Mail: angel.ca...@sie-group.net > Web: http://www.sie-group.net/ > Cd. Reynosa Tamaulipas. > -- M.S.I. Angel Haniel Cantu Jauregui. Celular: (011-52-1)-899-871-17-22 E-Mail: angel.ca...@sie-group.net Web: http://www.sie-group.net/ Cd. Reynosa Tamaulipas. _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
