Bueno yo estaba respondiendo a la negativa de Ignacio con relacion al codigo que envie que es puramente en Squid.
Saludos, David El 15 de noviembre de 2013 21:12, César Martinez < cmarti...@servicomecuador.com> escribió: > Yo crería que solucionaron este problema con lo que le envié a pesar > que no hemos recibido un agradecimiento, tampoco se ha comentado que > continua con el problema > > Cordialmente > > César Martínez Mora > Ingeniero de Sistemas > SERVICOM > User Linux 494131 > > Números Convencionales 02-2554-271 02-2221-386 > Extensión 4501 > Móvil 09-99374-317 > Usa (315) 519-7220 > Email & Msn cmarti...@servicomecuador.com > Skype servicomecuador > Web www.servicomecuador.com > Síguenos en > Twitter: http://twitter.com/servicomecuador > Facebook: http://www.facebook.com/servicomec > Zona Clientes: www.servicomecuador.com/billing > Blog: http://servicomecuador.com/blog > > Dir. Av. 10 de Agosto N29-140 Entre > Acuña y Cuero y Caicedo Edificio Vivanco Castillo > 2do. Piso Oficina 201 > Quito - Ecuador - Sudamérica > > ================================================= > > Cláusula de Confidencialidad > La información contenida en este e-mail es confidencial y solo puede ser > utilizada por la persona a la > cual esta dirigida.Si Usted no es el receptor autorizado, cualquier > retención, difusión, distribución o copia > de este mensaje es prohibida y sancionada por la ley. Si por error recibe > este mensaje, por favor reenviarlo > al remitente y borre el mensaje recibido inmediatamente. > ================================================= > > El 15/11/13 19:08, David González Romero escribió: > > Bueno yo lo tengo implementado en mi red, claro yo no uso proxy > > transparente. > > > > Como lo hice > > > > En squid.conf > > > > Siempre están estas líneas: > > acl SSL_ports port 443 > > acl Safe_ports port 80 # http > > acl Safe_ports port 21 # ftp > > acl Safe_ports port 443 # https > > acl Safe_ports port 70 # gopher > > acl Safe_ports port 210 # wais > > acl Safe_ports port 1025-65535 # unregistered ports > > acl Safe_ports port 280 # http-mgmt > > acl Safe_ports port 488 # gss-http > > acl Safe_ports port 591 # filemaker > > acl Safe_ports port 777 # multiling http > > acl CONNECT method CONNECT > > > > Luego de estas ACL están las reglas en si: > > # Deny requests to certain unsafe ports > > #http_access deny !Safe_ports > > http_access allow Safe_ports > > > > # Deny CONNECT to other than secure SSL ports > > http_access deny CONNECT !SSL_ports > > > > Bien el código que envié antes funciona perfectamente quedando de esta > > forma: > > > --------------------------------------------------------------------------------------------------------- > > ##Por problemas de Dengacion de Redes Sociales se pasa a este nivel la > > denegacion de FB y demas > > acl redes-soc url_regex -i "/etc/squid/redes-soc" > > acl extenciones url_regex "/etc/squid/extenciones" > > http_reply_access deny redes-soc localnet > > http_access deny CONNECT redes-soc localnet > > http_access allow localnet > > > > # Deny requests to certain unsafe ports > > #http_access deny !Safe_ports > > http_access allow Safe_ports > > > > # Deny CONNECT to other than secure SSL ports > > http_access deny CONNECT !SSL_ports > > > --------------------------------------------------------------------------------------------------------- > > Dentro de /etc/squid/redes-soc tengo > > facebook.com > > twitter.com > > hi5.com > > > > Te puedo asegurar que funciona 100% con reclamos de los clientes > incluidos > > al ser implementada la regla. Eso si y repito mi servidor no es un proxy > > transparente. Pero no tuve que hacer adsolutamente más nada en iptables o > > similares. > > > > Ahh!!! Google, Yahoo y comapñias https entran super bien. > > > > Saludos, > > David > > > > > > > > > > El 6 de noviembre de 2013 19:58, Ignacio Ordeñana <ifor1...@gmail.com > >escribió: > > > >> hola david no funciona ya la probe en su momento en proxy transparente > >> > >> saludos > >> > >> > >> El 6 de noviembre de 2013 12:50, David González Romero > >> <dgrved...@gmail.com>escribió: > >> > >>> Esta es una opción 100% Squid, probada por mi y funciona super bien > >>> > >>> > >>> > >> > http://servercomputing.blogspot.com/2012/01/block-facebook-in-squid-proxy-server.html > >>> Saludos, > >>> David > >>> > >>> > >>> El 5 de noviembre de 2013 12:42, Ignacio Ordeñana <ifor1...@gmail.com > >>>> escribió: > >>>> te envio un link de una perosna que tuvo ese mismo problema > >>>> > >>>> > >>>> > >> > http://www.ecualug.org/?q=2011/02/10/forums/bloquear_https_de_facebook_en_ip_tables&page=3 > >>>> saludos > >>>> > >>>> > >>>> El 5 de noviembre de 2013 09:32, angel jauregui > >>>> <darkdiabl...@gmail.com>escribió: > >>>> > >>>>> Se cumple la excepcion, y funcionaria no ? > >>>>> > >>>>> > >>>>> El 5 de noviembre de 2013 09:25, Ignacio Ordeñana < > >> ifor1...@gmail.com > >>>>>> escribió: > >>>>>> a mi parecer esa regla de iptables no te funcionara ya que primero > >> la > >>>>> estas > >>>>>> permitiendo el acceso a una ip en particular luego le quitas > >> acceso a > >>>>> todo > >>>>>> el segmento de red incluyendo la ip que le permites acceso. > >>>>>> > >>>>>> saludos > >>>>>> > >>>>>> > >>>>>> El 5 de noviembre de 2013 08:34, angel jauregui > >>>>>> <darkdiabl...@gmail.com>escribió: > >>>>>> > >>>>>>> @David asi tengo la denegacion tambien, pero si el usuario > >> cambia a > >>>>>> "https" > >>>>>>> la pagina ya no es bloqueada, se brinca el filtro. > >>>>>>> > >>>>>>> Esto mas que nada porque en IPTables la regla indica que > >> cualquier > >>>> cosa > >>>>>> que > >>>>>>> va al 80 se rediriga al 3128 (puerto squid), y al cambiar a > >> HTTPS, > >>> ya > >>>>> no > >>>>>> se > >>>>>>> aplica la regla. > >>>>>>> > >>>>>>> Ahora no puedo quitar el puerto https y forzar solo http, ya que > >>>>> existen > >>>>>>> paginas de gobierno que requieren https, y se me vendria el mundo > >>>>> encima > >>>>>>> :S. > >>>>>>> > >>>>>>> Estoy intentando con estas reglas, ustedes que opinan: > >>>>>>> > >>>>>>> *# dar acceso a facebook para una ip fija* > >>>>>>> shell# iptables -A FORWARD -p tcp -s 10.1.0.10 -d > >>> IP_CIDR_DEFACEBOOK > >>>>> -j > >>>>>>> ACCEPT > >>>>>>> > >>>>>>> *# quitar acceso facebook para cualquiera del segmento* > >>>>>>> shell# iptables -A FORWARD -p tcp -s 10.1.0.0/24 -d > >>>> IP_CIDR_DEFACEBOOK > >>>>>> -j > >>>>>>> REJECT > >>>>>>> > >>>>>>> Saludos ! > >>>>>>> > >>>>>>> > >>>>>>> El 5 de noviembre de 2013 05:08, David González Romero > >>>>>>> <dgrved...@gmail.com>escribió: > >>>>>>> > >>>>>>>> Tu has probado esta opción en Squid? > >>>>>>>> > >>>>>>>> acl denys url_regex "/etc/squid/denys" > >>>>>>>> Donde > >>>>>>>> /etc/squid/denys contiene: > >>>>>>>> facebook > >>>>>>>> twitter > >>>>>>>> ..... > >>>>>>>> Y luego > >>>>>>>> http_access deny restric > >>>>>>>> > >>>>>>>> Al menos así me funciona a mi. > >>>>>>>> > >>>>>>>> > >>>>>>>> Otra opcion sería comentar la línea "acl SSL_ports port 443" > >> para > >>>>>> evitar > >>>>>>>> conexiones por el 443... > >>>>>>>> > >>>>>>>> > >>>>>>>> > >>>>>>>> > >>>>>>>> Saludos, > >>>>>>>> David > >>>>>>>> > >>>>>>>> > >>>>>>>> > >>>>>>>> El 4 de noviembre de 2013 18:47, angel jauregui > >>>>>>>> <darkdiabl...@gmail.com>escribió: > >>>>>>>> > >>>>>>>>> Buenas. > >>>>>>>>> > >>>>>>>>> Estoy implementando limitaciones en la red, el objetivo es > >>> quitar > >>>>>>> acceso > >>>>>>>> a > >>>>>>>>> Redes Sociales, en primera instancia tengo SQUID que logra > >>> tapar > >>>> el > >>>>>>>> acceso > >>>>>>>>> a los sitios mediante http. > >>>>>>>>> > >>>>>>>>> El problema es que si los sitios tienes HTTPS, este es > >>>>> accesible.... > >>>>>>>>> En este caso http://facebook.com esta denegad por Squid. > >>>>>>>>> Pero al poner https://facebook.com entra exitosamente. > >>>>>>>>> > >>>>>>>>> La unica ocurrencia que tuve es usar IPTABLES, asi que puse > >>> esta > >>>>>> regla > >>>>>>>> que > >>>>>>>>> me esta haceindo cumplir el objetivo "En parte": > >>>>>>>>> > >>>>>>>>> iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range > >>>>>>>>> 173.252.64.0-173.252.127.255 -j REJECT > >>>>>>>>> > >>>>>>>>> Donde: 173.252.64.0-173.252.127.255 ---> es el rando CIDr de > >>>>>> facebook. > >>>>>>>>> El problema *ahora radica* en que no logro hacer que ciertas > >>> IPs > >>>>>>> Locales > >>>>>>>>> (privilegiada - jefes) SI puedan acceder a redes sociales :S > >> !. > >>>>>>>>> Intente ANTEponiendo esta regla: > >>>>>>>>> > >>>>>>>>> iptables -I FORWARD *-s ip_del_jefe *-m tcp -p tcp -m iprange > >>>>>>> --dst-range > >>>>>>>>> 173.252.64.0-173.252.127.255 -j ACCEPT > >>>>>>>>> > >>>>>>>>> Pero aun asi, se sigue bloqueando el sitio :S.... > >>>>>>>>> > >>>>>>>>> *shell# iptables -L -n* > >>>>>>>>> REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 > >>> tcp > >>>>>>>>> destination IP range 173.252.64.0-173.252.127.255 reject-with > >>>>>>>>> icmp-port-unreachable > >>>>>>>>> ACCEPT tcp -- 10.1.0.150 0.0.0.0/0 > >>> tcp > >>>>>>>>> destination IP range 173.252.64.0-173.252.127.255 > >>>>>>>>> > >>>>>>>>> -- > >>>>>>>>> M.S.I. Angel Haniel Cantu Jauregui. > >>>>>>>>> > >>>>>>>>> Celular: (011-52-1)-899-871-17-22 > >>>>>>>>> E-Mail: angel.ca...@sie-group.net > >>>>>>>>> Web: http://www.sie-group.net/ > >>>>>>>>> Cd. Reynosa Tamaulipas. > >>>>>>>>> _______________________________________________ > >>>>>>>>> CentOS-es mailing list > >>>>>>>>> CentOS-es@centos.org > >>>>>>>>> http://lists.centos.org/mailman/listinfo/centos-es > >>>>>>>>> > >>>>>>>> _______________________________________________ > >>>>>>>> CentOS-es mailing list > >>>>>>>> CentOS-es@centos.org > >>>>>>>> http://lists.centos.org/mailman/listinfo/centos-es > >>>>>>>> > >>>>>>> > >>>>>>> > >>>>>>> -- > >>>>>>> M.S.I. Angel Haniel Cantu Jauregui. > >>>>>>> > >>>>>>> Celular: (011-52-1)-899-871-17-22 > >>>>>>> E-Mail: angel.ca...@sie-group.net > >>>>>>> Web: http://www.sie-group.net/ > >>>>>>> Cd. Reynosa Tamaulipas. > >>>>>>> _______________________________________________ > >>>>>>> CentOS-es mailing list > >>>>>>> CentOS-es@centos.org > >>>>>>> http://lists.centos.org/mailman/listinfo/centos-es > >>>>>>> > >>>>>> _______________________________________________ > >>>>>> CentOS-es mailing list > >>>>>> CentOS-es@centos.org > >>>>>> http://lists.centos.org/mailman/listinfo/centos-es > >>>>>> > >>>>> > >>>>> > >>>>> -- > >>>>> M.S.I. Angel Haniel Cantu Jauregui. > >>>>> > >>>>> Celular: (011-52-1)-899-871-17-22 > >>>>> E-Mail: angel.ca...@sie-group.net > >>>>> Web: http://www.sie-group.net/ > >>>>> Cd. Reynosa Tamaulipas. > >>>>> _______________________________________________ > >>>>> CentOS-es mailing list > >>>>> CentOS-es@centos.org > >>>>> http://lists.centos.org/mailman/listinfo/centos-es > >>>>> > >>>> _______________________________________________ > >>>> CentOS-es mailing list > >>>> CentOS-es@centos.org > >>>> http://lists.centos.org/mailman/listinfo/centos-es > >>>> > >>> _______________________________________________ > >>> CentOS-es mailing list > >>> CentOS-es@centos.org > >>> http://lists.centos.org/mailman/listinfo/centos-es > >>> > >> _______________________________________________ > >> CentOS-es mailing list > >> CentOS-es@centos.org > >> http://lists.centos.org/mailman/listinfo/centos-es > >> > > _______________________________________________ > > CentOS-es mailing list > > CentOS-es@centos.org > > http://lists.centos.org/mailman/listinfo/centos-es > > > > _______________________________________________ > CentOS-es mailing list > CentOS-es@centos.org > http://lists.centos.org/mailman/listinfo/centos-es > _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
