El 04/09/13 00:28, leos.lis...@gmail.com escribió:
> On 02/09/13 12:35, leos.lis...@gmail.com wrote:
>> Hola Grupo.
>>
>> Les consulto la siguiente situación:
>>
>> Tengo implementado un proxy con Debian/Squid/Dansguardian en donde
>> hasta hoy solo bloqueaba algunos sitios y para las IPs de la Gerencia
>> les configuraba en /etc/dansguardian/list/excepcioniplist sus IPs para
>> que los filtros del Dansguardian no los afecten.
>>
>> Ahora bien, me piden que bloquee el Facebook para todos, pero se me
>> presenta esta sitación:
>>
>> 1) Si bloqueo facebook para todos, las IPs que estan en
>> /etc/dansguardian/list/excepcioniplist podrían seguir ingresando.
>>
>> 2) Si quito a todos de /etc/dansguardian/list/excepcioniplist voy a
>> poder bloquear facebook pero estos usuarios de mayor privilegio
>> podrían tener eventualidades con noticias donde aparezca la palabra
>> sexo, drogas, violencia o cosas asi.
>>
>> Conclusión y pregunta:
>>
>> Es posible bloquear un determinado sitio (en este caso facebook) para
>> una determinada cantidad de usuarios (mediante sus direcciones IPs las
>> cuales conozco)?
>>
>> Muchas Gracias.
>>
>> Saludos.
>>
> Por si a alguien le sirve les comento que para poder filtrar el acceso
> https a Facebook tuve que utilizar la siguiente regla de iptables:
>
> # iptables -I FORWARD -p tcp -m string --string "facebook" --algo bm -j
> DROP
>
> Lo que no he podido lograr aún es establecer el rango de ips para el
> cual quiero establecer dicho filtro:
>
> Esto es:
>
> Si hago [1] la regla se aplica (osea puedo verla con iptables -nvL) pero
> no filtra el acceso, mientras que si lo hago a secas [2] si funciona.
>
> Bueno, si alguien puede aportar alguna sugerencia desde ya muchas gracias!)
>
> [1] # iptables -I FORWARD -p tcp -s 192.168.1.0/24 -m string --string
> "facebook" --algo bm -j DROP
> [2] # iptables -I FORWARD -p tcp -m string --string "facebook" --algo bm
> -j DROP
>
>
bueno, mi consejo es el siguiente:
Coloca un squid versión 3.x, y asegúrate de que esta compilado con
soporte SSL.
Como se comprueba esto?
pues con squid3 -v nos da todas las opciones de compilación, he aquí el
mio...
root@:~# squid3 -v
Squid Cache: Version 3.1.20
configure options: '--build=i486-linux-gnu' '--prefix=/usr'
'--includedir=${prefix}/include' '--mandir=${prefix}/share/man'
'--infodir=${prefix}/share/info' '--sysconfdir=/etc'
'--localstatedir=/var' '--libexecdir=${prefix}/lib/squid3' '--srcdir=.'
'--disable-maintainer-mode' '--disable-dependency-tracking'
'--disable-silent-rules' '--datadir=/usr/share/squid3'
'--sysconfdir=/etc/squid3' '--mandir=/usr/share/man'
'--with-cppunit-basedir=/usr' '--enable-inline' '--enable-async-io=8'
'--enable-storeio=ufs,aufs,diskd' '--enable-removal-policies=lru,heap'
'--enable-delay-pools' '--enable-cache-digests' '--enable-underscores'
'--enable-icap-client' '--enable-follow-x-forwarded-for'
'--enable-auth=basic,digest,ntlm,negotiate'
'--enable-basic-auth-helpers=LDAP,MSNT,NCSA,PAM,SASL,SMB,YP,DB,POP3,getpwnam,squid_radius_auth,multi-domain-NTLM'
'--enable-ntlm-auth-helpers=smb_lm,'
'--enable-digest-auth-helpers=ldap,password'
'--enable-negotiate-auth-helpers=squid_kerb_auth'
'--enable-external-acl-helpers=ip_user,ldap_group,session,unix_group,wbinfo_group'
'--enable-arp-acl' '--enable-esi' '--enable-zph-qos' '--enable-wccpv2'
'--disable-translation' '--with-logdir=/var/log/squid3'
'--with-pidfile=/var/run/squid3.pid' '--with-filedescriptors=65536'
'--with-large-files' '--with-default-user=proxy'
'--enable-linux-netfilter' 'build_alias=i486-linux-gnu' 'CFLAGS=-g -O2
-fPIE -fstack-protector --param=ssp-buffer-size=4 -Wformat
-Werror=format-security -Wall' 'LDFLAGS=-fPIE -pie -Wl,-z,relro
-Wl,-z,now' 'CPPFLAGS=-D_FORTIFY_SOURCE=2' 'CXXFLAGS=-g -O2 -fPIE
-fstack-protector --param=ssp-buffer-size=4 -Wformat
-Werror=format-security'
--with-squid=/build/buildd-squid3_3.1.20-2.2-i386-3NN6Xn/squid3-3.1.20
Problema:
Que hasta donde yo se, y como podrás comprobar, el binario del paquete
de Debian no lo trae por defecto.
Opciones:
Compilartelo tu mismo, y obviar el paquete, o algo mas peregrino.
Compilar la misma versión, y sustituir solamente el binario.
Con eso se consigue tener Squid con capacidad para gestionar el trafico
HTTPS. Esto te permitirá trabajar y filtrar Facebook, independientemente
de que las solicitudes estén cifradas o no.
saludos,
--
To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/5226f395.3010...@bersol.info
