RE: Bloqueo de Sitio en Dansguardian

Thu, 05 Sep 2013 12:32:01 -0700 

Esto funciona bien usando 2 cosas Iptables  y Squid.
En squid tener en cuenta que debes tener una lista de usuario permitidos 
ejemplo el caso de los gerentes 192.168.1.20 ,... etc.
#esto en squid 
acl permitidos src "/etc/squid/permitidos"
http_access allow permitidos
################################################################
#esto en iptables para gerencia aceptamos todo a su IP  
#PC Gerencia (cliente VIP)
iptables -A FORWARD -s 192.168.1.20 -j ACCEPT

# BLOQUEANDO FACE 

iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range 
66.220.144.0-66.220.159.255 --dport 443 -j DROP 
iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range 
69.63.176.0-69.63.191.255 --dport 443 -j DROP 
iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range 
204.15.20.0-204.15.23.255 --dport 443 -j DROP 
iptables -I FORWARD -p tcp -m string --string www.facebook.com --dport 443 
--algo bm -j DROP 
iptables -A FORWARD -s www.facebook.com -p tcp --dport 443 -j DROP


en la actualidad esta reglas esta probadas y funcionan bien , no eh probado 
otras opciones pero esta es la que tengo funcinando.


Atte.

        William Romero C



> Date: Thu, 5 Sep 2013 20:39:47 +0200
> From: j...@enchufado.com
> To: debian-user-spanish@lists.debian.org
> Subject: Re: Bloqueo de Sitio en Dansguardian
> 
> On 05/09/13 19:11, leos.lis...@gmail.com wrote:
> > On 04/09/13 15:44, jors wrote:
> >> On 04/09/13 00:28, leos.lis...@gmail.com wrote:
> >>> # iptables -I FORWARD -p tcp -m string --string "facebook" --algo bm -j
> >>> DROP
> >>
> >> Ojo porque hasta dónde yo se, con eso vas a filtrar cualquier paquete
> >> del que iptables pueda identificar esa cadena (no sólo de la URL).
> >>
> >> Salut,
> >> jors
> >>
> >>
> > Exacto Jors, pero fue lo mejor que pude encontrar.
> >
> > Tienes otra sugerencia?
> >
> > Muchas Gracias.
> >
> > Saludos.
> 
> Con iptables no. Yo me quedaría con el consejo que te dió Alberto: 
> compilando un Squid habilitando el soporte https, ya que por lo visto la 
> versión de Debian no lo lleva (alguna razón tendrá).
> 
> Puedes hacerlo como toda la vida [1] o a la Debian-way [2].
> 
> [1] http://wiki.squid-cache.org/SquidFaq/CompilingSquid
> [2] http://www.banym.de/linux/build-squid-with-enable-ssl-on-debian
> 
> PD. Disculpa, te respondí por error en privado :(
> 
> Salut,
> jors
> 
> 
> -- 
> To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
> Archive: http://lists.debian.org/5228cff3.4060...@enchufado.com
>

Responder a