Bloqueo http, https, re direccionamiento a web

Imagen de maxstoro

Forums: 

Hola amigos de Ecualug nuevamente saludándoles y con nuevas inquietudes.

El asunto es el siguiente, buscando encontré un script que modifique las reglas básicamente son las siguientes


#!/bin/sh

# Aqui bloqueo Ip's especificas.

iptables -I FORWARD -s 192.168.16.2 -i eth1 -m tcp -p tcp --dst 190.200.12.2 --dport 80 -j HTTP_BLOQUEO
iptables -I FORWARD -s 192.168.16.2 -i eth1 -m tcp -p tcp --dst 190.200.12.2 --dport 443 -j HTTPS_BLOQUEO

# Aqui bloqueo por el rango de Ip's que usan sus dns.

iptables -I FORWARD -s 192.168.16.2 -i eth1 -m tcp -p tcp -m iprange --dst-range 66.220.144.0-66.220.159.255 --dport 443 -j HTTPS_BLOQUEO
iptables -I FORWARD -s 192.168.16.2 -i eth1 -m tcp -p tcp -m iprange --dst-range 66.220.144.0-66.220.159.255 --dport 80 -j HTTP_BLOQUEO

# Aqui por ejm haciendo uso de sus dominios (urls) bloqueando solo el 443

iptables -I FORWARD -s 192.168.16.2 -i eth1 -p tcp -m string --string www.cualquiercosa.com --dport 443 --algo bm -j HTTPS_BLOQUEO

iptables -I FORWARD -s 192.168.16.2 -i eth1 -p tcp -m string --string www.cualquiercosa.com --dport 80 --algo bm -j HTTP_BLOQUEO

# Bloqueo https definidas al resto de la red
iptables -A HTTPS_BLOQUEO -j DROP
iptables -A HTTP_BLOQUEO -j DROP

Con estas reglas he podido bloquear todo lo que he querido a excepción de páginas que trabajan o resuelven sus dominios por medio de otras web ejemplo:

youtube el http lo logro bloquear pero el https no porque google resuelve el https de el youtube y al bloquearlo el google comienza a presentar problema jjjjj bueno si alguien logro bloquear el https me gustaría que me pasen las ip para intentarlo.

Hasta este punto todo muy bien ahora les explico lo que quiero hacer, en mis clientes en vez de que les caduque la pagina quiero que se redirecciones a 192.168.16.1/bloqueado.html y les aparezca una pequeña pagina web que indique que está bloqueado el dominio.

Les agradezco mucho.

Hola a migo te comento que si

Imagen de maxstoro

Hola a migo te comento que si he trabajado con el squid la desventaja que tengo es que bloquea el trafico http pero no el https dejando navegación libre para mis clientes por el https .
Y otro problema es que al trabajar con el squid no me segmenta subida sea con cbq o htb-gen, por eso estoy trabajando mejor con las iptables jjjj y la curiosidad me puede al tratar de enrutar las peticiones que bloqueo a mi pagina web que tengo configurada en el mismo server

te armas un lio de puta madre

Imagen de falcom

te armas un lio de puta madre x gusto mira...

acl facebook dstdom_regex -i facebook\..* youtube\..* hi5\..* fulltono\..*

luego deniegas...
el mismo squid te permite bloquear trafico de las webs q quieras inclusive con esa regla te bloquea https://www.facebook.com
yo lo tengo funcionando perfectamente....

Es que aun no me entienden no

Imagen de maxstoro

Es que aun no me entienden no me armo un lio mi intención es aprender más….. y pues con esas páginas no me armo un lio tampoco todo está bloqueado y anda de maravilla mi cbq y mi htb-gen funcionan de lo mejor sin el squid. Es solo la curiosidad de hacer algo uno mismo sin necesidad de usar el squid igual agradezco el comentario

lo q te trato de decir es q

Imagen de falcom

lo q te trato de decir es q por gusto no hay q inventar el agua tibia... con squid la tienes mas facil y esta pensado justamente en eso, pero si a ti te gusta iptables y te funciona perfecto!! de eso se trata, sobre q no te funciona squid+htb-gen, umm raro como te comentaba lo tengo funcionando perfectamente desde hace algunos anios, cual es tu problem ? mejor crea otro hilo para q cierres este tema...

Hola amigo el hilo si lo cree

Imagen de maxstoro

Hola amigo el hilo si lo cree hace más de un año publique parte de mi configuración en ese entonces con el tiempo cambie pequeñas cosas pero en este link esta básicamente mi configuración http://www.ecualug.org/2010/07/25/blog/maxstoro/firewall_nat_cbq_squid, si el squid es muy potente pero de repente vale la pena mirar otras opciones igual por ahora trabajo bien sin el squid total tengo a prueba el server, si presenta algún problema pues regresare al squid… checa por favor el link espero comentarios gracias :)

sobre lo del control de ancho

Imagen de falcom

sobre lo del control de ancho de banda htb-gen funciona perfecto... tanto subida como bajada, seguro tu config algo esta mal. si quieres alcgo mas completo/complejo prueba con prometheus, yo lo tengo montado con 413 users funciona de puta madre... sobre el redireccionamiento a una pag personalizada de bloqueo facil
http://www.vanheusden.com/ir
ya pusieron un post aca de como hacerlo solo busca.... facil

Tanto el cbq como el htb-gen

Imagen de maxstoro

Tanto el cbq como el htb-gen me funcionan muy bien sin el squid jjjjjj igual el prometheus si tengo en mente probarlo no esta demás … y gracias por la sugerencia del redireccionamiento voy a chequear ;)

No se si funcione, pero

Imagen de deathUser

No se si funcione, pero podrías probar en la regla:

iptables -A HTTPS_BLOQUEO -j DROP

En lugar de hacer un drop, hacer un forward a un apache con la página que te interesa ...

bye
;)

Páginas