Ayuda a bloquear y habilitar puerto 443 a rango de ips

Tema: 

Hola a todos en el foro, tengo una duda, espero puedan apoyarme para dar con la solucion:

Tengo un servidor con ubuntu server 11.04, proxy squid transparente, reglas firewall...

El problema que tengo es el siguiente:

Manejo 2 rangos de ip, la primera la asigna squid y es del tipo 172.16.9.0 - 172.16.9.255 y son las direcciones que estan restringidas mediante las acl del squid...

El otro rango de ip es del tipo 172.16.0.2 - 172.16.0.255 y son las direcciones para "jefes" o sin restricciones y son asignadas mediante el dhcpd.conf de acuerdo con mac address y de manera manual se declara la ip estatica para que al entrar, el sistema los detecte como "jefes" y en squid tengo una acl donde vienen las ip declaradas de "jefes y los deja navegar libremente.

Ahora bien, como todo en esta vida, el problema que tengo es que en la red restringida existe el ultrasurf y se pasa por el arco del triunfo al squid y todo lo demas...

La solucion que pienso estaria super bien es bloquear el puerto 443 pero solo para el rango de ip de la 172.16.9.0 a la 172.16.9.255 cómo puedo declarar esto dentro de mi script de iptables?

Pero tambien existen las paginas de bancos, hotmail, gmail, y algunas que por trabajo son necesarias y necesitan tener conexion https, entonces lo que quiero hacer es "abrir" el puerto 443 a este rango de ip's 172.16.9.0 - 172.16.9.255 pero solo para el rango de red de hotmail, gmail, bancos, paginas del trabajo, etc... Cual es la forma en la que deberia de hacer esto? es decir, puedo conseguir el rango de red de cada sitio, pero como declaro en mi script de iptables que abra el puerto 443 para el rango de red al rango de red de la pagina que quiero?

Y otra pregunta mas, por ahi lei que las reglas de iptables se leen de acuerdo a la posicion, entonces deberia permitir la conexion a los rangos de red de las paginas https que quiero tener hotmail, bancos, etc y despues de esta regla la que cierra el 443 a todo lo demas? es correcto esto?

Saludos, espero haberme explicado correctamente, y gracias a todos aquellos que me puedan dar una luz sobre este dilema...

Gracias

Comentarios

Yo tengo estas reglas en iptables...

Para bloquear el https del facebook tengo:

iptables - A FORWARD -m iprange --src-range 172.16.9.0-172.16.9.255 -d 69.171.224.0/19 -j DROP

Y bloquea perfectamente el facebook por https, y es un servidor transparente, entonces pense en bloquear todo el puerto 443 pero solo a este rango de red, el problema es que no se como va la sentencia de iptables para bloquear el 443 para el segmento de red que necesito... y solo permitir accesar o usar el 443 para el rango de red de por ejemplo microsoft 207.x.x.x/19 por ejemplo...

Siento que se debe de poder aun siendo proxy transparente... porque si bloquea el acceso https al facebook...

Saludos y muchas gracias por contestar...

Creo que si funciona lo que propongo aun con proxy transparente

Gracias por contestar, al fin pude hacer lo que necesitaba, pero a medias, es decir puedo bloquear el puerto 443, y decirle a iptables que abra o acepte conexiones a ese puerto al rango de ip 172.16.9.0-172.16.9.255 para el rango de direcciones ip de google o gmail, pero no me deja para hotmail, es decir no abre la pagina...
En cuanto llegue al trabajo subo el script de mi firewall para ilustrar mejor esto.

Gracias por contestar

Hola colega, Lo que veo es

Imagen de BitFrost

Hola colega,

Lo que veo es que de ley estas usando NAT a parte del proxy transparente, ya que no hay manera de hacer transparente al https, puedes ir de maquina en maquina lo cual es algo tedioso, y poner el Proxy en cada una, ahora, puedes hacer unas MASQUERADE a las direcciones destino con https,

Mi mejor solucion es: Squid + Iptables + OpenDNS

Te dejo una manera en la que puedes bloquear suponte facebook, con strings

iptables -I FORWARD -s 172.16.9.0/24 -p tcp -m string --string "facebook.com" --algo kmp -j DROP
iptables -I FORWARD -d 172.16.9.0/24 -p tcp -m string --string "facebook.com" --algo kmp -j DROP

Saludos

Bitfrôst
http://www.crice.org

"Education is what remains after one has forgotten everything he learned in school." - Albert Einstein
[img]http://counter.li.org/cgi-bin/certificate.cgi/345468[/img]

Halle la forma, pero a medias...?

En cuanto llegue a la oficina, pego el script de mi firewall para mostrarte lo que funciono a medias, ya que pude bloquear el puerto 443 para ese rango de red y le di reglas para abrir el puerto 443 para el rango de red de google o gmail... pero al darle lo mismo para hotmail no se conecta...
Voy a postear el script para ver si me pueden ayudar a desenmarañar todo este relajo... pero si funciona mi teoria, creo.

Saludos y gracias por contestar.

(SOLUCIONADO) YA PUDE SOLUCIONAR MI PROBLEMA

Ultrasurf si se puede bloquear usando squid proxy transparente, y con la ayuda de iptables!!!!

Ya encontre la solucion a mi problema de cargar hotmail y ya puedo ir abriendo las paginas que necesito que los usuarios bloqueados accesen por puerto 443...

Saludos

Páginas