Forums:
Amigos Buenas tardes. Estoy configurando mi proxy tranasparente. He superado varios onconvenientes con su acertada ayuda, pero hoy me encuentro con otro problema: Bloquear el puerto 443 de https, pero no cerrarlo totalmente. El tema es que si lo cierro, los usuarios de mi red no podran ver las páginas https que si tienen permiso ver (Bancos, IESS etc). pero quiero cerrar el https://www.facebook.com, entre otras. He visto en varios foros, pero no encuentro una solución eficiente... Si alguien me ayuda con unas reglas de iptables pa esto, se loagaradecería.
Iptables y Strings
Iptables tiene una opcion, se llaman Strings
iptables -I FORWARD -s 10.10.10.0/24 -p tcp -m string --string "facebook.com" --algo kmp -j DROP
iptables -I FORWARD -d 10.10.10.0/24 -p tcp -m string --string "facebook.com" --algo kmp -j DROP
DOnde 10.10.10.0/24 tu red interna....
En fin, pero puede haber "habiles" que como estas haciendo NAT se salten con algun programa por ejemplo, Tor.
Para lo cual: "Es más facil remover al usuario de la terminal" }:)
Si no puedes tomar esta unica solucion definitiva, debe haber no me he puesto a buscar, algun tipo de software, que te haga accounting de el tiempo que "desperdician" en este tipo de paginas, luego, se envia un reporte mensual de las "actividades", asi cuando reciban la amonestacion o multa, dejaran de entar en esos sitios, caso contrario: Solución Definitiva, y creeme en Ecuador hay mucha gente capaz que le gustaria estar en ese puesto de trabajo haciendo las cosas bien.
Pero en fin, como BOFH lo que he hecho es utilizar como dijo un colega, OpenDNS + Squid + Iptables Strings.
El tema de Layer7 te a a dar "arcadas" instalarlo, puedes utilizar ClearOS.
Saludos
Bitfrost
"Education is what remains after one has forgotten everything he learned in school." - Albert Einstein
[img]http://counter.li.org/cgi-bin/certificate.cgi/345468[/img]
te olvidas del famoso u95 o
te olvidas del famoso u95 o ultrasurf ese se conecta a travez del pto 443 y voala sale sin permisos ni restricciones! como le decia en otros post, una forma efectiva es instalando layer7, (se q es dificil y tedioso pero los resultados son my buenos)
bloquear https facebook
No te compliques la vida, no uses el proxy transparente, con eso controlas los accesos a esas paginas.. no se cuantas pc's tengas en tu red... pero es lo mas facil, si tienes una red hibrida MS y linux puedes enviar el proxy por active directory si estas en dominio
Solucionado...
Señores, disculpen la demora pero lo he conseguido, con un pequeño Scrip de Ip TABLES. funciona perfectamente. E incluso puedo darle acceso al httpS a ciertas IPs.
Fernando Lara
100% Linux
SOLUCIONADO
Señores, Después de tantas pruebas y todo, lo conseguí desde IPTables. Sigo usando Proxy Transparente.
Gracias por su ayuda,
Fernando Lara
100% Linux
Sería interesante que
Sería interesante que publiques tu solución...
bye
;)
deathUser Me parece...
Para quienes estén interesados, les dejo aqui un ejemplo de COMO lo hice:
Para Matar la conexión al FACE por medio de IPTABLES
Revisamos el rango de IPs con las que se conecta nuestra RED al Facebook.com
con el comando:
host -ta www.facebook.com
En este caso arroja la IP 31.13.65.23
Esto nos arroja la IP a la que nos conectamos, pero no el rango al que pertenece.
Para sacar el rango ponemos:
whois 31.13.65.23
nos entrega el rando completo de IPS en este caso
31.13.64.0 Hasta 31.13.127.255
Ese rango lo aplicamos a la regla
FACEBOOK_ALLOW="192.168.1.12 192.168.1.14 192.168.1.111" # Ips a las q les doy FACEBOOK con https
iptables -N FACEBOOK
iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range 31.13.64.0-31.13.127.255 --dport 443 -j FACEBOOK
#EMPIEZO la validacion FACEBOOK ALLOW
for face in $FACEBOOK_ALLOW; do
iptables -A FACEBOOK -s $face -j ACCEPT
done
iptables -A FACEBOOK -j REJECT
Hasta ahora me ha funcado correctamente... Espero sus comentarios o dudas.
Fernando Lara
100% Linux
Es válido, como siempre
Es válido, como siempre requerirá de que se monitoree por cambios en los rangos de direcciones IP usadas por facebook ...
bye
;)
Es lo normal
Es lo normal se debe monitorear cualquier cambio en el rango, pero funciona perfectamente.
Fernando Lara
100% Linux
Páginas