Probado en CentOS-5 y CentOS-6 con tal de que la distro tenga un módulo de iptables llamado "string" esto funcionará
me lo pidió un amigo hoy y realmente no lo tenía previsto.
La idea es que sí, en el squid puedes bloquear de una u otra forma el sitio facebook.com (url_regex, dansguardian, etc), sin embargo los usuarios han descubrierto que si ponen https, no les bloquea el facebook.
Por qué ocurre esto? porque el proxy transparente que es lo que normalmente usas para que los usuarios sean forzados a pasar por el squid, solamente atiende el puerto 80, y no otros puertos, por ejemplo el 443.. y pum, se te escapan descaradamente.
Hoy buscando en google, y rebuscando, al final encontré el tema, cómo le solucioné?
iptables -I FORWARD -p tcp --dport 443 -m string --string 'facebook' --algo bm -j DROP
y listo, intenta ahora navegar a facebook usando https:// para que veas. El http lo manejo desde el squid.
Si tuvieras un usuario (192.168.1.123) que TENGA que usar facebook, pones debajo:
iptables -I FORWARD -s 192.168.1.123 -p tcp --dport 443 -m string --string 'facebook' --algo bm -j ACCEPT
Si quieres le controlas también el puerto 80... pero no sé, prefiero el squid para eso, quizá son viejuconadas o quizá me da pereza poner dos puertos en una línea de iptables
Comentarios
En windows no hay como
Eso de bloquear por rangos de ip, no me gusta mucho... Lo de String me encantó, el problema es que cuando implementé la regla, sirvió, pero solo para mi maquina en la que uso linux, pero el resto de maquinas de la red que usan windows no sirve, ¿que podrá ser?
no tiene nada q ver el SO q
no tiene nada q ver el SO q tengas en los clientes, siempre y cuando tengas como gw la ip del server donde corre tu proxy...
lo que comprobe en es q en centos 5x no corren esas lineas sino otras, para centos 6x esta ok
Me lo imaginaba
Gracias por tu respuesta, se que mi pregunta casi no tenia logica pero era lo que estaba pasando en mi red.
Tengo Centos 5.9 Final,
sera esa la explicación, no quiero cambiarme a 6 porque he tenido muchos problemas con las distros 6x
En fin alguna idea, de la solucion para 5x?
claro en centos 5x tambien
claro en centos 5x tambien hay alternativas una es:
FACEBOOK_ALLOW=`cat /home/ruta/facebookusers.conf`
iptables -N FACEBOOK
iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range 66.220.144.0-66.220.159.255 --dport 443 -j FACEBOOK
iptables -I FORWARD -p tcp -m iprange --dst-range 66.220.144.0-66.220.159.255 --dport 443 -j FACEBOOK
iptables -I FORWARD -p tcp -m iprange --dst-range 69.63.176.0-69.63.191.255 --dport 443 -j FACEBOOK
iptables -I FORWARD -p tcp -m iprange --dst-range 204.15.20.0-204.15.23.255 --dport 443 -j FACEBOOK
iptables -I FORWARD -p tcp -m iprange --dst-range 204.74.64.0-204.74.127.255 --dport 443 -j FACEBOOK
iptables -I FORWARD -p tcp -m iprange --dst-range 69.171.224.0-69.171.255.255 --dport 443 -j FACEBOOK
iptables -I FORWARD -p tcp -m iprange --dst-range 69.63.176.0-69.63.191.254 --dport 443 -j FACEBOOK
iptables -I FORWARD -p tcp -m iprange --dst-range 173.252.64.1-173.252.127.254 --dport 443 -j FACEBOOK
iptables -I FORWARD -p tcp -m iprange --dst-range 31.0.0.1-31.255.255.254 --dport 443 -j FACEBOOK
for face in $FACEBOOK_ALLOW; do
iptables -A FACEBOOK -s $face -j ACCEPT
done
iptables -A FACEBOOK -j REJECT
la otra es compilar tu kernel con L7 y bingo asunto solucionado
Actualizo a centos 6?
Tu me dices que actualizando a centos 6x?
Por cierto, gracias por tu tiempo---
actualizando a centos 6x ???
actualizando a centos 6x ??? mm yo no he dicho eso, lo q dije es q las lineas indicadas primero corrian unicamente en centos 6 mas no en la rama 5x
Lo conseguí
Mil gracias por tu ayuda.. por fin lo conseguí!
lo bloqueaste en centos 5x o
lo bloqueaste en centos 5x o en centos 6 ? cual de los dos te sirvio?
Gracias
despues de tanto buscar y buscar encontre la solucion muchas gracias pero ahora me encontre con otro problema que es un programa llamado ultrasurf con que los usuarios de la red se saltan el flitro del Firewall y consumen el canal de forma descarada si alguien sabe como bloquear este programa o informacion al respecto seria de mucha ayuda saludos..
Busca en el foro, creo que
Busca en el foro, creo que falcom publicó una entrada sobre el tema, lo más fácil para ese tipo de cosas es, no enmascarar (natear) el tráfico y obligar a los usuarios a usar el proxy para navegar, si es con proxy no transparente mucho mejor, con eso deberías tener control total sobre el tráfico que va hacia internet desde tu proxy ...
bye
;)
Páginas