Bloqueo de páginas

Imagen de iceman

Forums: 

Saludos

Necesito bloquear algunas páginas para evitar accesos no deseados que consuman ancho de banda ya que necesito priorizar su utilización debido a congestionamiento en el enlace.

Al momento tengo bloqueado páginas como facebook y youtube en mi servidor squid (tengo instalada la distribución CentOS 5.5), pero no se encuentra bloqueado https. Es decir, se puede ingresar a ciertas direcciones bloqueadas escribiendo https://

Por favor si me pueden ayudar para bloquear por completo estas páginas pero sin afectar el funcionamiento de otras páginas que requieran conexiones seguras https.

Gracias

Encontré http://www.ecualug

Imagen de iceman

Encontré http://www.ecualug.org/?q=2012/05/23/comos/centos6_%C2%BFc%C3%B3mo_bloquear_facebook_con_iptables, y el procedimiento que seguí fue el siguiente:

Como trabajo en modo gráfico y no manejo muchos comandos, ingresé al archivo iptables que se encuentra en /etc/sysconfig y añadí la regla:

-A FORWARD -p tcp --dport 443 -m string --string 'facebook' --algo bm -j DROP (-A porque si ingreso en el archivo -I me da error)

Esta regla así tal cual no funciona.

Investigando en otros foros, dice que debo bloquear tanto el tráfico de entrada como el de salida, me daba una regla un poco más amplia por así decirlo, pero tampoco funcionó, decidí combinar las reglas e ingresé de esta forma:

-A FORWARD -p tcp -m tcp -s red que quiero bloquear/255.255.255.0 -m string --string "facebook.com" --algo bm --dport 443 -j DROP

-A FORWARD -p tcp -m tcp -d red que quiero bloquear/255.255.255.0 -m string --string "facebook.com" --algo bm --dport 443 -j DROP

Tampoco me funciona.

No se si me estoy comiendo un paso o que sucede pero ya me ha ocasionado un dolor de cabeza más.

Por favor ayuda.

Gracias.

Saludos a todos.

Imagen de kfirmad Kronsage

Saludos a todos.

Acabo de entregar un servidor a un colegio que quería bloquear el facebook a sus usuarios, usé un Kypus que tenían por allí desconectado y acumulando polvo, le quité el S.O. que venía instalado y le puse IPCop.

Le expliqué a la rectora de este colegio lo que pasa con el facebook, le mostré que solo con http el bloqueo funciona bien pero que si usan https ya no funciona y bueno, para acortar el cuento, le dije que eso de bloquear el facebook es un trabajo que se mantiene en el tiempo porque facebook puede cambiar de servidores (lo dije esto para que me entienda) y que todas la semanas hay que hacer una prueba tratando de entrar usando https y que si entraba a facebook que me llame para bloquear este nuevo servidor.

También le dije que no mostremos un mensaje de bloqueo o acceso denegado para evitar que principalmente los profesores empiecen a decir que si que esta dictadora nos quita nuestra libertad de expresión bla bla bla y simplemente dejemos que no pase nada y dar la sensación de que el facebook está dañado, punto.

Entonces para bloquear totalmente facebook por https, voy a usar la "jerga de IpCop" tuve que poner una regla DROP en el firewall a todo el tráfico de todos los puertos que sale de mi interfaz Green y que esté direccionado al CIDR de facebook que detecté durante esos días.

Sé que no es una solución óptima, sé que lo mejor es no usar proxy transparente, pero dado que es un colegio y que tienen 3 laboratorios de mínimo 20 equipos cada uno, por cierto y para nuestra alegría, todas funcionan con Linux (bueno, Ubuntu, pero bueno, ya es un avance) y que cada vez tienen visitas y vienen con portátiles y que no tienen personal que se dedique a configurar el proxy en los equipos (los profes con sus clases no tienen tiempo para administrar los laboratorios y peor la parte administrativa y ni se diga visitas), ya, nos quedamos con esto, si, hay riesgos de bloquear otros servicios que estén en esos servidores, pero ya, lo que pedía el cliente funcionó.

Lo cierto es que si uno se pone a ver en Internet formas de evadir los controles y usar facebook, hay montones de formas para hacerlo, desde DNS públicos hasta aplicaciones para dummies.

Creo que, al menos para este colegio, lo mejor sería darle el giro al tema del facebook y en lugar de bloquearlo, empezar a usarlo como una herramienta intensiva de trabajo académico, les mostré algunas experiencias y les gustó la idea y bueno, ya vamos a empezar a trabajar con eso.

No sé si para quién empezó este hilo esto que acabo de contar sea de utilidad técnica, pero si quise compartir mi experiencia y de pronto alguna idea le sirva.

Saludos.

----------------------------
Cada día más Grande... y no lo detiene nadie!!

mm si usuaras iptables de un

Imagen de falcom

mm si usuaras iptables de un solo tajo lo bloqueas asi:

iptables -I FORWARD -p tcp --dport 443 -m string --string 'facebook' --algo bm -j DROP
iptables -I FORWARD -p tcp --sport 443 -m string --string 'facebook' --algo bm -j DROP

sin mas q dos lineas
pd. 0j0 esta linea funciona unicamente en centos 6x (not work in centos 5x) para eso puse otro como en este mismo site.

OJO es IPCop, harto complejo

Imagen de deathUser

OJO es IPCop, harto complejo recompilar la distro para incluir los parches requeridos del kernel, aunque no se la versión que haya instalado ni si tengan los mentados parches alguna versión de IPCop o algún plug-in ...

Con todo, recompilando es posible si es que no hay lo antes mencionado :D ...

bye
;)

Yo le metí el IpCop 2.03 y

Imagen de kfirmad Kronsage

Yo le metí el IpCop 2.03 y está actualizado hasta el 2.06.

Quise ponerle CentOS pero no le podía meter ni queriendo, con apenas un procesador Celeron de 600Mhz soldado directamente en el mainboard y 1GB en RAM, pues simplemente el instalador me decía que no y no es no así que ya no.

He visto otros como Smoothwall, Pfsense, ClearOS, Endian, pero no tuve chance de revisarlos porque ese equipo no permitía el booteo desde flash memory y cds para quemar menos.

----------------------------
Cada día más Grande... y no lo detiene nadie!!

Luego de un STFW no he

Imagen de deathUser

Luego de un STFW no he encontrado ningún plug-in que te pueda ayudar en la versión 2.x de IPCop, para la 1.4.13 hay un pugin p2pblock para bloquear p2p usando layer7 y string-matching que quizás podría funcionar, no lo he usado así que no te garantizo que funcione :) ...

Las soluciones que he visto (con IPCop) en la búsqueda realizada van por el lado que tú lo hiciste :) ...

Quizás y en el arranque poner un script que valide los rangos de las direcciones usadas por facebook :)

bye
;)

También hice un STFW y un

Imagen de kfirmad Kronsage

También hice un STFW y un RTFM y según el FM del IpCop, muchos de los plugins de la versión 1.4.x habían sido incorporadas ya como parte de la GUI web de IpCop 2.x, por ejemplo URLFilter, Advanced Proxy, entre otros y la verdad es que en mi instalación solo pude encontrar Advanced Proxy pero URLFilter no lo pude encontrar, recorrí la interfaz y nada. A la final ya no pude hacer filtrados URL entonces tocó entrarle duro al iptables.

Saliéndome un poco del tema técnico y ya hablando un poco más con el cliente sobre lo de las prohibiciones y todo eso pues a la final quedamos que el cliente actúaria como script de validación, y cada vez que aparezca de nuevo el acceso para allá, me va a llamar para aplicar una nueva regla y obviamente la visita tendrá su costo.

El que quiere ser celeste, que le cueste.

----------------------------
Cada día más Grande... y no lo detiene nadie!!