bloquear https de facebook en ip tables SOLUCIONADO!!!!

Forums: 

Amigos Buenas tardes. Estoy configurando mi proxy tranasparente. He superado varios onconvenientes con su acertada ayuda, pero hoy me encuentro con otro problema: Bloquear el puerto 443 de https, pero no cerrarlo totalmente. El tema es que si lo cierro, los usuarios de mi red no podran ver las páginas https que si tienen permiso ver (Bancos, IESS etc). pero quiero cerrar el https://www.facebook.com, entre otras. He visto en varios foros, pero no encuentro una solución eficiente... Si alguien me ayuda con unas reglas de iptables pa esto, se loagaradecería.

hombre no es nada del otro

Imagen de falcom

hombre no es nada del otro mundo tienes q cerrar el pto 443 y crear un whitelist donde listas las pag permitidas, mucho ojo con esto, no es la solucion mas acertada pero igual funciona (digo x la cantidad de sitios tipo https q hay q meterle a la lista)
primero cierras el pto 443 en tu iptables

iptables -A FORWARD -p tcp --dport 443 -j DROP

luego en tu squid

acl sitios-https url_regex "/ruta-al-listado-de-sitios.txt"
# Regla que permitira conexiones HTTPS solo a los sitios del listado creado arriba
http_access allow CONNECT sitios-https
http_access deny CONNECT all

Falcom

Imagen de sistemas7

no funciona lo que indicas :( yo tambien tengo casi el mismo problema para acceder al logmein.com

Necesito Aprender !!

Haber 1ero hay q aclarar

Imagen de falcom

Haber 1ero hay q aclarar conceptos, ya se ha hablado mucho del tema, es correcto SQUID no puede hacer proxy transparente para HTTPS, solamente para HTTP, tampoco para FTP, si tienes un proxy transparente para HTTP, debes natear las peticiones para HTTPS, con lo que puedes conseguir que tus clientes puedan tener acceso a HTTPS, pero sin pasar por SQUID.

iptables -A FORWARD -s tu-red/tu-mascara -d destino/mascara -p tcp --dport 443 -j ACCEPT

como de ley vas a tener varios varios destinos/mascaras entonces puedes eliminar el parametro -d

Exacto

Imagen de ferfran_1024

Con esa regla le permito a mi lan acceder al 443 y salir a https... PEro con eso no bloqueo el https de facebook... como cortas eso sin bloquear paginas como hhps://produbanco.com y otras como indiqué antes.?

Fernando Lara
100% Linux

no funco

Imagen de ferfran_1024

No funca, la verdad hice lo q dijiste, pero ya el iptables bloquea el trafico al 443, por ende no pasa la peticion hacia el squid... dime si algo está mal?

Fernando Lara
100% Linux

hay algunas otras soluciones

Imagen de falcom

hay algunas otras soluciones como el man-in-the-middle desde el punto de vista etico no me parece, pero bueno la nueva version de squid ya lo soporta checa aca
http://wiki.squid-cache.org/Features/SslBump

Cliente --https--> [proxy inspección en politicas ] --proxy https client--> Site SSL

ten cuidado con esto x q estas inspeccionando el trafico encriptado (lo cual no es permitido) a menos q se apliquen politicas internas de aceptacion y conocimiento de tus users!

Páginas