Forums:
Amigos Buenas tardes. Estoy configurando mi proxy tranasparente. He superado varios onconvenientes con su acertada ayuda, pero hoy me encuentro con otro problema: Bloquear el puerto 443 de https, pero no cerrarlo totalmente. El tema es que si lo cierro, los usuarios de mi red no podran ver las páginas https que si tienen permiso ver (Bancos, IESS etc). pero quiero cerrar el https://www.facebook.com, entre otras. He visto en varios foros, pero no encuentro una solución eficiente... Si alguien me ayuda con unas reglas de iptables pa esto, se loagaradecería.
Estimado falcon
Estimado falcon
añadi la regla iptables -A FORWARD -p tcp --dport 443 -j DROP a mi iptables y no me bloquea nada hago la prueba entrando a face, youtube y me permite entrar, tengo el mismo problema lo converti a transparente y no me bloquea lo antes mencionado, favor tu ayuda
no funco
No funca, la verdad hice lo q dijiste, pero ya el iptables bloquea el trafico al 443, por ende no pasa la peticion hacia el squid... dime si algo está mal?
Fernando Lara
100% Linux
hay algunas otras soluciones
hay algunas otras soluciones como el man-in-the-middle desde el punto de vista etico no me parece, pero bueno la nueva version de squid ya lo soporta checa aca
http://wiki.squid-cache.org/Features/SslBump
Cliente --https--> [proxy inspección en politicas ] --proxy https client--> Site SSL
ten cuidado con esto x q estas inspeccionando el trafico encriptado (lo cual no es permitido) a menos q se apliquen politicas internas de aceptacion y conocimiento de tus users!
mmm
La verdad preferiría otra solución, si hubiese
Fernando Lara
100% Linux
solucion
hola disculpa mi ignorancia y por que tan simple no crear un acl en squid para no habilitar el acceso a todas las paginas que se conecta el facebook ?????
Necesito Aprender !!
tedigo el porqué
Bueno en mis palabras... porque el Squid bloquea la url http://www.facebook.com, pero el https://www.facebook.com es una url segura, es decir que sale por el puerto 443 y no tiene necesidad de entrar al proxy, a no ser que definas tu proxy en los brouser de cada usuario de tu lan.
Fernando Lara
100% Linux
un bloqueo por DNS
Usa OpenDNS, desde allí puedes bloquear sitios por categorías ( redes sociales, pornografía, webproxies, violencia, entre otros... ), o por dominio, bloqueas facebook.com y listo.
funciona siempre que tus usuarios realicen la resolución de dominios contra los servidores de OpenDNS, si se cambian de dns dejará de funcionar, pero a nivel de firewall de borde se puede redireccionar todo tráfico saliente de puerto 53 para que lleguen a donde quieras, algo como:
iptables -t nat -a PREROUTING -p tcp --dport 53 -i $DEV_LAN -j DNAT --to 208.67.222.222:53
Saludos.
------------
Cogito Ergo Sum
Como te hemos comentado veo 3
Como te hemos comentado veo 3 posibles soluciones para tu problema:
1. Si tienes una red pequeña no hagas proxy trasnaperente con eso obligas a todos tus users a q usen ip:pto en los browsers y tendras control de todo
2. Ya lo mencione actualiza tu version de squid y activa la opcion de inspeccion de trafico en ptos seguros 443. (bajo tu responsabilidad x las implicaciones q tiene)
3. Usa la opcion de monkito opendns, particularmente la use algun tiempo pero tuve algunos problemas asi q la descarte
4. Implementa en tu kernel layer7 con eso bloqueas de golpe todo el p2p, skype, mesenger, u95 y demas malavares
4. Implementa en tu kernel layer7
4. Implementa en tu kernel layer7
Cómo hago eso... no tengo la menor idea.
Fernando Lara
100% Linux
solo
solo busca
http://www.ecualug.org/2009/07/12/blog/razametal/debian_kernel_26301_l7filter_ipp2p
http://www.howtoforge.com/how-to-set-up-a-linux-layer-7-packet-classifier-on-centos5.1
http://l7-filter.sourceforge.net/analyzingexternally
Páginas