bloquear https de facebook en ip tables SOLUCIONADO!!!!

Forums: 

Amigos Buenas tardes. Estoy configurando mi proxy tranasparente. He superado varios onconvenientes con su acertada ayuda, pero hoy me encuentro con otro problema: Bloquear el puerto 443 de https, pero no cerrarlo totalmente. El tema es que si lo cierro, los usuarios de mi red no podran ver las páginas https que si tienen permiso ver (Bancos, IESS etc). pero quiero cerrar el https://www.facebook.com, entre otras. He visto en varios foros, pero no encuentro una solución eficiente... Si alguien me ayuda con unas reglas de iptables pa esto, se loagaradecería.

Estimado falcon

Estimado falcon
añadi la regla iptables -A FORWARD -p tcp --dport 443 -j DROP a mi iptables y no me bloquea nada hago la prueba entrando a face, youtube y me permite entrar, tengo el mismo problema lo converti a transparente y no me bloquea lo antes mencionado, favor tu ayuda

no funco

Imagen de ferfran_1024

No funca, la verdad hice lo q dijiste, pero ya el iptables bloquea el trafico al 443, por ende no pasa la peticion hacia el squid... dime si algo está mal?

Fernando Lara
100% Linux

hay algunas otras soluciones

Imagen de falcom

hay algunas otras soluciones como el man-in-the-middle desde el punto de vista etico no me parece, pero bueno la nueva version de squid ya lo soporta checa aca
http://wiki.squid-cache.org/Features/SslBump

Cliente --https--> [proxy inspección en politicas ] --proxy https client--> Site SSL

ten cuidado con esto x q estas inspeccionando el trafico encriptado (lo cual no es permitido) a menos q se apliquen politicas internas de aceptacion y conocimiento de tus users!

solucion

Imagen de sistemas7

hola disculpa mi ignorancia y por que tan simple no crear un acl en squid para no habilitar el acceso a todas las paginas que se conecta el facebook ?????

Necesito Aprender !!

tedigo el porqué

Imagen de ferfran_1024

Bueno en mis palabras... porque el Squid bloquea la url http://www.facebook.com, pero el https://www.facebook.com es una url segura, es decir que sale por el puerto 443 y no tiene necesidad de entrar al proxy, a no ser que definas tu proxy en los brouser de cada usuario de tu lan.

Fernando Lara
100% Linux

un bloqueo por DNS

Imagen de Monkito

Usa OpenDNS, desde allí puedes bloquear sitios por categorías ( redes sociales, pornografía, webproxies, violencia, entre otros... ), o por dominio, bloqueas facebook.com y listo.

funciona siempre que tus usuarios realicen la resolución de dominios contra los servidores de OpenDNS, si se cambian de dns dejará de funcionar, pero a nivel de firewall de borde se puede redireccionar todo tráfico saliente de puerto 53 para que lleguen a donde quieras, algo como:

iptables -t nat -a PREROUTING -p tcp --dport 53 -i $DEV_LAN -j DNAT --to 208.67.222.222:53

Saludos.

------------
counter.li.org

Cogito Ergo Sum

Como te hemos comentado veo 3

Imagen de falcom

Como te hemos comentado veo 3 posibles soluciones para tu problema:
1. Si tienes una red pequeña no hagas proxy trasnaperente con eso obligas a todos tus users a q usen ip:pto en los browsers y tendras control de todo
2. Ya lo mencione actualiza tu version de squid y activa la opcion de inspeccion de trafico en ptos seguros 443. (bajo tu responsabilidad x las implicaciones q tiene)
3. Usa la opcion de monkito opendns, particularmente la use algun tiempo pero tuve algunos problemas asi q la descarte
4. Implementa en tu kernel layer7 con eso bloqueas de golpe todo el p2p, skype, mesenger, u95 y demas malavares

Páginas