CentOS-6 ¿Cómo bloquear FaceBook con iptables?

Imagen de Epe

Probado en CentOS-5 y CentOS-6 con tal de que la distro tenga un módulo de iptables llamado "string" esto funcionará

me lo pidió un amigo hoy y realmente no lo tenía previsto.

La idea es que sí, en el squid puedes bloquear de una u otra forma el sitio facebook.com (url_regex, dansguardian, etc), sin embargo los usuarios han descubrierto que si ponen https, no les bloquea el facebook.

Por qué ocurre esto? porque el proxy transparente que es lo que normalmente usas para que los usuarios sean forzados a pasar por el squid, solamente atiende el puerto 80, y no otros puertos, por ejemplo el 443.. y pum, se te escapan descaradamente.

Hoy buscando en google, y rebuscando, al final encontré el tema, cómo le solucioné?


iptables -I FORWARD -p tcp --dport 443 -m string --string 'facebook' --algo bm -j DROP

y listo, intenta ahora navegar a facebook usando https:// para que veas. El http lo manejo desde el squid.

Si tuvieras un usuario (192.168.1.123) que TENGA que usar facebook, pones debajo:

iptables -I FORWARD -s 192.168.1.123 -p tcp --dport 443 -m string --string 'facebook' --algo bm -j ACCEPT

Si quieres le controlas también el puerto 80... pero no sé, prefiero el squid para eso, quizá son viejuconadas o quizá me da pereza poner dos puertos en una línea de iptables

Comentarios

iptables -I FORWARD -s

Imagen de falcom


iptables -I FORWARD -s 192.168.1.123 -p tcp --dport 443 -m string --string 'facebook' --algo bm -j ACCEPT

creo q seria ACCEPT x DROP para q el user 192.168.1.123 tenga acceso a facebook
muchas gracias por el aporte

bm: Boyer-Moore kmp:

Imagen de Epe

bm: Boyer-Moore
kmp: Knuth-Pratt-Morris

Son algoritmos de búsqueda, por eso me siento contento de haber estudiado informática y no tele. Aunque a veces me arrepiento.

http://es.wikipedia.org/wiki/Algoritmo_de_b%C3%BAsqueda_de_cadenas_Boyer-Moore

http://es.wikipedia.org/wiki/Algoritmo_Knuth-Morris-Pratt

http://answers.yahoo.com/question/index?qid=20090402061804AA21H96

Saludos
epe

EcuaLinux.com

+(593) 9 9924 6504

Servicios en Software Libre

Muchas gracias por la

Imagen de Ariadna

Muchas gracias por la respuesta! Me gusta entender todo para poder aplicarlo en mi configuración.

Estas reglas me vienen muy bien para algunos sapos que saltan y navegan en facebook en horas laborales.

es que se deben haber

Imagen de Epe

es que se deben haber estudiado diversos algoritmos de búsqueda, en la asignatura de estructura de datos, donde se estudian los árboles, matrices y temas así.

Yo creo que antes enseñaban algoritmos, ahora enseñan SQL server.

Saludos
epe

EcuaLinux.com

+(593) 9 9924 6504

Servicios en Software Libre

jajajajajajaja,

Imagen de deathUser

jajajajajajaja, definitivamente, claro, antes el profesor sabía de algoritmos, de estructuras de datos, quien me dio esa materia tenía una maestría en brasil sobre el tema y había desarrollado clases en c++ para implementar todas las estructuras de datos que nos enseñaba en clases, conversar con él en clase era muy gratificante ...

Pero lastimosamente las universidades han ido perdiendo los buenos profesionales y han ido ganando convenios con los "grandes" del software y lo que hacen es formar a más ovejas para sus rebaños de SQLServer, güin2 y demás huevadas ...

bye
;)

Y por eso es que se desvaloriza

Imagen de iknaxio

Al no enseñar a los futuros ingenieros como funcionan las cosas, lo único que se logra es graduar implementadores de la herramienta de turno. Y por eso es que se desvaloriza el título de Ingeniero de Sistemas.

Espero que las cosas sean diferentes en Quito, pero he visto en una facultad de Guayaquil, algunos casos de estudiantes que no fueron brillantes en X materia y que al graduarse solo por relaciones políticas han terminado desempeñando dicha cátedra.

"Transporta un puñado de tierra todos los días y construirás una montaña" - Confucio
floss.iknaxio.net

Páginas