bloquear https de facebook en ip tables SOLUCIONADO!!!!

Forums: 

Amigos Buenas tardes. Estoy configurando mi proxy tranasparente. He superado varios onconvenientes con su acertada ayuda, pero hoy me encuentro con otro problema: Bloquear el puerto 443 de https, pero no cerrarlo totalmente. El tema es que si lo cierro, los usuarios de mi red no podran ver las páginas https que si tienen permiso ver (Bancos, IESS etc). pero quiero cerrar el https://www.facebook.com, entre otras. He visto en varios foros, pero no encuentro una solución eficiente... Si alguien me ayuda con unas reglas de iptables pa esto, se loagaradecería.

Iptables y Strings

Imagen de BitFrost

Iptables tiene una opcion, se llaman Strings

iptables -I FORWARD -s 10.10.10.0/24 -p tcp -m string --string "facebook.com" --algo kmp -j DROP
iptables -I FORWARD -d 10.10.10.0/24 -p tcp -m string --string "facebook.com" --algo kmp -j DROP

DOnde 10.10.10.0/24 tu red interna....

En fin, pero puede haber "habiles" que como estas haciendo NAT se salten con algun programa por ejemplo, Tor.

Para lo cual: "Es más facil remover al usuario de la terminal" }:)

Si no puedes tomar esta unica solucion definitiva, debe haber no me he puesto a buscar, algun tipo de software, que te haga accounting de el tiempo que "desperdician" en este tipo de paginas, luego, se envia un reporte mensual de las "actividades", asi cuando reciban la amonestacion o multa, dejaran de entar en esos sitios, caso contrario: Solución Definitiva, y creeme en Ecuador hay mucha gente capaz que le gustaria estar en ese puesto de trabajo haciendo las cosas bien.

Pero en fin, como BOFH lo que he hecho es utilizar como dijo un colega, OpenDNS + Squid + Iptables Strings.

El tema de Layer7 te a a dar "arcadas" instalarlo, puedes utilizar ClearOS.

Saludos

Bitfrost

"Education is what remains after one has forgotten everything he learned in school." - Albert Einstein
[img]http://counter.li.org/cgi-bin/certificate.cgi/345468[/img]

te olvidas del famoso u95 o

Imagen de falcom

te olvidas del famoso u95 o ultrasurf ese se conecta a travez del pto 443 y voala sale sin permisos ni restricciones! como le decia en otros post, una forma efectiva es instalando layer7, (se q es dificil y tedioso pero los resultados son my buenos)

bloquear https facebook

Imagen de linuxforce

No te compliques la vida, no uses el proxy transparente, con eso controlas los accesos a esas paginas.. no se cuantas pc's tengas en tu red... pero es lo mas facil, si tienes una red hibrida MS y linux puedes enviar el proxy por active directory si estas en dominio

Solucionado...

Imagen de ferfran_1024

Señores, disculpen la demora pero lo he conseguido, con un pequeño Scrip de Ip TABLES. funciona perfectamente. E incluso puedo darle acceso al httpS a ciertas IPs.

Fernando Lara
100% Linux

SOLUCIONADO

Imagen de ferfran_1024

Señores, Después de tantas pruebas y todo, lo conseguí desde IPTables. Sigo usando Proxy Transparente.

Gracias por su ayuda,

Fernando Lara
100% Linux

deathUser Me parece...

Imagen de ferfran_1024

Para quienes estén interesados, les dejo aqui un ejemplo de COMO lo hice:
Para Matar la conexión al FACE por medio de IPTABLES

Revisamos el rango de IPs con las que se conecta nuestra RED al Facebook.com
con el comando:
host -ta www.facebook.com
En este caso arroja la IP 31.13.65.23

Esto nos arroja la IP a la que nos conectamos, pero no el rango al que pertenece.
Para sacar el rango ponemos:
whois 31.13.65.23

nos entrega el rando completo de IPS en este caso
31.13.64.0 Hasta 31.13.127.255

Ese rango lo aplicamos a la regla

FACEBOOK_ALLOW="192.168.1.12 192.168.1.14 192.168.1.111" # Ips a las q les doy FACEBOOK con https
iptables -N FACEBOOK

iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range 31.13.64.0-31.13.127.255 --dport 443 -j FACEBOOK

#EMPIEZO la validacion FACEBOOK ALLOW

for face in $FACEBOOK_ALLOW; do
iptables -A FACEBOOK -s $face -j ACCEPT
done
iptables -A FACEBOOK -j REJECT

Hasta ahora me ha funcado correctamente... Espero sus comentarios o dudas.

Fernando Lara
100% Linux

Páginas