El CID lo tomo de aqui: shell# host facebook.com Ip_de_Face_book
shell# whois Ip_de_Face_book CID Ip_del_seg_mento/mask Saludos ! El 5 de noviembre de 2013 08:34, angel jauregui <darkdiabl...@gmail.com>escribió: > @David asi tengo la denegacion tambien, pero si el usuario cambia a > "https" la pagina ya no es bloqueada, se brinca el filtro. > > Esto mas que nada porque en IPTables la regla indica que cualquier cosa > que va al 80 se rediriga al 3128 (puerto squid), y al cambiar a HTTPS, ya > no se aplica la regla. > > Ahora no puedo quitar el puerto https y forzar solo http, ya que existen > paginas de gobierno que requieren https, y se me vendria el mundo encima :S. > > Estoy intentando con estas reglas, ustedes que opinan: > > *# dar acceso a facebook para una ip fija* > shell# iptables -A FORWARD -p tcp -s 10.1.0.10 -d IP_CIDR_DEFACEBOOK -j > ACCEPT > > *# quitar acceso facebook para cualquiera del segmento* > shell# iptables -A FORWARD -p tcp -s 10.1.0.0/24 -d IP_CIDR_DEFACEBOOK -j > REJECT > > Saludos ! > > > El 5 de noviembre de 2013 05:08, David González Romero < > dgrved...@gmail.com> escribió: > > Tu has probado esta opción en Squid? >> >> acl denys url_regex "/etc/squid/denys" >> Donde >> /etc/squid/denys contiene: >> facebook >> twitter >> ..... >> Y luego >> http_access deny restric >> >> Al menos así me funciona a mi. >> >> >> Otra opcion sería comentar la línea "acl SSL_ports port 443" para evitar >> conexiones por el 443... >> >> >> >> >> Saludos, >> David >> >> >> >> El 4 de noviembre de 2013 18:47, angel jauregui >> <darkdiabl...@gmail.com>escribió: >> >> > Buenas. >> > >> > Estoy implementando limitaciones en la red, el objetivo es quitar >> acceso a >> > Redes Sociales, en primera instancia tengo SQUID que logra tapar el >> acceso >> > a los sitios mediante http. >> > >> > El problema es que si los sitios tienes HTTPS, este es accesible.... >> > >> > En este caso http://facebook.com esta denegad por Squid. >> > Pero al poner https://facebook.com entra exitosamente. >> > >> > La unica ocurrencia que tuve es usar IPTABLES, asi que puse esta regla >> que >> > me esta haceindo cumplir el objetivo "En parte": >> > >> > iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range >> > 173.252.64.0-173.252.127.255 -j REJECT >> > >> > Donde: 173.252.64.0-173.252.127.255 ---> es el rando CIDr de facebook. >> > >> > El problema *ahora radica* en que no logro hacer que ciertas IPs Locales >> > (privilegiada - jefes) SI puedan acceder a redes sociales :S !. >> > >> > Intente ANTEponiendo esta regla: >> > >> > iptables -I FORWARD *-s ip_del_jefe *-m tcp -p tcp -m iprange >> --dst-range >> > 173.252.64.0-173.252.127.255 -j ACCEPT >> > >> > Pero aun asi, se sigue bloqueando el sitio :S.... >> > >> > *shell# iptables -L -n* >> > REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp >> > destination IP range 173.252.64.0-173.252.127.255 reject-with >> > icmp-port-unreachable >> > ACCEPT tcp -- 10.1.0.150 0.0.0.0/0 tcp >> > destination IP range 173.252.64.0-173.252.127.255 >> > >> > -- >> > M.S.I. Angel Haniel Cantu Jauregui. >> > >> > Celular: (011-52-1)-899-871-17-22 >> > E-Mail: angel.ca...@sie-group.net >> > Web: http://www.sie-group.net/ >> > Cd. Reynosa Tamaulipas. >> > _______________________________________________ >> > CentOS-es mailing list >> > CentOS-es@centos.org >> > http://lists.centos.org/mailman/listinfo/centos-es >> > >> _______________________________________________ >> CentOS-es mailing list >> CentOS-es@centos.org >> http://lists.centos.org/mailman/listinfo/centos-es >> > > > > -- > M.S.I. Angel Haniel Cantu Jauregui. > > Celular: (011-52-1)-899-871-17-22 > E-Mail: angel.ca...@sie-group.net > Web: http://www.sie-group.net/ > Cd. Reynosa Tamaulipas. > -- M.S.I. Angel Haniel Cantu Jauregui. Celular: (011-52-1)-899-871-17-22 E-Mail: angel.ca...@sie-group.net Web: http://www.sie-group.net/ Cd. Reynosa Tamaulipas. _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
