Si lo vi pero estaba probando el link que pasaron te paso como bloqueo facebook yo y me funciona super bien estan todas las ips que hasta ahora usa facebook, pruebale y avisame, de hecho funciona al 100%, al final esta linea done < /etc/squid/reglas/permitidos.txt lee las ips que pueden navegar al facebook, aqui agregas la sips que vas a dar acceso y eso es todo.
##bloqueo facebook $IPTABLES -I FORWARD -s 66.220.144.0/24 -j DROP $IPTABLES -I FORWARD -s 69.63.176.0/24 -j DROP $IPTABLES -I FORWARD -s 184.50.162.0/24 -j DROP $IPTABLES -I FORWARD -s 204.15.20.0/24 -j DROP $IPTABLES -I FORWARD -s 66.220.144.0/24 -j DROP $IPTABLES -I FORWARD -s 69.63.176.0/24 -j DROP $IPTABLES -I FORWARD -s 69.171.242.0/24 -j DROP $IPTABLES -I FORWARD -s 65.54.20.0/24 -j DROP $IPTABLES -I FORWARD -s 69.63.189.0/24 -j DROP $IPTABLES -I FORWARD -s 66.220.156.0/24 -j DROP $IPTABLES -I FORWARD -s 66.220.149.0/24 -j DROP $IPTABLES -I FORWARD -s 64.13.161.0/24 -j DROP $IPTABLES -I FORWARD -s 173.252.110.0/24 -j DROP $IPTABLES -I FORWARD -s 173.252.73.0/24 -j DROP $IPTABLES -I FORWARD -s 69.171.239.0/24 -j DROP $IPTABLES -I FORWARD -s 69.171.255.0/24 -j DROP $IPTABLES -I FORWARD -s 31.13.73.0/24 -j DROP $IPTABLES -I FORWARD -s 31.13.70.0/24 -j DROP $IPTABLES -I FORWARD -s 173.252.112.0/24 -j DROP while read IP do ##desbloqueo facebook $IPTABLES -I FORWARD -s $IP -d 66.220.144.0/24 -j ACCEPT $IPTABLES -I FORWARD -s $IP -d 69.63.176.0/24 -j ACCEPT $IPTABLES -I FORWARD -s $IP -d 184.50.162.0/24 -j ACCEPT $IPTABLES -I FORWARD -s $IP -d 204.15.20.0/24 -j ACCEPT $IPTABLES -I FORWARD -s $IP -d 66.220.144.0/24 -j ACCEPT $IPTABLES -I FORWARD -s $IP -d 69.63.176.0/24 -j ACCEPT $IPTABLES -I FORWARD -s $IP -d 69.171.242.0/24 -j ACCEPT $IPTABLES -I FORWARD -s $IP -d 65.54.20.0/24 -j ACCEPT $IPTABLES -I FORWARD -s $IP -d 69.63.189.0/24 -j ACCEPT $IPTABLES -I FORWARD -s $IP -d 66.220.156.0/24 -j ACCEPT $IPTABLES -I FORWARD -s $IP -d 66.220.149.0/24 -j ACCEPT $IPTABLES -I FORWARD -s $IP -d 64.13.161.0/24 -j ACCEPT $IPTABLES -I FORWARD -s $IP -d 173.252.110.0/24 -j ACCEPT $IPTABLES -I FORWARD -s $IP -d 173.252.73.0/24 -j ACCEPT $IPTABLES -I FORWARD -s $IP -d 69.171.239.0/24 -j ACCEPT $IPTABLES -I FORWARD -s $IP -d 69.171.255.0/24 -j ACCEPT $IPTABLES -I FORWARD -s $IP -d 31.13.73.0/24 -j ACCEPT $IPTABLES -I FORWARD -s $IP -d 31.13.70.0/24 -j ACCEPT $IPTABLES -I FORWARD -s $IP -d 173.252.112.0/24 -j ACCEPT $IPTABLES -I FORWARD -d $IP -s 66.220.144.0/24 -j ACCEPT $IPTABLES -I FORWARD -d $IP -s 69.63.176.0/24 -j ACCEPT $IPTABLES -I FORWARD -d $IP -s 184.50.162.0/24 -j ACCEPT $IPTABLES -I FORWARD -d $IP -s 204.15.20.0/24 -j ACCEPT $IPTABLES -I FORWARD -d $IP -s 66.220.144.0/24 -j ACCEPT $IPTABLES -I FORWARD -d $IP -s 69.63.176.0/24 -j ACCEPT $IPTABLES -I FORWARD -d $IP -s 69.171.242.0/24 -j ACCEPT $IPTABLES -I FORWARD -d $IP -s 65.54.20.0/24 -j ACCEPT $IPTABLES -I FORWARD -d $IP -s 69.63.189.0/24 -j ACCEPT $IPTABLES -I FORWARD -d $IP -s 66.220.156.0/24 -j ACCEPT $IPTABLES -I FORWARD -d $IP -s 66.220.149.0/24 -j ACCEPT $IPTABLES -I FORWARD -d $IP -s 64.13.161.0/24 -j ACCEPT $IPTABLES -I FORWARD -d $IP -s 173.252.110.0/24 -j ACCEPT $IPTABLES -I FORWARD -d $IP -s 173.252.73.0/24 -j ACCEPT $IPTABLES -I FORWARD -d $IP -s 69.171.239.0/24 -j ACCEPT $IPTABLES -I FORWARD -d $IP -s 69.171.255.0/24 -j ACCEPT $IPTABLES -I FORWARD -d $IP -s 31.13.73.0/24 -j ACCEPT $IPTABLES -I FORWARD -d $IP -s 31.13.70.0/24 -j ACCEPT $IPTABLES -I FORWARD -d $IP -s 173.252.112.0/24 -j ACCEPT done < /etc/squid/reglas/permitidos.txt Cordialmente César Martínez Mora Ingeniero de Sistemas SERVICOM User Linux 494131 Números Convencionales 02-2554-271 02-2221-386 Extensión 4501 Móvil 09-99374-317 Usa (315) 519-7220 Email & Msn cmarti...@servicomecuador.com Skype servicomecuador Web www.servicomecuador.com Síguenos en Twitter: http://twitter.com/servicomecuador Facebook: http://www.facebook.com/servicomec Zona Clientes: www.servicomecuador.com/billing Blog: http://servicomecuador.com/blog Dir. Av. 10 de Agosto N29-140 Entre Acuña y Cuero y Caicedo Edificio Vivanco Castillo 2do. Piso Oficina 201 Quito - Ecuador - Sudamérica ================================================= Cláusula de Confidencialidad La información contenida en este e-mail es confidencial y solo puede ser utilizada por la persona a la cual esta dirigida.Si Usted no es el receptor autorizado, cualquier retención, difusión, distribución o copia de este mensaje es prohibida y sancionada por la ley. Si por error recibe este mensaje, por favor reenviarlo al remitente y borre el mensaje recibido inmediatamente. ================================================= On 06/11/13 17:26, angel jauregui wrote: > @Cesar yo ahorita estoy bloqueando con exito facebook en HTTPS, pero > bloqueo el rango de IPs no solo del CIDR de facebook, sino tambien las IPs > de los DNSs de facebook y la IP de facebook. > > shell# host facebook.com > ip_de_face_book <-- esta ip la bloqueo > > shell# whois ip_de_face_book > CIDR ip_de_rango_inicial/X <-- este rango lo bloqueo > > shell# whois facebook.com > Name Servers: > ns1_de_face_book > ns2_de_face_book > > Al ns2 y ns2 les saco el IP, consulto el CIDR y tambien lo bloqueo. > > Saludos ! > > > El 6 de noviembre de 2013 16:16, César Martinez < > cmarti...@servicomecuador.com> escribió: > >> Hola acabo de probar con punto y coma las instrucciones que hay en este >> link que alguien mencionó >> >> http://servercomputing.blogspot.com/2012/01/block-facebook-in-squid-proxy-server.html >> y facebook funciona igual con https tengo mi centos 6.4 actualizado no >> se si falta algo pero no funciona, lo mejor es cerrar via iptables. >> >> >> Cordialmente >> >> César Martínez Mora >> Ingeniero de Sistemas >> SERVICOM >> User Linux 494131 >> >> Números Convencionales 02-2554-271 02-2221-386 >> Extensión 4501 >> Móvil 09-99374-317 >> Usa (315) 519-7220 >> Email & Msn cmarti...@servicomecuador.com >> Skype servicomecuador >> Web www.servicomecuador.com >> Síguenos en >> Twitter: http://twitter.com/servicomecuador >> Facebook: http://www.facebook.com/servicomec >> Zona Clientes: www.servicomecuador.com/billing >> Blog: http://servicomecuador.com/blog >> >> Dir. Av. 10 de Agosto N29-140 Entre >> Acuña y Cuero y Caicedo Edificio Vivanco Castillo >> 2do. Piso Oficina 201 >> Quito - Ecuador - Sudamérica >> >> ================================================= >> >> Cláusula de Confidencialidad >> La información contenida en este e-mail es confidencial y solo puede ser >> utilizada por la persona a la >> cual esta dirigida.Si Usted no es el receptor autorizado, cualquier >> retención, difusión, distribución o copia >> de este mensaje es prohibida y sancionada por la ley. Si por error recibe >> este mensaje, por favor reenviarlo >> al remitente y borre el mensaje recibido inmediatamente. >> ================================================= >> >> On 06/11/13 13:50, David González Romero wrote: >>> Esta es una opción 100% Squid, probada por mi y funciona super bien >>> >>> >> http://servercomputing.blogspot.com/2012/01/block-facebook-in-squid-proxy-server.html >>> Saludos, >>> David >>> >>> >>> El 5 de noviembre de 2013 12:42, Ignacio Ordeñana <ifor1...@gmail.com >>> escribió: >>> >>>> te envio un link de una perosna que tuvo ese mismo problema >>>> >>>> >>>> >> http://www.ecualug.org/?q=2011/02/10/forums/bloquear_https_de_facebook_en_ip_tables&page=3 >>>> saludos >>>> >>>> >>>> El 5 de noviembre de 2013 09:32, angel jauregui >>>> <darkdiabl...@gmail.com>escribió: >>>> >>>>> Se cumple la excepcion, y funcionaria no ? >>>>> >>>>> >>>>> El 5 de noviembre de 2013 09:25, Ignacio Ordeñana <ifor1...@gmail.com >>>>>> escribió: >>>>>> a mi parecer esa regla de iptables no te funcionara ya que primero la >>>>> estas >>>>>> permitiendo el acceso a una ip en particular luego le quitas acceso a >>>>> todo >>>>>> el segmento de red incluyendo la ip que le permites acceso. >>>>>> >>>>>> saludos >>>>>> >>>>>> >>>>>> El 5 de noviembre de 2013 08:34, angel jauregui >>>>>> <darkdiabl...@gmail.com>escribió: >>>>>> >>>>>>> @David asi tengo la denegacion tambien, pero si el usuario cambia a >>>>>> "https" >>>>>>> la pagina ya no es bloqueada, se brinca el filtro. >>>>>>> >>>>>>> Esto mas que nada porque en IPTables la regla indica que cualquier >>>> cosa >>>>>> que >>>>>>> va al 80 se rediriga al 3128 (puerto squid), y al cambiar a HTTPS, ya >>>>> no >>>>>> se >>>>>>> aplica la regla. >>>>>>> >>>>>>> Ahora no puedo quitar el puerto https y forzar solo http, ya que >>>>> existen >>>>>>> paginas de gobierno que requieren https, y se me vendria el mundo >>>>> encima >>>>>>> :S. >>>>>>> >>>>>>> Estoy intentando con estas reglas, ustedes que opinan: >>>>>>> >>>>>>> *# dar acceso a facebook para una ip fija* >>>>>>> shell# iptables -A FORWARD -p tcp -s 10.1.0.10 -d IP_CIDR_DEFACEBOOK >>>>> -j >>>>>>> ACCEPT >>>>>>> >>>>>>> *# quitar acceso facebook para cualquiera del segmento* >>>>>>> shell# iptables -A FORWARD -p tcp -s 10.1.0.0/24 -d >>>> IP_CIDR_DEFACEBOOK >>>>>> -j >>>>>>> REJECT >>>>>>> >>>>>>> Saludos ! >>>>>>> >>>>>>> >>>>>>> El 5 de noviembre de 2013 05:08, David González Romero >>>>>>> <dgrved...@gmail.com>escribió: >>>>>>> >>>>>>>> Tu has probado esta opción en Squid? >>>>>>>> >>>>>>>> acl denys url_regex "/etc/squid/denys" >>>>>>>> Donde >>>>>>>> /etc/squid/denys contiene: >>>>>>>> facebook >>>>>>>> twitter >>>>>>>> ..... >>>>>>>> Y luego >>>>>>>> http_access deny restric >>>>>>>> >>>>>>>> Al menos así me funciona a mi. >>>>>>>> >>>>>>>> >>>>>>>> Otra opcion sería comentar la línea "acl SSL_ports port 443" para >>>>>> evitar >>>>>>>> conexiones por el 443... >>>>>>>> >>>>>>>> >>>>>>>> >>>>>>>> >>>>>>>> Saludos, >>>>>>>> David >>>>>>>> >>>>>>>> >>>>>>>> >>>>>>>> El 4 de noviembre de 2013 18:47, angel jauregui >>>>>>>> <darkdiabl...@gmail.com>escribió: >>>>>>>> >>>>>>>>> Buenas. >>>>>>>>> >>>>>>>>> Estoy implementando limitaciones en la red, el objetivo es quitar >>>>>>> acceso >>>>>>>> a >>>>>>>>> Redes Sociales, en primera instancia tengo SQUID que logra tapar >>>> el >>>>>>>> acceso >>>>>>>>> a los sitios mediante http. >>>>>>>>> >>>>>>>>> El problema es que si los sitios tienes HTTPS, este es >>>>> accesible.... >>>>>>>>> En este caso http://facebook.com esta denegad por Squid. >>>>>>>>> Pero al poner https://facebook.com entra exitosamente. >>>>>>>>> >>>>>>>>> La unica ocurrencia que tuve es usar IPTABLES, asi que puse esta >>>>>> regla >>>>>>>> que >>>>>>>>> me esta haceindo cumplir el objetivo "En parte": >>>>>>>>> >>>>>>>>> iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range >>>>>>>>> 173.252.64.0-173.252.127.255 -j REJECT >>>>>>>>> >>>>>>>>> Donde: 173.252.64.0-173.252.127.255 ---> es el rando CIDr de >>>>>> facebook. >>>>>>>>> El problema *ahora radica* en que no logro hacer que ciertas IPs >>>>>>> Locales >>>>>>>>> (privilegiada - jefes) SI puedan acceder a redes sociales :S !. >>>>>>>>> >>>>>>>>> Intente ANTEponiendo esta regla: >>>>>>>>> >>>>>>>>> iptables -I FORWARD *-s ip_del_jefe *-m tcp -p tcp -m iprange >>>>>>> --dst-range >>>>>>>>> 173.252.64.0-173.252.127.255 -j ACCEPT >>>>>>>>> >>>>>>>>> Pero aun asi, se sigue bloqueando el sitio :S.... >>>>>>>>> >>>>>>>>> *shell# iptables -L -n* >>>>>>>>> REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp >>>>>>>>> destination IP range 173.252.64.0-173.252.127.255 reject-with >>>>>>>>> icmp-port-unreachable >>>>>>>>> ACCEPT tcp -- 10.1.0.150 0.0.0.0/0 tcp >>>>>>>>> destination IP range 173.252.64.0-173.252.127.255 >>>>>>>>> >>>>>>>>> -- >>>>>>>>> M.S.I. Angel Haniel Cantu Jauregui. >>>>>>>>> >>>>>>>>> Celular: (011-52-1)-899-871-17-22 >>>>>>>>> E-Mail: angel.ca...@sie-group.net >>>>>>>>> Web: http://www.sie-group.net/ >>>>>>>>> Cd. Reynosa Tamaulipas. >>>>>>>>> _______________________________________________ >>>>>>>>> CentOS-es mailing list >>>>>>>>> CentOS-es@centos.org >>>>>>>>> http://lists.centos.org/mailman/listinfo/centos-es >>>>>>>>> >>>>>>>> _______________________________________________ >>>>>>>> CentOS-es mailing list >>>>>>>> CentOS-es@centos.org >>>>>>>> http://lists.centos.org/mailman/listinfo/centos-es >>>>>>>> >>>>>>> >>>>>>> -- >>>>>>> M.S.I. Angel Haniel Cantu Jauregui. >>>>>>> >>>>>>> Celular: (011-52-1)-899-871-17-22 >>>>>>> E-Mail: angel.ca...@sie-group.net >>>>>>> Web: http://www.sie-group.net/ >>>>>>> Cd. Reynosa Tamaulipas. >>>>>>> _______________________________________________ >>>>>>> CentOS-es mailing list >>>>>>> CentOS-es@centos.org >>>>>>> http://lists.centos.org/mailman/listinfo/centos-es >>>>>>> >>>>>> _______________________________________________ >>>>>> CentOS-es mailing list >>>>>> CentOS-es@centos.org >>>>>> http://lists.centos.org/mailman/listinfo/centos-es >>>>>> >>>>> >>>>> -- >>>>> M.S.I. Angel Haniel Cantu Jauregui. >>>>> >>>>> Celular: (011-52-1)-899-871-17-22 >>>>> E-Mail: angel.ca...@sie-group.net >>>>> Web: http://www.sie-group.net/ >>>>> Cd. Reynosa Tamaulipas. >>>>> _______________________________________________ >>>>> CentOS-es mailing list >>>>> CentOS-es@centos.org >>>>> http://lists.centos.org/mailman/listinfo/centos-es >>>>> >>>> _______________________________________________ >>>> CentOS-es mailing list >>>> CentOS-es@centos.org >>>> http://lists.centos.org/mailman/listinfo/centos-es >>>> >>> _______________________________________________ >>> CentOS-es mailing list >>> CentOS-es@centos.org >>> http://lists.centos.org/mailman/listinfo/centos-es >>> >> _______________________________________________ >> CentOS-es mailing list >> CentOS-es@centos.org >> http://lists.centos.org/mailman/listinfo/centos-es >> > > _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es