Re: [CentOS-es] filtración sitios squid https
Yo la hago más corta: Doy una instrucción de lo que no se debe hacer. Al pesque, lo despedimos!. Usualmente, en mi experiencia, se "ejecuta" al primero y se alinean todos. Elijo a quien "pesco". A veces no todo es técnica, se vuelve muy complicado eso de uno a taparle y los demás a saltar la puerta. Si no hay consecuencia, tiene la motivación de buscar, de preguntar, de probar como darle la vuelta a las restricciones. Claro, se requiere apoyo de la administración. r.lara -Mensaje original- De: CentOS-es [mailto:centos-es-boun...@centos.org] En nombre de Ricardo J. Barberis Enviado el: miércoles, 21 de junio de 2017 10:51 a.m. Para: centos-es@centos.org Asunto: Re: [CentOS-es] filtración sitios squid https El Miércoles 21/06/2017 a las 11:27, Cc3a9sar Martinez escribió: > Hola Roberto gracias por responder, si justamente esa linea que tu > mencionas es la que yo uso para filtrar https y me funciona bien en > todos los navegadores, uso siempre proxy transparente por eso se vuelve > cada vez más difícil el filtrar sitios https por iptables, alguna vez > escuche que en freebsd había una versión de squid que permitía filtrar > https, por eso pensé que en squid había ya, busque por la red pero no > veo nada al respecto. Que yo sepa, proxy transparente para https no hay, al menos nunca encontramos nada y tiene sentido que no se pueda ya que si se pudiera la encriptacion no seria muy confiable :) Nosotros la hacemos corta: bloqueamos la salida https y en cada navegador configuramos el proxy solo para https, http sigue transparente. Parece algo engorroso, y si no tienes control sobre las PCs puede llegar a serlo, pero es lo mejor que encontramos y nos permite seguir manejando los permitidos y bloqueados desde el squid para ambos casos. Saludos, -- Ricardo J. Barberis Usuario Linux Nº 250625: http://counter.li.org/ Usuario LFS Nº 5121: http://www.linuxfromscratch.org/ Senior SysAdmin / IT Architect - www.DonWeb.com ___ CentOS-es mailing list CentOS-es@centos.org https://lists.centos.org/mailman/listinfo/centos-es ___ CentOS-es mailing list CentOS-es@centos.org https://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] filtración sitios squid https
+1 Ricardo El 21 jun. 2017 10:51 a. m., "Ricardo J. Barberis"escribió: > El Miércoles 21/06/2017 a las 11:27, Cc3a9sar Martinez escribió: > > Hola Roberto gracias por responder, si justamente esa linea que tu > > mencionas es la que yo uso para filtrar https y me funciona bien en > > todos los navegadores, uso siempre proxy transparente por eso se vuelve > > cada vez más difícil el filtrar sitios https por iptables, alguna vez > > escuche que en freebsd había una versión de squid que permitía filtrar > > https, por eso pensé que en squid había ya, busque por la red pero no > > veo nada al respecto. > > Que yo sepa, proxy transparente para https no hay, al menos nunca > encontramos > nada y tiene sentido que no se pueda ya que si se pudiera la encriptacion > no > seria muy confiable :) > > Nosotros la hacemos corta: bloqueamos la salida https y en cada navegador > configuramos el proxy solo para https, http sigue transparente. > > Parece algo engorroso, y si no tienes control sobre las PCs puede llegar a > serlo, pero es lo mejor que encontramos y nos permite seguir manejando los > permitidos y bloqueados desde el squid para ambos casos. > > Saludos, > -- > Ricardo J. Barberis > Usuario Linux Nº 250625: http://counter.li.org/ > Usuario LFS Nº 5121: http://www.linuxfromscratch.org/ > Senior SysAdmin / IT Architect - www.DonWeb.com > ___ > CentOS-es mailing list > CentOS-es@centos.org > https://lists.centos.org/mailman/listinfo/centos-es > ___ CentOS-es mailing list CentOS-es@centos.org https://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] filtración sitios squid https
El Miércoles 21/06/2017 a las 11:27, Cc3a9sar Martinez escribió: > Hola Roberto gracias por responder, si justamente esa linea que tu > mencionas es la que yo uso para filtrar https y me funciona bien en > todos los navegadores, uso siempre proxy transparente por eso se vuelve > cada vez más difícil el filtrar sitios https por iptables, alguna vez > escuche que en freebsd había una versión de squid que permitía filtrar > https, por eso pensé que en squid había ya, busque por la red pero no > veo nada al respecto. Que yo sepa, proxy transparente para https no hay, al menos nunca encontramos nada y tiene sentido que no se pueda ya que si se pudiera la encriptacion no seria muy confiable :) Nosotros la hacemos corta: bloqueamos la salida https y en cada navegador configuramos el proxy solo para https, http sigue transparente. Parece algo engorroso, y si no tienes control sobre las PCs puede llegar a serlo, pero es lo mejor que encontramos y nos permite seguir manejando los permitidos y bloqueados desde el squid para ambos casos. Saludos, -- Ricardo J. Barberis Usuario Linux Nº 250625: http://counter.li.org/ Usuario LFS Nº 5121: http://www.linuxfromscratch.org/ Senior SysAdmin / IT Architect - www.DonWeb.com ___ CentOS-es mailing list CentOS-es@centos.org https://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] Aveces se pierde conexión a internet
Hola Periko perdón por no responder antes, te agradezco mcuho por tu interés en ayudarme, te comento que la versión de squid es "squid-3.1.23-24.el6.i686" no comprendo como haría a un lado el squid para ver como fluye, pues si le doy un service squid stop, obviamente no habrá navegación, en cuanto a los servicios activos, no son muy grandes, sino mas bien los típicos en un prosy simple, el squid, iptables, DHCP, no aloja páginas web, ni tampoco es DNS, menos aun el correo, solo es un servidor de frontera nada más, no se que otro dato pueda darte para aclarar el panorama, gracias nuevamente El 15 de junio de 2017, 20:15, Periko Supportescribió: > Pues parece que tu equipo soporta la carga, ahora no respondistes > todas las preguntas. > Has intentado hacer a un lado a squid y ver como fluye ? > La config de squid? > > 2017-06-15 17:08 GMT-07:00 Roberto Bermúdez : > > Gracias por responder, los los no dan nada raro o fuera de lo común, en > > cuanto a la carga no es que se sature hablaremos de un 40% de uso en > > procesador y la memoria tiene 1Gb libre, las características son un clon > > Intel core i5 2.7GHz con 4 Gb de RAM en total y 2 más en SWAP las nics > son > > 100 Mb ethernet, y sí, todos los clientes pasan por el Proxy, espero les > > sea de mayor guía esto que acabo de indicar > > > > El jun. 15, 2017 18:52, "Periko Support" > > escribió: > > > >> Todos tus equipos ya sea por ip-fija o dinamica cruzan por el proxy? > >> Cual es el lease que tienen tu dhcp? > >> Los logs del servidor ya los revisastes, algo que llame la atencion? > >> Como esta la carga del servidor en ese lapso de tiempo? > >> > >> Que caracteristicas tiene tu servidor? > >> Que servicios ejecuta? > >> Que configuracion tiene squid y que version es? > >> > >> Saludos. > >> > >> 2017-06-08 8:51 GMT-07:00 Roberto Bermúdez : > >> > Buenos días estimados listeros, esperando que todos se encuentren de > lo > >> > mejor quiero dirigirme a ustedes por un problema que he tenido en un > caso > >> > en particular, desde hace unas pocas semanas he vistoque en un > servidor > >> de > >> > frontera en una red se pierde de repente el acceso al internet en > ciertos > >> > Pc's (los que clientes DHCP), este servidor es un proxy el cual tiene > >> > instalado el squid, iptables, dhcpd, el problema he notado que se me > da > >> > cuando se realiza una descarga excesivamente grande, por ejemplo de un > >> > archivo que pese 5Gb, mi conexión al internet es de 30Mb, y como les > >> > comento el problema lo sienten los clientes de dhcp, los equipos que > >> tiene > >> > ip’s fijas no sienten el problema de corte de internet, pero cuando no > >> > saturo el enlace y le doy service dhcpd stop, ningún equipo siente la > >> > ausencia del servidor DHCP (sé que esta es la teoría correcta), pero > ahí > >> > está la casualidad que solo cuando saturo el enlace esas máquinas son > las > >> > que sienten el problema, pero desde afuera de la red nunca pierdo el > ping > >> > hacia la IP pública de mi servidor, espero que alguno de ustedes pueda > >> > darme una luz en cuanto a este problema, mi linux es un centos 6.5 > de 64 > >> > bits, agradezco a todos ustedes por cualquier ayuda que me puedan > brindar > >> > > >> > > >> > > >> > Att > >> > > >> > > >> > > >> > Rogerb99 > >> > ___ > >> > CentOS-es mailing list > >> > CentOS-es@centos.org > >> > https://lists.centos.org/mailman/listinfo/centos-es > >> ___ > >> CentOS-es mailing list > >> CentOS-es@centos.org > >> https://lists.centos.org/mailman/listinfo/centos-es > >> > > ___ > > CentOS-es mailing list > > CentOS-es@centos.org > > https://lists.centos.org/mailman/listinfo/centos-es > ___ > CentOS-es mailing list > CentOS-es@centos.org > https://lists.centos.org/mailman/listinfo/centos-es > ___ CentOS-es mailing list CentOS-es@centos.org https://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] filtración sitios squid https
Hola Roberto gracias por responder, si justamente esa linea que tu mencionas es la que yo uso para filtrar https y me funciona bien en todos los navegadores, uso siempre proxy transparente por eso se vuelve cada vez más difícil el filtrar sitios https por iptables, alguna vez escuche que en freebsd había una versión de squid que permitía filtrar https, por eso pensé que en squid había ya, busque por la red pero no veo nada al respecto. -- |Saludos Cordiales |César Martínez M. | Ingeniero de Sistemas |Consultor & Proyectos Software Libre| SERVICOM |Tel: (593-2)554-271 2221-386 | Ext 4501 |Celular:(593 999374317 |Skype servicomecuador |Web www.servicomecuador.com Síguenos en: |Twitter: @servicomecuador |Facebook: servicomec |Zona Clientes: www.servicomecuador.com/billing |Blog: http://servicomecuador.com/blog |Dir. Av. 10 de Agosto N29-140 Entre |Acuña y Cuero y Caicedo |Quito - Ecuador - Sudamérica El 21/06/17 a las 09:20, Roberto Bermúdez escribió: Estimado César, de manera personal uso la siguiente línea de iptables que me funciona muy bien para bloquear sitios https, y es muy buena, /sbin/iptables -I FORWARD -p tcp -m tcp dport 443 -m string --string "youtube" --algo bm -j ACCEPT como verás con "youtube", especifico el sitio al que quiero bloquear, ahora si deseas que se bloquee todas las páginas https (cosa que no es muy frecuente), solamente omitiría la cadena a comparar y dejaría algo parecido a lo que sigue: /sbin/iptables -I FORWARD -p tcp -m tcp dport 443 -j ACCEPT Ahora, claro que esta tarea se volvería mucho mas facil si se lo pudiera hacer en squid, pero recordemos que el squid solo escucha en el puerto 80 o el 3128, por lo que no sería posible controlar otros puertos. Desearía aprovechar la oprtunidad de preguntar a la lista, si saben como poder bloquear este puerto en terminales que usan chrome, pues lo que acabé de especificar funciona bastante bien con Internet Explorer y Mozilla, pero en terminal que usan chrome siguen teniendo acceso a los sitios que estan bloqueados en iptables. de antemano agradezco a todos por sus comentarios El 21 de junio de 2017, 09:10, César Martinezescribió: Saludos amigos listeros espero que todos se encuentren bien, acudo a ustedes más que una consulta por un problema es una pregunta suelta, en mis implementaciones para filtrado de contenido de navegación uso centos 7 + squid + iptables para bloquear accesos a sitios https como facebook, youtube entre otros hasta el momento me funciona bastante bien, como ahora google a implementado la política de dar mejor posicionamiento a sitios que tengan un certificado ssl https, pues la mayoría de sitios ahora ya cuentan con uno, como saben squid no filtra sitios https por ende se vuelve una tarea más compleja agregar sitio por sitio en iptables para este bloqueo ya que en sitios normales solo se crea un archivo con ciertos nombres por ejemplo radio y todo lo que este relacionado con eso en la navegación del usuario es bloqueado, de pronto saben si squid ya tiene alguna versión que permita filtrar sitios https sin tener que usar iptables para este fin u alguna otra herramienta o sugerencia personal que me pueda ayudar con esto. Agradezco a todos quienes puedan ayudarme con este tema -- |Saludos Cordiales |César Martínez M. | Ingeniero de Sistemas |Consultor & Proyectos Software Libre| SERVICOM |Tel: (593-2)554-271 2221-386 | Ext 4501 |Celular:(593 999374317 |Skype servicomecuador |Web www.servicomecuador.com Síguenos en: |Twitter: @servicomecuador |Facebook: servicomec |Zona Clientes: www.servicomecuador.com/billing |Blog: http://servicomecuador.com/blog |Dir. Av. 10 de Agosto N29-140 Entre |Acuña y Cuero y Caicedo |Quito - Ecuador - Sudamérica ___ CentOS-es mailing list CentOS-es@centos.org https://lists.centos.org/mailman/listinfo/centos-es ___ CentOS-es mailing list CentOS-es@centos.org https://lists.centos.org/mailman/listinfo/centos-es ___ CentOS-es mailing list CentOS-es@centos.org https://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] filtración sitios squid https
Estimado César, de manera personal uso la siguiente línea de iptables que me funciona muy bien para bloquear sitios https, y es muy buena, /sbin/iptables -I FORWARD -p tcp -m tcp dport 443 -m string --string "youtube" --algo bm -j ACCEPT como verás con "youtube", especifico el sitio al que quiero bloquear, ahora si deseas que se bloquee todas las páginas https (cosa que no es muy frecuente), solamente omitiría la cadena a comparar y dejaría algo parecido a lo que sigue: /sbin/iptables -I FORWARD -p tcp -m tcp dport 443 -j ACCEPT Ahora, claro que esta tarea se volvería mucho mas facil si se lo pudiera hacer en squid, pero recordemos que el squid solo escucha en el puerto 80 o el 3128, por lo que no sería posible controlar otros puertos. Desearía aprovechar la oprtunidad de preguntar a la lista, si saben como poder bloquear este puerto en terminales que usan chrome, pues lo que acabé de especificar funciona bastante bien con Internet Explorer y Mozilla, pero en terminal que usan chrome siguen teniendo acceso a los sitios que estan bloqueados en iptables. de antemano agradezco a todos por sus comentarios El 21 de junio de 2017, 09:10, César Martinezescribió: > Saludos amigos listeros espero que todos se encuentren bien, acudo a > ustedes más que una consulta por un problema es una pregunta suelta, en mis > implementaciones para filtrado de contenido de navegación uso centos 7 + > squid + iptables para bloquear accesos a sitios https como facebook, > youtube entre otros hasta el momento me funciona bastante bien, como ahora > google a implementado la política de dar mejor posicionamiento a sitios que > tengan un certificado ssl https, pues la mayoría de sitios ahora ya > cuentan con uno, como saben squid no filtra sitios https por ende se vuelve > una tarea más compleja agregar sitio por sitio en iptables para este > bloqueo ya que en sitios normales solo se crea un archivo con ciertos > nombres por ejemplo radio y todo lo que este relacionado con eso en la > navegación del usuario es bloqueado, de pronto saben si squid ya tiene > alguna versión que permita filtrar sitios https sin tener que usar iptables > para este fin u alguna otra herramienta o sugerencia personal que me pueda > ayudar con esto. > > Agradezco a todos quienes puedan ayudarme con este tema > > -- > |Saludos Cordiales > |César Martínez M. | Ingeniero de Sistemas > |Consultor & Proyectos Software Libre| SERVICOM > |Tel: (593-2)554-271 2221-386 | Ext 4501 > |Celular:(593 999374317 |Skype servicomecuador > |Web www.servicomecuador.com Síguenos en: > |Twitter: @servicomecuador |Facebook: servicomec > |Zona Clientes: www.servicomecuador.com/billing > |Blog: http://servicomecuador.com/blog > |Dir. Av. 10 de Agosto N29-140 Entre > |Acuña y Cuero y Caicedo > |Quito - Ecuador - Sudamérica > > ___ > CentOS-es mailing list > CentOS-es@centos.org > https://lists.centos.org/mailman/listinfo/centos-es > ___ CentOS-es mailing list CentOS-es@centos.org https://lists.centos.org/mailman/listinfo/centos-es
[CentOS-es] filtración sitios squid https
Saludos amigos listeros espero que todos se encuentren bien, acudo a ustedes más que una consulta por un problema es una pregunta suelta, en mis implementaciones para filtrado de contenido de navegación uso centos 7 + squid + iptables para bloquear accesos a sitios https como facebook, youtube entre otros hasta el momento me funciona bastante bien, como ahora google a implementado la política de dar mejor posicionamiento a sitios que tengan un certificado ssl https, pues la mayoría de sitios ahora ya cuentan con uno, como saben squid no filtra sitios https por ende se vuelve una tarea más compleja agregar sitio por sitio en iptables para este bloqueo ya que en sitios normales solo se crea un archivo con ciertos nombres por ejemplo radio y todo lo que este relacionado con eso en la navegación del usuario es bloqueado, de pronto saben si squid ya tiene alguna versión que permita filtrar sitios https sin tener que usar iptables para este fin u alguna otra herramienta o sugerencia personal que me pueda ayudar con esto. Agradezco a todos quienes puedan ayudarme con este tema -- |Saludos Cordiales |César Martínez M. | Ingeniero de Sistemas |Consultor & Proyectos Software Libre| SERVICOM |Tel: (593-2)554-271 2221-386 | Ext 4501 |Celular:(593 999374317 |Skype servicomecuador |Web www.servicomecuador.com Síguenos en: |Twitter: @servicomecuador |Facebook: servicomec |Zona Clientes: www.servicomecuador.com/billing |Blog: http://servicomecuador.com/blog |Dir. Av. 10 de Agosto N29-140 Entre |Acuña y Cuero y Caicedo |Quito - Ecuador - Sudamérica ___ CentOS-es mailing list CentOS-es@centos.org https://lists.centos.org/mailman/listinfo/centos-es