Re: [CentOS-es] filtración sitios squid https

2017-06-21 Por tema René Lara 
Yo la hago más corta:
Doy una instrucción de lo que no se debe hacer. Al pesque, lo despedimos!.
Usualmente, en mi experiencia,  se "ejecuta" al primero y se alinean todos.
Elijo a quien "pesco".


A veces no todo es técnica, se vuelve muy complicado eso de uno a taparle y
los demás  a saltar la puerta.
Si no hay consecuencia, tiene la motivación de buscar, de preguntar, de
probar como darle la vuelta a las restricciones.

Claro, se requiere apoyo de la administración.
r.lara

-Mensaje original-
De: CentOS-es [mailto:centos-es-boun...@centos.org] En nombre de Ricardo J.
Barberis
Enviado el: miércoles, 21 de junio de 2017 10:51 a.m.
Para: centos-es@centos.org
Asunto: Re: [CentOS-es] filtración sitios squid https

El Miércoles 21/06/2017 a las 11:27, Cc3a9sar Martinez escribió:
> Hola Roberto gracias por responder, si justamente esa linea que tu
> mencionas es la que yo uso para filtrar https y me funciona bien en
> todos los navegadores, uso siempre proxy transparente por eso se vuelve
> cada vez más difícil el filtrar sitios https por iptables, alguna vez
> escuche que en freebsd había una versión de squid que permitía filtrar
> https, por eso pensé que en squid había ya, busque por la red pero no
> veo nada al respecto.

Que yo sepa, proxy transparente para https no hay, al menos nunca
encontramos 
nada y tiene sentido que no se pueda ya que si se pudiera la encriptacion no

seria muy confiable :)

Nosotros la hacemos corta: bloqueamos la salida https y en cada navegador 
configuramos el proxy solo para https, http sigue transparente.

Parece algo engorroso, y si no tienes control sobre las PCs puede llegar a 
serlo, pero es lo mejor que encontramos y nos permite seguir manejando los 
permitidos y bloqueados desde el squid para ambos casos.

Saludos,
-- 
Ricardo J. Barberis
Usuario Linux Nº 250625: http://counter.li.org/
Usuario LFS Nº 5121: http://www.linuxfromscratch.org/
Senior SysAdmin / IT Architect - www.DonWeb.com
___
CentOS-es mailing list
CentOS-es@centos.org
https://lists.centos.org/mailman/listinfo/centos-es

___
CentOS-es mailing list
CentOS-es@centos.org
https://lists.centos.org/mailman/listinfo/centos-es

Re: [CentOS-es] filtración sitios squid https

2017-06-21 Por tema Anthony Mogrovejo 
+1 Ricardo

El 21 jun. 2017 10:51 a. m., "Ricardo J. Barberis" 
escribió:

> El Miércoles 21/06/2017 a las 11:27, Cc3a9sar Martinez escribió:
> > Hola Roberto gracias por responder, si justamente esa linea que tu
> > mencionas es la que yo uso para filtrar https y me funciona bien en
> > todos los navegadores, uso siempre proxy transparente por eso se vuelve
> > cada vez más difícil el filtrar sitios https por iptables, alguna vez
> > escuche que en freebsd había una versión de squid que permitía filtrar
> > https, por eso pensé que en squid había ya, busque por la red pero no
> > veo nada al respecto.
>
> Que yo sepa, proxy transparente para https no hay, al menos nunca
> encontramos
> nada y tiene sentido que no se pueda ya que si se pudiera la encriptacion
> no
> seria muy confiable :)
>
> Nosotros la hacemos corta: bloqueamos la salida https y en cada navegador
> configuramos el proxy solo para https, http sigue transparente.
>
> Parece algo engorroso, y si no tienes control sobre las PCs puede llegar a
> serlo, pero es lo mejor que encontramos y nos permite seguir manejando los
> permitidos y bloqueados desde el squid para ambos casos.
>
> Saludos,
> --
> Ricardo J. Barberis
> Usuario Linux Nº 250625: http://counter.li.org/
> Usuario LFS Nº 5121: http://www.linuxfromscratch.org/
> Senior SysAdmin / IT Architect - www.DonWeb.com
> ___
> CentOS-es mailing list
> CentOS-es@centos.org
> https://lists.centos.org/mailman/listinfo/centos-es
>
___
CentOS-es mailing list
CentOS-es@centos.org
https://lists.centos.org/mailman/listinfo/centos-es

Re: [CentOS-es] filtración sitios squid https

2017-06-21 Por tema Ricardo J. Barberis 
El Miércoles 21/06/2017 a las 11:27, Cc3a9sar Martinez escribió:
> Hola Roberto gracias por responder, si justamente esa linea que tu
> mencionas es la que yo uso para filtrar https y me funciona bien en
> todos los navegadores, uso siempre proxy transparente por eso se vuelve
> cada vez más difícil el filtrar sitios https por iptables, alguna vez
> escuche que en freebsd había una versión de squid que permitía filtrar
> https, por eso pensé que en squid había ya, busque por la red pero no
> veo nada al respecto.

Que yo sepa, proxy transparente para https no hay, al menos nunca encontramos 
nada y tiene sentido que no se pueda ya que si se pudiera la encriptacion no 
seria muy confiable :)

Nosotros la hacemos corta: bloqueamos la salida https y en cada navegador 
configuramos el proxy solo para https, http sigue transparente.

Parece algo engorroso, y si no tienes control sobre las PCs puede llegar a 
serlo, pero es lo mejor que encontramos y nos permite seguir manejando los 
permitidos y bloqueados desde el squid para ambos casos.

Saludos,
-- 
Ricardo J. Barberis
Usuario Linux Nº 250625: http://counter.li.org/
Usuario LFS Nº 5121: http://www.linuxfromscratch.org/
Senior SysAdmin / IT Architect - www.DonWeb.com
___
CentOS-es mailing list
CentOS-es@centos.org
https://lists.centos.org/mailman/listinfo/centos-es

Re: [CentOS-es] Aveces se pierde conexión a internet

2017-06-21 Por tema Roberto Bermúdez 
Hola Periko

perdón por no responder antes, te agradezco mcuho por tu interés en
ayudarme, te comento que la versión de squid es "squid-3.1.23-24.el6.i686"
no comprendo como haría a un lado el squid para ver como fluye, pues si le
doy un service squid stop, obviamente no habrá navegación, en cuanto a los
servicios activos, no son muy grandes, sino mas bien los típicos en un
prosy simple, el squid, iptables, DHCP, no aloja páginas web, ni tampoco es
DNS, menos aun el correo, solo es un servidor de frontera nada más, no se
que otro dato pueda darte para aclarar el panorama, gracias nuevamente

El 15 de junio de 2017, 20:15, Periko Support
escribió:

> Pues parece que tu equipo soporta la carga, ahora no respondistes
> todas las preguntas.
> Has intentado hacer a un lado a squid y ver como fluye ?
> La config de squid?
>
> 2017-06-15 17:08 GMT-07:00 Roberto Bermúdez :
> > Gracias por responder, los los no dan nada raro o fuera de lo común, en
> > cuanto a la carga no es que se sature hablaremos de un 40% de uso en
> > procesador y la memoria tiene 1Gb libre, las características son un clon
> > Intel core i5 2.7GHz con 4 Gb de RAM en total y 2 más en SWAP las nics
> son
> > 100 Mb ethernet, y sí, todos los clientes pasan por el Proxy, espero les
> > sea de mayor guía esto que acabo de indicar
> >
> > El jun. 15, 2017 18:52, "Periko Support" 
> > escribió:
> >
> >> Todos tus equipos ya sea por ip-fija o dinamica cruzan por el proxy?
> >> Cual es el lease que tienen tu dhcp?
> >> Los logs del servidor ya los revisastes, algo que llame la atencion?
> >> Como esta la carga del servidor en ese lapso de tiempo?
> >>
> >> Que caracteristicas tiene tu servidor?
> >> Que servicios ejecuta?
> >> Que configuracion tiene squid y que version es?
> >>
> >> Saludos.
> >>
> >> 2017-06-08 8:51 GMT-07:00 Roberto Bermúdez :
> >> > Buenos días estimados listeros, esperando que todos se encuentren de
> lo
> >> > mejor quiero dirigirme a ustedes por un problema que he tenido en un
> caso
> >> > en particular, desde hace unas pocas semanas he vistoque en un
> servidor
> >> de
> >> > frontera en una red se pierde de repente el acceso al internet en
> ciertos
> >> > Pc's (los que clientes DHCP), este servidor es un proxy el cual tiene
> >> > instalado el squid, iptables, dhcpd, el problema he notado que se me
> da
> >> > cuando se realiza una descarga excesivamente grande, por ejemplo de un
> >> > archivo que pese 5Gb, mi conexión al internet es de 30Mb, y como les
> >> > comento el problema lo sienten los clientes de dhcp, los equipos que
> >> tiene
> >> > ip’s fijas no sienten el problema de corte de internet, pero cuando no
> >> > saturo el enlace y le doy service dhcpd stop, ningún equipo siente la
> >> > ausencia del servidor DHCP (sé que esta es la teoría correcta), pero
> ahí
> >> > está la casualidad que solo cuando saturo el enlace esas máquinas son
> las
> >> > que sienten el problema, pero desde afuera de la red nunca pierdo el
> ping
> >> > hacia la IP pública de mi servidor, espero que alguno de ustedes pueda
> >> > darme una luz en cuanto a este problema, mi linux es un centos 6.5
> de 64
> >> > bits, agradezco a todos ustedes por cualquier ayuda que me puedan
> brindar
> >> >
> >> >
> >> >
> >> > Att
> >> >
> >> >
> >> >
> >> > Rogerb99
> >> > ___
> >> > CentOS-es mailing list
> >> > CentOS-es@centos.org
> >> > https://lists.centos.org/mailman/listinfo/centos-es
> >> ___
> >> CentOS-es mailing list
> >> CentOS-es@centos.org
> >> https://lists.centos.org/mailman/listinfo/centos-es
> >>
> > ___
> > CentOS-es mailing list
> > CentOS-es@centos.org
> > https://lists.centos.org/mailman/listinfo/centos-es
> ___
> CentOS-es mailing list
> CentOS-es@centos.org
> https://lists.centos.org/mailman/listinfo/centos-es
>
___
CentOS-es mailing list
CentOS-es@centos.org
https://lists.centos.org/mailman/listinfo/centos-es

Re: [CentOS-es] filtración sitios squid https

2017-06-21 Por tema César Martinez 
Hola Roberto gracias por responder, si justamente esa linea que tu 
mencionas es la que yo uso para filtrar https y me funciona bien en 
todos los navegadores, uso siempre proxy transparente por eso se vuelve 
cada vez más difícil el filtrar sitios https por iptables, alguna vez 
escuche que en freebsd había una versión de squid que permitía filtrar 
https, por eso pensé que en squid había ya, busque por la red pero no 
veo nada al respecto.


--
|Saludos Cordiales
|César Martínez M. | Ingeniero de Sistemas
|Consultor & Proyectos Software Libre| SERVICOM
|Tel: (593-2)554-271 2221-386 | Ext 4501
|Celular:(593 999374317 |Skype servicomecuador
|Web www.servicomecuador.com Síguenos en:
|Twitter: @servicomecuador |Facebook: servicomec
|Zona Clientes: www.servicomecuador.com/billing
|Blog: http://servicomecuador.com/blog
|Dir. Av. 10 de Agosto N29-140 Entre
|Acuña y  Cuero y Caicedo
|Quito - Ecuador - Sudamérica

El 21/06/17 a las 09:20, Roberto Bermúdez escribió:

Estimado César, de manera personal uso la siguiente línea de iptables que
me funciona muy bien para bloquear sitios https, y es muy buena,

/sbin/iptables -I FORWARD -p tcp -m tcp dport 443 -m string --string
"youtube" --algo bm -j ACCEPT

como verás con "youtube", especifico el sitio al que quiero bloquear, ahora
si deseas que se bloquee todas las páginas https (cosa que no es muy
frecuente), solamente omitiría la cadena a comparar y dejaría algo parecido
a lo que sigue:

/sbin/iptables -I FORWARD -p tcp -m tcp dport 443 -j ACCEPT


Ahora, claro que esta tarea se volvería mucho mas facil si se lo pudiera
hacer en squid, pero recordemos que el squid solo escucha en el puerto 80 o
el 3128, por lo que no sería posible controlar otros puertos.

Desearía aprovechar la oprtunidad de preguntar a la lista, si saben como
poder bloquear este puerto en terminales que usan chrome, pues lo que acabé
de especificar funciona bastante bien con Internet Explorer y Mozilla, pero
en terminal que usan chrome siguen teniendo acceso a los sitios que estan
bloqueados en iptables.

de antemano agradezco a todos por sus comentarios


El 21 de junio de 2017, 09:10, César Martinez
escribió:


Saludos amigos listeros espero que todos se encuentren bien, acudo a
ustedes más que una consulta por un problema es una pregunta suelta, en mis
implementaciones para filtrado de contenido de navegación uso centos 7 +
squid + iptables para bloquear accesos a sitios https como facebook,
youtube entre otros hasta el momento me funciona bastante bien, como ahora
google a implementado la política de dar mejor posicionamiento a sitios que
tengan un certificado ssl  https, pues la mayoría de sitios ahora ya
cuentan con uno, como saben squid no filtra sitios https por ende se vuelve
una tarea más compleja agregar sitio por sitio en iptables para este
bloqueo ya que en sitios normales solo se crea un archivo con ciertos
nombres por ejemplo radio y todo lo que este relacionado con eso en la
navegación del usuario es bloqueado, de pronto saben si squid ya tiene
alguna versión que permita filtrar sitios https sin tener que usar iptables
para este fin u alguna otra herramienta o sugerencia personal que me pueda
ayudar con esto.

Agradezco a todos quienes puedan ayudarme con este tema

--
|Saludos Cordiales
|César Martínez M. | Ingeniero de Sistemas
|Consultor & Proyectos Software Libre| SERVICOM
|Tel: (593-2)554-271 2221-386 | Ext 4501
|Celular:(593 999374317 |Skype servicomecuador
|Web www.servicomecuador.com Síguenos en:
|Twitter: @servicomecuador |Facebook: servicomec
|Zona Clientes: www.servicomecuador.com/billing
|Blog: http://servicomecuador.com/blog
|Dir. Av. 10 de Agosto N29-140 Entre
|Acuña y  Cuero y Caicedo
|Quito - Ecuador - Sudamérica

___
CentOS-es mailing list
CentOS-es@centos.org
https://lists.centos.org/mailman/listinfo/centos-es


___
CentOS-es mailing list
CentOS-es@centos.org
https://lists.centos.org/mailman/listinfo/centos-es



___
CentOS-es mailing list
CentOS-es@centos.org
https://lists.centos.org/mailman/listinfo/centos-es

Re: [CentOS-es] filtración sitios squid https

2017-06-21 Por tema Roberto Bermúdez 
Estimado César, de manera personal uso la siguiente línea de iptables que
me funciona muy bien para bloquear sitios https, y es muy buena,

/sbin/iptables -I FORWARD -p tcp -m tcp dport 443 -m string --string
"youtube" --algo bm -j ACCEPT

como verás con "youtube", especifico el sitio al que quiero bloquear, ahora
si deseas que se bloquee todas las páginas https (cosa que no es muy
frecuente), solamente omitiría la cadena a comparar y dejaría algo parecido
a lo que sigue:

/sbin/iptables -I FORWARD -p tcp -m tcp dport 443 -j ACCEPT


Ahora, claro que esta tarea se volvería mucho mas facil si se lo pudiera
hacer en squid, pero recordemos que el squid solo escucha en el puerto 80 o
el 3128, por lo que no sería posible controlar otros puertos.

Desearía aprovechar la oprtunidad de preguntar a la lista, si saben como
poder bloquear este puerto en terminales que usan chrome, pues lo que acabé
de especificar funciona bastante bien con Internet Explorer y Mozilla, pero
en terminal que usan chrome siguen teniendo acceso a los sitios que estan
bloqueados en iptables.

de antemano agradezco a todos por sus comentarios


El 21 de junio de 2017, 09:10, César Martinez
escribió:

> Saludos amigos listeros espero que todos se encuentren bien, acudo a
> ustedes más que una consulta por un problema es una pregunta suelta, en mis
> implementaciones para filtrado de contenido de navegación uso centos 7 +
> squid + iptables para bloquear accesos a sitios https como facebook,
> youtube entre otros hasta el momento me funciona bastante bien, como ahora
> google a implementado la política de dar mejor posicionamiento a sitios que
> tengan un certificado ssl  https, pues la mayoría de sitios ahora ya
> cuentan con uno, como saben squid no filtra sitios https por ende se vuelve
> una tarea más compleja agregar sitio por sitio en iptables para este
> bloqueo ya que en sitios normales solo se crea un archivo con ciertos
> nombres por ejemplo radio y todo lo que este relacionado con eso en la
> navegación del usuario es bloqueado, de pronto saben si squid ya tiene
> alguna versión que permita filtrar sitios https sin tener que usar iptables
> para este fin u alguna otra herramienta o sugerencia personal que me pueda
> ayudar con esto.
>
> Agradezco a todos quienes puedan ayudarme con este tema
>
> --
> |Saludos Cordiales
> |César Martínez M. | Ingeniero de Sistemas
> |Consultor & Proyectos Software Libre| SERVICOM
> |Tel: (593-2)554-271 2221-386 | Ext 4501
> |Celular:(593 999374317 |Skype servicomecuador
> |Web www.servicomecuador.com Síguenos en:
> |Twitter: @servicomecuador |Facebook: servicomec
> |Zona Clientes: www.servicomecuador.com/billing
> |Blog: http://servicomecuador.com/blog
> |Dir. Av. 10 de Agosto N29-140 Entre
> |Acuña y  Cuero y Caicedo
> |Quito - Ecuador - Sudamérica
>
> ___
> CentOS-es mailing list
> CentOS-es@centos.org
> https://lists.centos.org/mailman/listinfo/centos-es
>
___
CentOS-es mailing list
CentOS-es@centos.org
https://lists.centos.org/mailman/listinfo/centos-es

[CentOS-es] filtración sitios squid https

2017-06-21 Por tema César Martinez 
Saludos amigos listeros espero que todos se encuentren bien, acudo a 
ustedes más que una consulta por un problema es una pregunta suelta, en 
mis implementaciones para filtrado de contenido de navegación uso centos 
7 + squid + iptables para bloquear accesos a sitios https como facebook, 
youtube entre otros hasta el momento me funciona bastante bien, como 
ahora google a implementado la política de dar mejor posicionamiento a 
sitios que tengan un certificado ssl  https, pues la mayoría de sitios 
ahora ya cuentan con uno, como saben squid no filtra sitios https por 
ende se vuelve una tarea más compleja agregar sitio por sitio en 
iptables para este bloqueo ya que en sitios normales solo se crea un 
archivo con ciertos nombres por ejemplo radio y todo lo que este 
relacionado con eso en la navegación del usuario es bloqueado, de pronto 
saben si squid ya tiene alguna versión que permita filtrar sitios https 
sin tener que usar iptables para este fin u alguna otra herramienta o 
sugerencia personal que me pueda ayudar con esto.


Agradezco a todos quienes puedan ayudarme con este tema

--
|Saludos Cordiales
|César Martínez M. | Ingeniero de Sistemas
|Consultor & Proyectos Software Libre| SERVICOM
|Tel: (593-2)554-271 2221-386 | Ext 4501
|Celular:(593 999374317 |Skype servicomecuador
|Web www.servicomecuador.com Síguenos en:
|Twitter: @servicomecuador |Facebook: servicomec
|Zona Clientes: www.servicomecuador.com/billing
|Blog: http://servicomecuador.com/blog
|Dir. Av. 10 de Agosto N29-140 Entre
|Acuña y  Cuero y Caicedo
|Quito - Ecuador - Sudamérica

___
CentOS-es mailing list
CentOS-es@centos.org
https://lists.centos.org/mailman/listinfo/centos-es