Re: [CentOS-es] filtración sitios squid https
Gracias Ángel pero en realidad es una tarea titánica ir filtrando sitio por sitio por https, por eso pensé que había alguna forma con squid mismo para bloquear todo https, tu script lee algún archivo donde colocas nombres de sitios? Saludos César Martínez M. Ingeniero de Sistemas Proyectos de Software Libre Servicom Móvil 0999374317 E-mail enviado desde mi móvil 4G A3 El 22 de junio de 2017 19:02:27 GMT-05:00, angel jauregui escribió: >Squid no puede ser ni sera filtrados de conexiones HTTPS, porque seria >violacion de privacidad :S. >Tendria que actuar como un "sslstripe". > >Lo recomendable es usar reglas iptables para bloquear el trafico a ese >dominio, o bien, puedes consultar el CIDR del dominio con "whois" y >sacar >el rango de IPs para ser mas especifico. > >Yo tengo mi propio script que se apoya con Squid para poder hacer la >faena >de hacer bloqueos a sitios HTTPS que esten en la lista de exclusiones, >segun si o no, se haya indicado que la IP Fija o Rango tenga esta >exclusion. Ya sabe... Gerencia SI quier ver Facebook, en cambio los >demas >mortales NO pueden jajaja. > >Saludos ! > >El 21 de junio de 2017, 11:39, René Lara >escribió: > >> Yo la hago más corta: >> Doy una instrucción de lo que no se debe hacer. Al pesque, lo >despedimos!. >> Usualmente, en mi experiencia, se "ejecuta" al primero y se alinean >todos. >> Elijo a quien "pesco". >> >> >> A veces no todo es técnica, se vuelve muy complicado eso de uno a >taparle y >> los demás a saltar la puerta. >> Si no hay consecuencia, tiene la motivación de buscar, de preguntar, >de >> probar como darle la vuelta a las restricciones. >> >> Claro, se requiere apoyo de la administración. >> r.lara >> >> -Mensaje original----- >> De: CentOS-es [mailto:centos-es-boun...@centos.org] En nombre de >Ricardo >> J. >> Barberis >> Enviado el: miércoles, 21 de junio de 2017 10:51 a.m. >> Para: centos-es@centos.org >> Asunto: Re: [CentOS-es] filtración sitios squid https >> >> El Miércoles 21/06/2017 a las 11:27, Cc3a9sar Martinez escribió: >> > Hola Roberto gracias por responder, si justamente esa linea que tu >> > mencionas es la que yo uso para filtrar https y me funciona bien en >> > todos los navegadores, uso siempre proxy transparente por eso se >vuelve >> > cada vez más difícil el filtrar sitios https por iptables, alguna >vez >> > escuche que en freebsd había una versión de squid que permitía >filtrar >> > https, por eso pensé que en squid había ya, busque por la red pero >no >> > veo nada al respecto. >> >> Que yo sepa, proxy transparente para https no hay, al menos nunca >> encontramos >> nada y tiene sentido que no se pueda ya que si se pudiera la >encriptacion >> no >> >> seria muy confiable :) >> >> Nosotros la hacemos corta: bloqueamos la salida https y en cada >navegador >> configuramos el proxy solo para https, http sigue transparente. >> >> Parece algo engorroso, y si no tienes control sobre las PCs puede >llegar a >> serlo, pero es lo mejor que encontramos y nos permite seguir >manejando los >> permitidos y bloqueados desde el squid para ambos casos. >> >> Saludos, >> -- >> Ricardo J. Barberis >> Usuario Linux Nº 250625: http://counter.li.org/ >> Usuario LFS Nº 5121: http://www.linuxfromscratch.org/ >> Senior SysAdmin / IT Architect - www.DonWeb.com >> ___ >> CentOS-es mailing list >> CentOS-es@centos.org >> https://lists.centos.org/mailman/listinfo/centos-es >> >> ___ >> CentOS-es mailing list >> CentOS-es@centos.org >> https://lists.centos.org/mailman/listinfo/centos-es >> > > > >-- >M.S.I. Angel Haniel Cantu Jauregui. > >Celular: (011-52-1)-899-871-17-22 >E-Mail: angel.ca...@sie-group.net >Web: http://www.sie-group.net/ >Cd. Reynosa Tamaulipas. >___ >CentOS-es mailing list >CentOS-es@centos.org >https://lists.centos.org/mailman/listinfo/centos-es ___ CentOS-es mailing list CentOS-es@centos.org https://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] filtración sitios squid https
Squid no puede ser ni sera filtrados de conexiones HTTPS, porque seria violacion de privacidad :S. Tendria que actuar como un "sslstripe". Lo recomendable es usar reglas iptables para bloquear el trafico a ese dominio, o bien, puedes consultar el CIDR del dominio con "whois" y sacar el rango de IPs para ser mas especifico. Yo tengo mi propio script que se apoya con Squid para poder hacer la faena de hacer bloqueos a sitios HTTPS que esten en la lista de exclusiones, segun si o no, se haya indicado que la IP Fija o Rango tenga esta exclusion. Ya sabe... Gerencia SI quier ver Facebook, en cambio los demas mortales NO pueden jajaja. Saludos ! El 21 de junio de 2017, 11:39, René Lara escribió: > Yo la hago más corta: > Doy una instrucción de lo que no se debe hacer. Al pesque, lo despedimos!. > Usualmente, en mi experiencia, se "ejecuta" al primero y se alinean todos. > Elijo a quien "pesco". > > > A veces no todo es técnica, se vuelve muy complicado eso de uno a taparle y > los demás a saltar la puerta. > Si no hay consecuencia, tiene la motivación de buscar, de preguntar, de > probar como darle la vuelta a las restricciones. > > Claro, se requiere apoyo de la administración. > r.lara > > -Mensaje original- > De: CentOS-es [mailto:centos-es-boun...@centos.org] En nombre de Ricardo > J. > Barberis > Enviado el: miércoles, 21 de junio de 2017 10:51 a.m. > Para: centos-es@centos.org > Asunto: Re: [CentOS-es] filtración sitios squid https > > El Miércoles 21/06/2017 a las 11:27, Cc3a9sar Martinez escribió: > > Hola Roberto gracias por responder, si justamente esa linea que tu > > mencionas es la que yo uso para filtrar https y me funciona bien en > > todos los navegadores, uso siempre proxy transparente por eso se vuelve > > cada vez más difícil el filtrar sitios https por iptables, alguna vez > > escuche que en freebsd había una versión de squid que permitía filtrar > > https, por eso pensé que en squid había ya, busque por la red pero no > > veo nada al respecto. > > Que yo sepa, proxy transparente para https no hay, al menos nunca > encontramos > nada y tiene sentido que no se pueda ya que si se pudiera la encriptacion > no > > seria muy confiable :) > > Nosotros la hacemos corta: bloqueamos la salida https y en cada navegador > configuramos el proxy solo para https, http sigue transparente. > > Parece algo engorroso, y si no tienes control sobre las PCs puede llegar a > serlo, pero es lo mejor que encontramos y nos permite seguir manejando los > permitidos y bloqueados desde el squid para ambos casos. > > Saludos, > -- > Ricardo J. Barberis > Usuario Linux Nº 250625: http://counter.li.org/ > Usuario LFS Nº 5121: http://www.linuxfromscratch.org/ > Senior SysAdmin / IT Architect - www.DonWeb.com > ___ > CentOS-es mailing list > CentOS-es@centos.org > https://lists.centos.org/mailman/listinfo/centos-es > > ___ > CentOS-es mailing list > CentOS-es@centos.org > https://lists.centos.org/mailman/listinfo/centos-es > -- M.S.I. Angel Haniel Cantu Jauregui. Celular: (011-52-1)-899-871-17-22 E-Mail: angel.ca...@sie-group.net Web: http://www.sie-group.net/ Cd. Reynosa Tamaulipas. ___ CentOS-es mailing list CentOS-es@centos.org https://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] filtración sitios squid https
Yo la hago más corta: Doy una instrucción de lo que no se debe hacer. Al pesque, lo despedimos!. Usualmente, en mi experiencia, se "ejecuta" al primero y se alinean todos. Elijo a quien "pesco". A veces no todo es técnica, se vuelve muy complicado eso de uno a taparle y los demás a saltar la puerta. Si no hay consecuencia, tiene la motivación de buscar, de preguntar, de probar como darle la vuelta a las restricciones. Claro, se requiere apoyo de la administración. r.lara -Mensaje original- De: CentOS-es [mailto:centos-es-boun...@centos.org] En nombre de Ricardo J. Barberis Enviado el: miércoles, 21 de junio de 2017 10:51 a.m. Para: centos-es@centos.org Asunto: Re: [CentOS-es] filtración sitios squid https El Miércoles 21/06/2017 a las 11:27, Cc3a9sar Martinez escribió: > Hola Roberto gracias por responder, si justamente esa linea que tu > mencionas es la que yo uso para filtrar https y me funciona bien en > todos los navegadores, uso siempre proxy transparente por eso se vuelve > cada vez más difícil el filtrar sitios https por iptables, alguna vez > escuche que en freebsd había una versión de squid que permitía filtrar > https, por eso pensé que en squid había ya, busque por la red pero no > veo nada al respecto. Que yo sepa, proxy transparente para https no hay, al menos nunca encontramos nada y tiene sentido que no se pueda ya que si se pudiera la encriptacion no seria muy confiable :) Nosotros la hacemos corta: bloqueamos la salida https y en cada navegador configuramos el proxy solo para https, http sigue transparente. Parece algo engorroso, y si no tienes control sobre las PCs puede llegar a serlo, pero es lo mejor que encontramos y nos permite seguir manejando los permitidos y bloqueados desde el squid para ambos casos. Saludos, -- Ricardo J. Barberis Usuario Linux Nº 250625: http://counter.li.org/ Usuario LFS Nº 5121: http://www.linuxfromscratch.org/ Senior SysAdmin / IT Architect - www.DonWeb.com ___ CentOS-es mailing list CentOS-es@centos.org https://lists.centos.org/mailman/listinfo/centos-es ___ CentOS-es mailing list CentOS-es@centos.org https://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] filtración sitios squid https
+1 Ricardo El 21 jun. 2017 10:51 a. m., "Ricardo J. Barberis" escribió: > El Miércoles 21/06/2017 a las 11:27, Cc3a9sar Martinez escribió: > > Hola Roberto gracias por responder, si justamente esa linea que tu > > mencionas es la que yo uso para filtrar https y me funciona bien en > > todos los navegadores, uso siempre proxy transparente por eso se vuelve > > cada vez más difícil el filtrar sitios https por iptables, alguna vez > > escuche que en freebsd había una versión de squid que permitía filtrar > > https, por eso pensé que en squid había ya, busque por la red pero no > > veo nada al respecto. > > Que yo sepa, proxy transparente para https no hay, al menos nunca > encontramos > nada y tiene sentido que no se pueda ya que si se pudiera la encriptacion > no > seria muy confiable :) > > Nosotros la hacemos corta: bloqueamos la salida https y en cada navegador > configuramos el proxy solo para https, http sigue transparente. > > Parece algo engorroso, y si no tienes control sobre las PCs puede llegar a > serlo, pero es lo mejor que encontramos y nos permite seguir manejando los > permitidos y bloqueados desde el squid para ambos casos. > > Saludos, > -- > Ricardo J. Barberis > Usuario Linux Nº 250625: http://counter.li.org/ > Usuario LFS Nº 5121: http://www.linuxfromscratch.org/ > Senior SysAdmin / IT Architect - www.DonWeb.com > ___ > CentOS-es mailing list > CentOS-es@centos.org > https://lists.centos.org/mailman/listinfo/centos-es > ___ CentOS-es mailing list CentOS-es@centos.org https://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] filtración sitios squid https
El Miércoles 21/06/2017 a las 11:27, Cc3a9sar Martinez escribió: > Hola Roberto gracias por responder, si justamente esa linea que tu > mencionas es la que yo uso para filtrar https y me funciona bien en > todos los navegadores, uso siempre proxy transparente por eso se vuelve > cada vez más difícil el filtrar sitios https por iptables, alguna vez > escuche que en freebsd había una versión de squid que permitía filtrar > https, por eso pensé que en squid había ya, busque por la red pero no > veo nada al respecto. Que yo sepa, proxy transparente para https no hay, al menos nunca encontramos nada y tiene sentido que no se pueda ya que si se pudiera la encriptacion no seria muy confiable :) Nosotros la hacemos corta: bloqueamos la salida https y en cada navegador configuramos el proxy solo para https, http sigue transparente. Parece algo engorroso, y si no tienes control sobre las PCs puede llegar a serlo, pero es lo mejor que encontramos y nos permite seguir manejando los permitidos y bloqueados desde el squid para ambos casos. Saludos, -- Ricardo J. Barberis Usuario Linux Nº 250625: http://counter.li.org/ Usuario LFS Nº 5121: http://www.linuxfromscratch.org/ Senior SysAdmin / IT Architect - www.DonWeb.com ___ CentOS-es mailing list CentOS-es@centos.org https://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] filtración sitios squid https
Hola Roberto gracias por responder, si justamente esa linea que tu mencionas es la que yo uso para filtrar https y me funciona bien en todos los navegadores, uso siempre proxy transparente por eso se vuelve cada vez más difícil el filtrar sitios https por iptables, alguna vez escuche que en freebsd había una versión de squid que permitía filtrar https, por eso pensé que en squid había ya, busque por la red pero no veo nada al respecto. -- |Saludos Cordiales |César Martínez M. | Ingeniero de Sistemas |Consultor & Proyectos Software Libre| SERVICOM |Tel: (593-2)554-271 2221-386 | Ext 4501 |Celular:(593 999374317 |Skype servicomecuador |Web www.servicomecuador.com Síguenos en: |Twitter: @servicomecuador |Facebook: servicomec |Zona Clientes: www.servicomecuador.com/billing |Blog: http://servicomecuador.com/blog |Dir. Av. 10 de Agosto N29-140 Entre |Acuña y Cuero y Caicedo |Quito - Ecuador - Sudamérica El 21/06/17 a las 09:20, Roberto Bermúdez escribió: Estimado César, de manera personal uso la siguiente línea de iptables que me funciona muy bien para bloquear sitios https, y es muy buena, /sbin/iptables -I FORWARD -p tcp -m tcp dport 443 -m string --string "youtube" --algo bm -j ACCEPT como verás con "youtube", especifico el sitio al que quiero bloquear, ahora si deseas que se bloquee todas las páginas https (cosa que no es muy frecuente), solamente omitiría la cadena a comparar y dejaría algo parecido a lo que sigue: /sbin/iptables -I FORWARD -p tcp -m tcp dport 443 -j ACCEPT Ahora, claro que esta tarea se volvería mucho mas facil si se lo pudiera hacer en squid, pero recordemos que el squid solo escucha en el puerto 80 o el 3128, por lo que no sería posible controlar otros puertos. Desearía aprovechar la oprtunidad de preguntar a la lista, si saben como poder bloquear este puerto en terminales que usan chrome, pues lo que acabé de especificar funciona bastante bien con Internet Explorer y Mozilla, pero en terminal que usan chrome siguen teniendo acceso a los sitios que estan bloqueados en iptables. de antemano agradezco a todos por sus comentarios El 21 de junio de 2017, 09:10, César Martinez escribió: Saludos amigos listeros espero que todos se encuentren bien, acudo a ustedes más que una consulta por un problema es una pregunta suelta, en mis implementaciones para filtrado de contenido de navegación uso centos 7 + squid + iptables para bloquear accesos a sitios https como facebook, youtube entre otros hasta el momento me funciona bastante bien, como ahora google a implementado la política de dar mejor posicionamiento a sitios que tengan un certificado ssl https, pues la mayoría de sitios ahora ya cuentan con uno, como saben squid no filtra sitios https por ende se vuelve una tarea más compleja agregar sitio por sitio en iptables para este bloqueo ya que en sitios normales solo se crea un archivo con ciertos nombres por ejemplo radio y todo lo que este relacionado con eso en la navegación del usuario es bloqueado, de pronto saben si squid ya tiene alguna versión que permita filtrar sitios https sin tener que usar iptables para este fin u alguna otra herramienta o sugerencia personal que me pueda ayudar con esto. Agradezco a todos quienes puedan ayudarme con este tema -- |Saludos Cordiales |César Martínez M. | Ingeniero de Sistemas |Consultor & Proyectos Software Libre| SERVICOM |Tel: (593-2)554-271 2221-386 | Ext 4501 |Celular:(593 999374317 |Skype servicomecuador |Web www.servicomecuador.com Síguenos en: |Twitter: @servicomecuador |Facebook: servicomec |Zona Clientes: www.servicomecuador.com/billing |Blog: http://servicomecuador.com/blog |Dir. Av. 10 de Agosto N29-140 Entre |Acuña y Cuero y Caicedo |Quito - Ecuador - Sudamérica ___ CentOS-es mailing list CentOS-es@centos.org https://lists.centos.org/mailman/listinfo/centos-es ___ CentOS-es mailing list CentOS-es@centos.org https://lists.centos.org/mailman/listinfo/centos-es ___ CentOS-es mailing list CentOS-es@centos.org https://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] filtración sitios squid https
Estimado César, de manera personal uso la siguiente línea de iptables que me funciona muy bien para bloquear sitios https, y es muy buena, /sbin/iptables -I FORWARD -p tcp -m tcp dport 443 -m string --string "youtube" --algo bm -j ACCEPT como verás con "youtube", especifico el sitio al que quiero bloquear, ahora si deseas que se bloquee todas las páginas https (cosa que no es muy frecuente), solamente omitiría la cadena a comparar y dejaría algo parecido a lo que sigue: /sbin/iptables -I FORWARD -p tcp -m tcp dport 443 -j ACCEPT Ahora, claro que esta tarea se volvería mucho mas facil si se lo pudiera hacer en squid, pero recordemos que el squid solo escucha en el puerto 80 o el 3128, por lo que no sería posible controlar otros puertos. Desearía aprovechar la oprtunidad de preguntar a la lista, si saben como poder bloquear este puerto en terminales que usan chrome, pues lo que acabé de especificar funciona bastante bien con Internet Explorer y Mozilla, pero en terminal que usan chrome siguen teniendo acceso a los sitios que estan bloqueados en iptables. de antemano agradezco a todos por sus comentarios El 21 de junio de 2017, 09:10, César Martinez escribió: > Saludos amigos listeros espero que todos se encuentren bien, acudo a > ustedes más que una consulta por un problema es una pregunta suelta, en mis > implementaciones para filtrado de contenido de navegación uso centos 7 + > squid + iptables para bloquear accesos a sitios https como facebook, > youtube entre otros hasta el momento me funciona bastante bien, como ahora > google a implementado la política de dar mejor posicionamiento a sitios que > tengan un certificado ssl https, pues la mayoría de sitios ahora ya > cuentan con uno, como saben squid no filtra sitios https por ende se vuelve > una tarea más compleja agregar sitio por sitio en iptables para este > bloqueo ya que en sitios normales solo se crea un archivo con ciertos > nombres por ejemplo radio y todo lo que este relacionado con eso en la > navegación del usuario es bloqueado, de pronto saben si squid ya tiene > alguna versión que permita filtrar sitios https sin tener que usar iptables > para este fin u alguna otra herramienta o sugerencia personal que me pueda > ayudar con esto. > > Agradezco a todos quienes puedan ayudarme con este tema > > -- > |Saludos Cordiales > |César Martínez M. | Ingeniero de Sistemas > |Consultor & Proyectos Software Libre| SERVICOM > |Tel: (593-2)554-271 2221-386 | Ext 4501 > |Celular:(593 999374317 |Skype servicomecuador > |Web www.servicomecuador.com Síguenos en: > |Twitter: @servicomecuador |Facebook: servicomec > |Zona Clientes: www.servicomecuador.com/billing > |Blog: http://servicomecuador.com/blog > |Dir. Av. 10 de Agosto N29-140 Entre > |Acuña y Cuero y Caicedo > |Quito - Ecuador - Sudamérica > > ___ > CentOS-es mailing list > CentOS-es@centos.org > https://lists.centos.org/mailman/listinfo/centos-es > ___ CentOS-es mailing list CentOS-es@centos.org https://lists.centos.org/mailman/listinfo/centos-es
[CentOS-es] filtración sitios squid https
Saludos amigos listeros espero que todos se encuentren bien, acudo a ustedes más que una consulta por un problema es una pregunta suelta, en mis implementaciones para filtrado de contenido de navegación uso centos 7 + squid + iptables para bloquear accesos a sitios https como facebook, youtube entre otros hasta el momento me funciona bastante bien, como ahora google a implementado la política de dar mejor posicionamiento a sitios que tengan un certificado ssl https, pues la mayoría de sitios ahora ya cuentan con uno, como saben squid no filtra sitios https por ende se vuelve una tarea más compleja agregar sitio por sitio en iptables para este bloqueo ya que en sitios normales solo se crea un archivo con ciertos nombres por ejemplo radio y todo lo que este relacionado con eso en la navegación del usuario es bloqueado, de pronto saben si squid ya tiene alguna versión que permita filtrar sitios https sin tener que usar iptables para este fin u alguna otra herramienta o sugerencia personal que me pueda ayudar con esto. Agradezco a todos quienes puedan ayudarme con este tema -- |Saludos Cordiales |César Martínez M. | Ingeniero de Sistemas |Consultor & Proyectos Software Libre| SERVICOM |Tel: (593-2)554-271 2221-386 | Ext 4501 |Celular:(593 999374317 |Skype servicomecuador |Web www.servicomecuador.com Síguenos en: |Twitter: @servicomecuador |Facebook: servicomec |Zona Clientes: www.servicomecuador.com/billing |Blog: http://servicomecuador.com/blog |Dir. Av. 10 de Agosto N29-140 Entre |Acuña y Cuero y Caicedo |Quito - Ecuador - Sudamérica ___ CentOS-es mailing list CentOS-es@centos.org https://lists.centos.org/mailman/listinfo/centos-es
