Re: Squid + Turtle firewall + red windows
Seguro que es tu firewall ipatables el que deja pasar la conexion conexion HTTPS en forma directa, mediante un FORWARD -j ACCEPT o algo similar. Supongo que es una mala idea que al redirijir conexiones SSL/HTTPS hacia un proxy Port cualquiera este pueda desencriptar un paquete encriptado por algoritmos utra seguros, crear una nueva conexion con el servidor final y trabajar transparentemente en el medio como si nada pasara. En principio suena un poco peligroso desde el punto de vista de seguridad, no obstante no creo que sea imposible, quizas creando certificados publicos y privados e instalandolos en Squid este pueda manejar estra tremenda tarea de desencriptar y re-encriptar con el host de destino... no se si una maquina chica aguante tal operacion sin que le salga humito a la cpu y relentice la conexion. Saludos, = Miguel Oyarzo O. ICT Network Engineer Melbourne, Australia miguelaus...@gmail.com Linux User: # 483188 - counter.li.org = On 12/05/2011 3:49 AM, Alpha Beta wrote: Yo hago la siguiente prueba... Configuro el browser para que siempre salga por el proxy. Luego le pido al browser que me pida autenticacion de usuario. Si no le entrego los datos de autenticacion (user pass) el browser me entrega el tipico error de autenticacion (acces denied). Sobre la misma pantalla digito la direccion httpS://www.facebook.com y el navegador la encuentra Entiendo que el que me responde es el FW no el proxy. ¿o me equivoco? ABH. El 11 de mayo de 2011 12:50, Marcos Ramirezmramir...@sanidadnaval.clescribió: On Wed, 2011-05-11 at 11:47 -0400, Alpha Beta wrote: Tengo en un servidor *SuSE 9.3* + squid 2.5 transparente y Turtle firewall [...] Se me presentó el problema que no logro bloquear facebook por el puerto 443, osea httpS://www.facebook.com. Segun lo que he leido, solo tengo la opcion de bloquearlo por ip a traves del FW. REJECT tcp(443) mh7-net -- fcbook5 [...] REJECT tcp(443) mh7-net -- fcbook3 Donde mh7-net es la ip de mi red interna (lan) Y fcbook..n contiene las ips publicas de facebook (son varias) Aqui viene lo extraño... si el usuario quita la configuracion del proxy en la opciones del navegador el FW lo bloquea... pero si deja la configuracion en el navegador la pagina si la carga. Por supuesto! Cuando actua el proxy transparente, la conexion del browser se redirije del puerto 443 al proxy, por lo que actua el firewall. Cuando configura el browser para que use el proxy, la conexion cliente - servidor se realiza /siempre/ a traves del proxy por lo que el fw jamas detecta la conexion por el puerto 443. En resumen, no sacas mucho con bloquear en el fw, sino que deberias hacerlo en la configuracion del squid (acl deny). atte.
Re: Squid + Turtle firewall + red windows
On Wed, 2011-05-11 at 13:49 -0400, Alpha Beta wrote: Yo hago la siguiente prueba... Configuro el browser para que siempre salga por el proxy. Luego le pido al ^ browser que me pida autenticacion de usuario. Si no le entrego los datos de autenticacion (user pass) el browser me entrega el tipico error de autenticacion (acces denied). Sobre la misma pantalla digito la direccion httpS://www.facebook.com y el navegador la encuentra Entiendo que el que me responde es el FW no el proxy. ¿o me equivoco? Si configuraste tu browser para que siempre use el proxy, no hay forma en que se este conectando en forma directa al sitio. Estas seguro que el acceso a facebook esta cerrado en el proxy? Es perfectamente posible que squid te pida usuario/pass para algunas paginas y para otras, no. atte. -- Marcos Ramirez mramir...@armada.cl Documento PUBLICO
Re: Squid + Turtle firewall + red windows
On Wed, 11 May 2011 12:30:06 -0400, Andres Ovalle Gahona aova...@debianchile.cl wrote: El 11 de mayo de 2011 11:47, Alpha Beta alpha1...@gmail.com escribió: Señores: Tengo en un servidor *SuSE 9.3* + squid 2.5 transparente y Turtle firewall que desconosco. Los paramentros del firewall se configuran solos en todos los navegadores de mi red Windows (AD) Se me presentó el problema que no logro bloquear facebook por el puerto 443, osea httpS://www.facebook.com. Segun lo que he leido, solo tengo la opcion de bloquearlo por ip a traves del FW. La regla que creé es algo asi... REJECT tcp(443) mh7-net -- fcbook5 REJECT tcp(443) mh7-net -- fcbook2 REJECT tcp(443) mh7-net -- fcbook6 REJECT tcp(443) mh7-net -- fcbook4 REJECT tcp(443) mh7-net -- fcbook7 REJECT tcp(443) mh7-net -- fcbook REJECT tcp(443) mh7-net -- fcbook3 Donde mh7-net es la ip de mi red interna (lan) Y fcbook..n contiene las ips publicas de facebook (son varias) Aqui viene lo extraño... si el usuario quita la configuracion del proxy en la opciones del navegador el FW lo bloquea... pero si deja la configuracion en el navegador la pagina si la carga. Lei por otro lado que hiciera un redirect... pero no entiendo porque como regla de fw no funciona. entonces no entiendo, alguna idea? Partiria diciéndote que facebook tiene una infinidad de bloques asignados a sus servidores, es imposible o casi imposible bloquearlo por medio de la IP. Por lo que nombas tu proxy es mediante autentificacion o autopac, y lo que hablas es hacer un proxy transparante, o sea redirecionar todo el trafico al puerto del proxy 3128. Si fuera asi podrias agregar solamente un squidguard y bloquear con un diccionario de palabras, te seria mucho mas util. Slds! Estimado: Luego de tener un problema similar, le comento lo siguiente: - Es posible bloquear por proxy a Facebook , pero solo por el puerto 80 obviamente. - Para bloquear duramente a facebook , tendrías que bloquear las peticiones por HTTPS con iptables y lo mejor es ocupar los bloques de ip's que facebook tiene publicados. La siguiente solución me funciona perfecto. La variable facebook_allow son las ips que obviamente permites , tambien abajo puedes bloquear las peticiones al --dport 80 , pero generalmente el bloqueo lo hago por squid. FACEBOOK_ALLOW=192.168.1.12 192.168.1.14 iptables -N FACEBOOK iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range 66.220.144.0-66.220.159.255 --dport 443 -j FACEBOOK iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range 69.63.176.0-69.63.191.255 --dport 443 -j FACEBOOK iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range 204.15.20.0-204.15.23.255 --dport 443 -j FACEBOOK ## FACEBOOK ALLOW for face in $FACEBOOK_ALLOW; do iptables -A FACEBOOK -s $face -j ACCEPT done iptables -A FACEBOOK -j Ojalá te sirva. Saludos. -- Héctor Gatica Megias. Consultor Debian GNU/Linux Tel : 41-2890134 Móvil: 9-8457297
Re: Squid + Turtle firewall + red windows
El 11 de mayo de 2011 11:47, Alpha Beta alpha1...@gmail.com escribió: Señores: Tengo en un servidor *SuSE 9.3* + squid 2.5 transparente y Turtle firewall que desconosco. Los paramentros del firewall se configuran solos en todos los navegadores de mi red Windows (AD) Se me presentó el problema que no logro bloquear facebook por el puerto 443, osea httpS://www.facebook.com. Segun lo que he leido, solo tengo la opcion de bloquearlo por ip a traves del FW. La regla que creé es algo asi... REJECT tcp(443) mh7-net -- fcbook5 REJECT tcp(443) mh7-net -- fcbook2 REJECT tcp(443) mh7-net -- fcbook6 REJECT tcp(443) mh7-net -- fcbook4 REJECT tcp(443) mh7-net -- fcbook7 REJECT tcp(443) mh7-net -- fcbook REJECT tcp(443) mh7-net -- fcbook3 Donde mh7-net es la ip de mi red interna (lan) Y fcbook..n contiene las ips publicas de facebook (son varias) Aqui viene lo extraño... si el usuario quita la configuracion del proxy en la opciones del navegador el FW lo bloquea... pero si deja la configuracion en el navegador la pagina si la carga. Lei por otro lado que hiciera un redirect... pero no entiendo porque como regla de fw no funciona. entonces no entiendo, alguna idea? Partiria diciéndote que facebook tiene una infinidad de bloques asignados a sus servidores, es imposible o casi imposible bloquearlo por medio de la IP. Por lo que nombas tu proxy es mediante autentificacion o autopac, y lo que hablas es hacer un proxy transparante, o sea redirecionar todo el trafico al puerto del proxy 3128. Si fuera asi podrias agregar solamente un squidguard y bloquear con un diccionario de palabras, te seria mucho mas util. Slds! -- Andrés Esteban. Ovalle Gahona (kill-9) Ingeniero (E) Computación e Informática Administrador de Sistemas Acepta.com S.A. www.acepta.com Staff DebianChile.cl www.debianchile.cl Movil: 09-5795880 Usuario Linux #456290 (counter.li.org)
Re: Squid + Turtle firewall + red windows
Yo hago la siguiente prueba... Configuro el browser para que siempre salga por el proxy. Luego le pido al browser que me pida autenticacion de usuario. Si no le entrego los datos de autenticacion (user pass) el browser me entrega el tipico error de autenticacion (acces denied). Sobre la misma pantalla digito la direccion httpS://www.facebook.com y el navegador la encuentra Entiendo que el que me responde es el FW no el proxy. ¿o me equivoco? ABH. El 11 de mayo de 2011 12:50, Marcos Ramirez mramir...@sanidadnaval.clescribió: On Wed, 2011-05-11 at 11:47 -0400, Alpha Beta wrote: Tengo en un servidor *SuSE 9.3* + squid 2.5 transparente y Turtle firewall [...] Se me presentó el problema que no logro bloquear facebook por el puerto 443, osea httpS://www.facebook.com. Segun lo que he leido, solo tengo la opcion de bloquearlo por ip a traves del FW. REJECT tcp(443) mh7-net -- fcbook5 [...] REJECT tcp(443) mh7-net -- fcbook3 Donde mh7-net es la ip de mi red interna (lan) Y fcbook..n contiene las ips publicas de facebook (son varias) Aqui viene lo extraño... si el usuario quita la configuracion del proxy en la opciones del navegador el FW lo bloquea... pero si deja la configuracion en el navegador la pagina si la carga. Por supuesto! Cuando actua el proxy transparente, la conexion del browser se redirije del puerto 443 al proxy, por lo que actua el firewall. Cuando configura el browser para que use el proxy, la conexion cliente - servidor se realiza /siempre/ a traves del proxy por lo que el fw jamas detecta la conexion por el puerto 443. En resumen, no sacas mucho con bloquear en el fw, sino que deberias hacerlo en la configuracion del squid (acl deny). atte.
Re: Squid + Turtle firewall + red windows
Quizá sea una opción de bloqueo sea usar blackhole dns - Reply message - De: Alpha Beta alpha1...@gmail.com Fecha: mié, may 11, 2011 1:49 p.m. Asunto: Squid + Turtle firewall + red windows Para: linux@listas.inf.utfsm.cl Yo hago la siguiente prueba... Configuro el browser para que siempre salga por el proxy. Luego le pido al browser que me pida autenticacion de usuario. Si no le entrego los datos de autenticacion (user pass) el browser me entrega el tipico error de autenticacion (acces denied). Sobre la misma pantalla digito la direccion httpS://www.facebook.com y el navegador la encuentra Entiendo que el que me responde es el FW no el proxy. ¿o me equivoco? ABH. El 11 de mayo de 2011 12:50, Marcos Ramirez mramir...@sanidadnaval.clescribió: On Wed, 2011-05-11 at 11:47 -0400, Alpha Beta wrote: Tengo en un servidor *SuSE 9.3* + squid 2.5 transparente y Turtle firewall [...] Se me presentó el problema que no logro bloquear facebook por el puerto 443, osea httpS://www.facebook.com. Segun lo que he leido, solo tengo la opcion de bloquearlo por ip a traves del FW. REJECT tcp(443) mh7-net -- fcbook5 [...] REJECT tcp(443) mh7-net -- fcbook3 Donde mh7-net es la ip de mi red interna (lan) Y fcbook..n contiene las ips publicas de facebook (son varias) Aqui viene lo extraño... si el usuario quita la configuracion del proxy en la opciones del navegador el FW lo bloquea... pero si deja la configuracion en el navegador la pagina si la carga. Por supuesto! Cuando actua el proxy transparente, la conexion del browser se redirije del puerto 443 al proxy, por lo que actua el firewall. Cuando configura el browser para que use el proxy, la conexion cliente - servidor se realiza /siempre/ a traves del proxy por lo que el fw jamas detecta la conexion por el puerto 443. En resumen, no sacas mucho con bloquear en el fw, sino que deberias hacerlo en la configuracion del squid (acl deny). atte.
