Yo crería que solucionaron este problema con lo que le envié a pesar que no hemos recibido un agradecimiento, tampoco se ha comentado que continua con el problema
Cordialmente César Martínez Mora Ingeniero de Sistemas SERVICOM User Linux 494131 Números Convencionales 02-2554-271 02-2221-386 Extensión 4501 Móvil 09-99374-317 Usa (315) 519-7220 Email & Msn [email protected] Skype servicomecuador Web www.servicomecuador.com Síguenos en Twitter: http://twitter.com/servicomecuador Facebook: http://www.facebook.com/servicomec Zona Clientes: www.servicomecuador.com/billing Blog: http://servicomecuador.com/blog Dir. Av. 10 de Agosto N29-140 Entre Acuña y Cuero y Caicedo Edificio Vivanco Castillo 2do. Piso Oficina 201 Quito - Ecuador - Sudamérica ================================================= Cláusula de Confidencialidad La información contenida en este e-mail es confidencial y solo puede ser utilizada por la persona a la cual esta dirigida.Si Usted no es el receptor autorizado, cualquier retención, difusión, distribución o copia de este mensaje es prohibida y sancionada por la ley. Si por error recibe este mensaje, por favor reenviarlo al remitente y borre el mensaje recibido inmediatamente. ================================================= El 15/11/13 19:08, David González Romero escribió: > Bueno yo lo tengo implementado en mi red, claro yo no uso proxy > transparente. > > Como lo hice > > En squid.conf > > Siempre están estas líneas: > acl SSL_ports port 443 > acl Safe_ports port 80 # http > acl Safe_ports port 21 # ftp > acl Safe_ports port 443 # https > acl Safe_ports port 70 # gopher > acl Safe_ports port 210 # wais > acl Safe_ports port 1025-65535 # unregistered ports > acl Safe_ports port 280 # http-mgmt > acl Safe_ports port 488 # gss-http > acl Safe_ports port 591 # filemaker > acl Safe_ports port 777 # multiling http > acl CONNECT method CONNECT > > Luego de estas ACL están las reglas en si: > # Deny requests to certain unsafe ports > #http_access deny !Safe_ports > http_access allow Safe_ports > > # Deny CONNECT to other than secure SSL ports > http_access deny CONNECT !SSL_ports > > Bien el código que envié antes funciona perfectamente quedando de esta > forma: > --------------------------------------------------------------------------------------------------------- > ##Por problemas de Dengacion de Redes Sociales se pasa a este nivel la > denegacion de FB y demas > acl redes-soc url_regex -i "/etc/squid/redes-soc" > acl extenciones url_regex "/etc/squid/extenciones" > http_reply_access deny redes-soc localnet > http_access deny CONNECT redes-soc localnet > http_access allow localnet > > # Deny requests to certain unsafe ports > #http_access deny !Safe_ports > http_access allow Safe_ports > > # Deny CONNECT to other than secure SSL ports > http_access deny CONNECT !SSL_ports > --------------------------------------------------------------------------------------------------------- > Dentro de /etc/squid/redes-soc tengo > facebook.com > twitter.com > hi5.com > > Te puedo asegurar que funciona 100% con reclamos de los clientes incluidos > al ser implementada la regla. Eso si y repito mi servidor no es un proxy > transparente. Pero no tuve que hacer adsolutamente más nada en iptables o > similares. > > Ahh!!! Google, Yahoo y comapñias https entran super bien. > > Saludos, > David > > > > > El 6 de noviembre de 2013 19:58, Ignacio Ordeñana > <[email protected]>escribió: > >> hola david no funciona ya la probe en su momento en proxy transparente >> >> saludos >> >> >> El 6 de noviembre de 2013 12:50, David González Romero >> <[email protected]>escribió: >> >>> Esta es una opción 100% Squid, probada por mi y funciona super bien >>> >>> >>> >> http://servercomputing.blogspot.com/2012/01/block-facebook-in-squid-proxy-server.html >>> Saludos, >>> David >>> >>> >>> El 5 de noviembre de 2013 12:42, Ignacio Ordeñana <[email protected] >>>> escribió: >>>> te envio un link de una perosna que tuvo ese mismo problema >>>> >>>> >>>> >> http://www.ecualug.org/?q=2011/02/10/forums/bloquear_https_de_facebook_en_ip_tables&page=3 >>>> saludos >>>> >>>> >>>> El 5 de noviembre de 2013 09:32, angel jauregui >>>> <[email protected]>escribió: >>>> >>>>> Se cumple la excepcion, y funcionaria no ? >>>>> >>>>> >>>>> El 5 de noviembre de 2013 09:25, Ignacio Ordeñana < >> [email protected] >>>>>> escribió: >>>>>> a mi parecer esa regla de iptables no te funcionara ya que primero >> la >>>>> estas >>>>>> permitiendo el acceso a una ip en particular luego le quitas >> acceso a >>>>> todo >>>>>> el segmento de red incluyendo la ip que le permites acceso. >>>>>> >>>>>> saludos >>>>>> >>>>>> >>>>>> El 5 de noviembre de 2013 08:34, angel jauregui >>>>>> <[email protected]>escribió: >>>>>> >>>>>>> @David asi tengo la denegacion tambien, pero si el usuario >> cambia a >>>>>> "https" >>>>>>> la pagina ya no es bloqueada, se brinca el filtro. >>>>>>> >>>>>>> Esto mas que nada porque en IPTables la regla indica que >> cualquier >>>> cosa >>>>>> que >>>>>>> va al 80 se rediriga al 3128 (puerto squid), y al cambiar a >> HTTPS, >>> ya >>>>> no >>>>>> se >>>>>>> aplica la regla. >>>>>>> >>>>>>> Ahora no puedo quitar el puerto https y forzar solo http, ya que >>>>> existen >>>>>>> paginas de gobierno que requieren https, y se me vendria el mundo >>>>> encima >>>>>>> :S. >>>>>>> >>>>>>> Estoy intentando con estas reglas, ustedes que opinan: >>>>>>> >>>>>>> *# dar acceso a facebook para una ip fija* >>>>>>> shell# iptables -A FORWARD -p tcp -s 10.1.0.10 -d >>> IP_CIDR_DEFACEBOOK >>>>> -j >>>>>>> ACCEPT >>>>>>> >>>>>>> *# quitar acceso facebook para cualquiera del segmento* >>>>>>> shell# iptables -A FORWARD -p tcp -s 10.1.0.0/24 -d >>>> IP_CIDR_DEFACEBOOK >>>>>> -j >>>>>>> REJECT >>>>>>> >>>>>>> Saludos ! >>>>>>> >>>>>>> >>>>>>> El 5 de noviembre de 2013 05:08, David González Romero >>>>>>> <[email protected]>escribió: >>>>>>> >>>>>>>> Tu has probado esta opción en Squid? >>>>>>>> >>>>>>>> acl denys url_regex "/etc/squid/denys" >>>>>>>> Donde >>>>>>>> /etc/squid/denys contiene: >>>>>>>> facebook >>>>>>>> twitter >>>>>>>> ..... >>>>>>>> Y luego >>>>>>>> http_access deny restric >>>>>>>> >>>>>>>> Al menos así me funciona a mi. >>>>>>>> >>>>>>>> >>>>>>>> Otra opcion sería comentar la línea "acl SSL_ports port 443" >> para >>>>>> evitar >>>>>>>> conexiones por el 443... >>>>>>>> >>>>>>>> >>>>>>>> >>>>>>>> >>>>>>>> Saludos, >>>>>>>> David >>>>>>>> >>>>>>>> >>>>>>>> >>>>>>>> El 4 de noviembre de 2013 18:47, angel jauregui >>>>>>>> <[email protected]>escribió: >>>>>>>> >>>>>>>>> Buenas. >>>>>>>>> >>>>>>>>> Estoy implementando limitaciones en la red, el objetivo es >>> quitar >>>>>>> acceso >>>>>>>> a >>>>>>>>> Redes Sociales, en primera instancia tengo SQUID que logra >>> tapar >>>> el >>>>>>>> acceso >>>>>>>>> a los sitios mediante http. >>>>>>>>> >>>>>>>>> El problema es que si los sitios tienes HTTPS, este es >>>>> accesible.... >>>>>>>>> En este caso http://facebook.com esta denegad por Squid. >>>>>>>>> Pero al poner https://facebook.com entra exitosamente. >>>>>>>>> >>>>>>>>> La unica ocurrencia que tuve es usar IPTABLES, asi que puse >>> esta >>>>>> regla >>>>>>>> que >>>>>>>>> me esta haceindo cumplir el objetivo "En parte": >>>>>>>>> >>>>>>>>> iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range >>>>>>>>> 173.252.64.0-173.252.127.255 -j REJECT >>>>>>>>> >>>>>>>>> Donde: 173.252.64.0-173.252.127.255 ---> es el rando CIDr de >>>>>> facebook. >>>>>>>>> El problema *ahora radica* en que no logro hacer que ciertas >>> IPs >>>>>>> Locales >>>>>>>>> (privilegiada - jefes) SI puedan acceder a redes sociales :S >> !. >>>>>>>>> Intente ANTEponiendo esta regla: >>>>>>>>> >>>>>>>>> iptables -I FORWARD *-s ip_del_jefe *-m tcp -p tcp -m iprange >>>>>>> --dst-range >>>>>>>>> 173.252.64.0-173.252.127.255 -j ACCEPT >>>>>>>>> >>>>>>>>> Pero aun asi, se sigue bloqueando el sitio :S.... >>>>>>>>> >>>>>>>>> *shell# iptables -L -n* >>>>>>>>> REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 >>> tcp >>>>>>>>> destination IP range 173.252.64.0-173.252.127.255 reject-with >>>>>>>>> icmp-port-unreachable >>>>>>>>> ACCEPT tcp -- 10.1.0.150 0.0.0.0/0 >>> tcp >>>>>>>>> destination IP range 173.252.64.0-173.252.127.255 >>>>>>>>> >>>>>>>>> -- >>>>>>>>> M.S.I. Angel Haniel Cantu Jauregui. >>>>>>>>> >>>>>>>>> Celular: (011-52-1)-899-871-17-22 >>>>>>>>> E-Mail: [email protected] >>>>>>>>> Web: http://www.sie-group.net/ >>>>>>>>> Cd. Reynosa Tamaulipas. >>>>>>>>> _______________________________________________ >>>>>>>>> CentOS-es mailing list >>>>>>>>> [email protected] >>>>>>>>> http://lists.centos.org/mailman/listinfo/centos-es >>>>>>>>> >>>>>>>> _______________________________________________ >>>>>>>> CentOS-es mailing list >>>>>>>> [email protected] >>>>>>>> http://lists.centos.org/mailman/listinfo/centos-es >>>>>>>> >>>>>>> >>>>>>> >>>>>>> -- >>>>>>> M.S.I. Angel Haniel Cantu Jauregui. >>>>>>> >>>>>>> Celular: (011-52-1)-899-871-17-22 >>>>>>> E-Mail: [email protected] >>>>>>> Web: http://www.sie-group.net/ >>>>>>> Cd. Reynosa Tamaulipas. >>>>>>> _______________________________________________ >>>>>>> CentOS-es mailing list >>>>>>> [email protected] >>>>>>> http://lists.centos.org/mailman/listinfo/centos-es >>>>>>> >>>>>> _______________________________________________ >>>>>> CentOS-es mailing list >>>>>> [email protected] >>>>>> http://lists.centos.org/mailman/listinfo/centos-es >>>>>> >>>>> >>>>> >>>>> -- >>>>> M.S.I. Angel Haniel Cantu Jauregui. >>>>> >>>>> Celular: (011-52-1)-899-871-17-22 >>>>> E-Mail: [email protected] >>>>> Web: http://www.sie-group.net/ >>>>> Cd. Reynosa Tamaulipas. >>>>> _______________________________________________ >>>>> CentOS-es mailing list >>>>> [email protected] >>>>> http://lists.centos.org/mailman/listinfo/centos-es >>>>> >>>> _______________________________________________ >>>> CentOS-es mailing list >>>> [email protected] >>>> http://lists.centos.org/mailman/listinfo/centos-es >>>> >>> _______________________________________________ >>> CentOS-es mailing list >>> [email protected] >>> http://lists.centos.org/mailman/listinfo/centos-es >>> >> _______________________________________________ >> CentOS-es mailing list >> [email protected] >> http://lists.centos.org/mailman/listinfo/centos-es >> > _______________________________________________ > CentOS-es mailing list > [email protected] > http://lists.centos.org/mailman/listinfo/centos-es > _______________________________________________ CentOS-es mailing list [email protected] http://lists.centos.org/mailman/listinfo/centos-es
