No se compliquen, no podrán hacer proxy transparente de conexiones seguras. Lo mejor es que cada usuario tenga configurado el uso de proxy en su navegador o convivir con la idea de aperturar el puerto 443 a través de reglas de Firewall.
2011/1/20 <[email protected]>: > Holas, > Yo pienso lo que propone Raul es exactamente lo que se debe hacer. > > Un proxy cache –> redirection del puerto 80 al puerto 3128. > un proxy cache o proxy web como se le llama comunmente tiene que ser > configurado en cada browser. > > Como hacerlo transparente (Proxy transparente) es decir sin necesidad de > configurar cada browser de los usuarios, pues bien un buen metodo es > utilizar IPtables se puede hacer esto tambien en el router es decir toda > pedido de conección al puerto 80 en la red es forwardeado (permitanme el > termino) al ip de lamaquina proxy y al puerto 3128 de la misma. > > La idea de usar en el proxy una acl con un archivo y expresiones regulares > para las paginas que se desea bloquear es perfecta puesto que se deja > abierto el puerto 443 que es usado por muchas paginas para securizar el > acesso a estas. > > Bloquear SSL por un proxy no me parece buena idea personalmente. > > Saludos > Renzo RODRIGUEZ > > > ======================================== > > Message du : 20/01/2011 > De : "Anthony Mogrovejo " <[email protected]> > A : [email protected] > Copie à : > Sujet : Re: [l-plug] Squid Filtrar SSL > > > Estimado Alberto, lo que Ud tiene es un proxy normal standar, no es un proxy > transparente. > Carlos +1 > Sls > > El 19 de enero de 2011 20:09, Carlos Enrique Chambi Núñez > <[email protected]> escribió: >> >> Estimado Raul, si no cierras el 443 , simplemente no puedes filtrar, >> lo unico q podrias hacer es crear blacklist de IPs publicas de los >> dominios que no necesitas >> >> El 19/01/11, Alberto Pariona Llanos <[email protected]> escribió: >> > >> > Hola Raúl: >> > >> > Soy profesor de la Institución Educativa Nº 3092 Kumamoto I en Puente >> > Piedra, yo usio Squid en el server de mi IE opara filtrar paginas de >> > contenido no educativas aqui te dejo las lineas de mi archivo squid.conf >> > Primeramente despues de instalar Squid >> > >> > >> > Creamos el archivo bloqueados donde colocaremos palabras que serán >> > filtradas >> > por Squid (ejm: hi5, games, juegos, musica, sonico, facebook, etc) las >> > coloco una de bajo de otra sin comas. >> > >> > sudo gedit /etc/squid/bloqueados >> > >> > Para Editar el archivo squid.conf, ejecutamos en el terminal lo >> > siguiente: >> > >> > sudo gedit /etc/squid/squid.conf >> > >> > y escribimos en el archivo lo siguiente: >> > >> > http_port 3128 >> > cache_mem 128 MB >> > cache_dir ufs /var/spool/squid 2000 16 256 >> > minimum_object_size 5 KB >> > maximum_object_size 50960 KB >> > acl all src 0.0.0.0/0.0.0.0 >> > acl manager proto cache_object >> > acl localhost src 127.0.0.1/255.255.255.255 >> > acl SSL_ports port 443 563 >> > acl Safe_ports port 80 # http >> > acl Safe_ports port 21 # ftp >> > acl Safe_ports port 443 563 # https, snews >> > acl Safe_ports port 80 # http >> > acl Safe_ports port 21 # ftp >> > acl Safe_ports port 443 563 # https, snews >> > acl Safe_ports port 70 # gopher >> > acl Safe_ports port 210 # wais >> > acl Safe_ports port 1025-65535 # unregistered ports >> > acl Safe_ports port 280 # http-mgmt >> > acl Safe_ports port 488 # gss-http >> > acl Safe_ports port 591 # filemaker >> > acl Safe_ports port 777 # multiling http >> > acl Safe_ports port 901 # SWAT >> > acl purge method PURGE >> > acl CONNECT method CONNECT >> > acl digete src 192.168.0.0/255.255.0.0 >> > acl bloqueados url_regex "/etc/squid/bloqueados" >> > >> > http_access allow localhost >> > http_access deny bloqueados >> > http_access allow digete >> > http_access deny all >> > >> > cache_mgr [email protected] >> > >> > cd /etc/squid >> > rm -rf errors >> > ln -s /usr/lib/squid/errors/Spanish errors >> > iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT >> > --to-port 3128 >> > >> > >> > y guardamos el archivo, luego lo cerramos. >> > >> > Y ya se filtran las paginas cuyo titulo de pagina tengan las palabras >> > que >> > inclui en el archivo BLOQUEADOS (hi5, sonico, etc) >> > Esta configuración la he usado en varias IIEE y funciona OK, si algun >> > docente encargado del AIP de la lista lo puede usar para configurar su >> > server. >> > Como ven en las lineas tambien uso el Squid como cache para las >> > actualizaciones de UBUNTU en las estaciones. >> > >> > >> > >> > Cordialmente, >> > >> > ___________________________________ >> > Lic. Alberto Pariona Llanos >> > DAIP I.E. Nº 3092 - Kumamoto I - Puente Piedra >> > Administrador de Recursos Usa TIC PERÚ >> > WEB: http://www.usaticperu.org >> > Correo: [email protected] >> > MSN: [email protected] >> > Teléfono: 623-5840 >> > Celular: 997040383 (CLARO) >> > Skype: beto3092 >> > >> > >> > >> > >> > >> > >> > >> > Date: Wed, 19 Jan 2011 15:02:55 -0500 >> > From: [email protected] >> > To: [email protected] >> > Subject: [l-plug] Squid Filtrar SSL >> > >> > Estimados, >> > >> > Espero me puedan ayudar, tengo implementado en un solo servidor >> > shorewall, >> > Squid y OpenVPN. Todo funciona bien, el Squid esta trabajando en modo >> > transparente. Lo que no he podido lograr es como filtrar paginas en >> > https >> > por ejemplo he podido filtrar http://www.facebook.com con expresiones >> > regulares pero si el usuario escribe https://www.facebook.com si puede >> > accedeer. Algunos mencionan que no se puede filtrar https en squid. Si >> > fuese >> > asi, que es lo que podria hacer para solucionar esto. >> > >> > Espero sus comentarios, gracias de antemano. >> > >> > Saludos Cordiales, >> > Raúl Diaz >> > >> > >> > _______________________________________________ Lista de correo >> > Linux-plug >> > Tem�tica: Discusi�n general sobre Linux Peruvian Linux User Group >> > (http://www.linux.org.pe) Participa suscribi�ndote y escribiendo a: >> > [email protected] Para darte de alta, de baja o hacer ajustes a tu >> > suscripci�n visita: http://voip2.voip.net.pe/mailman/listinfo/linux-plug >> > IMPORTANTE: Reglas y recomendaciones >> > http://www.linux.org.pe/listas/reglas.php >> > http://www.linux.org.pe/listas/comportamiento.php >> > http://www.linux.org.pe/listas/recomendaciones.php >> >> -- >> Enviado desde mi dispositivo móvil >> >> Cel: 511-993000290 >> Twitter: @ctcda6v >> Blog : http://carlos.atomixgames.net >> LUG : http://www.utpinux.org >> Linux User ID : 394971 >> _______________________________________________ >> Lista de correo Linux-plug >> Temática: Discusión general sobre Linux >> Peruvian Linux User Group (http://www.linux.org.pe) >> >> Participa suscribiéndote y escribiendo a: [email protected] >> Para darte de alta, de baja o hacer ajustes a tu suscripción visita: >> http://voip2.voip.net.pe/mailman/listinfo/linux-plug >> >> IMPORTANTE: Reglas y recomendaciones >> http://www.linux.org.pe/listas/reglas.php >> http://www.linux.org.pe/listas/comportamiento.php >> http://www.linux.org.pe/listas/recomendaciones.php > > > -- > Anthony Mogrovejo > cel 01-995319333 > Consultor IT > Linux User # 433253 > Ubuntu User # 9562 > www.anferinux.blogspot.com > twitter: @kde_tony > ------------------------------------ > > > _______________________________________________ > Lista de correo Linux-plug > Temática: Discusión general sobre Linux > Peruvian Linux User Group (http://www.linux.org.pe) > > Participa suscribiéndote y escribiendo a: [email protected] > Para darte de alta, de baja o hacer ajustes a tu suscripción visita: > http://voip2.voip.net.pe/mailman/listinfo/linux-plug > > IMPORTANTE: Reglas y recomendaciones > http://www.linux.org.pe/listas/reglas.php > http://www.linux.org.pe/listas/comportamiento.php > http://www.linux.org.pe/listas/recomendaciones.php > _______________________________________________ Lista de correo Linux-plug Temática: Discusión general sobre Linux Peruvian Linux User Group (http://www.linux.org.pe) Participa suscribiéndote y escribiendo a: [email protected] Para darte de alta, de baja o hacer ajustes a tu suscripción visita: http://voip2.voip.net.pe/mailman/listinfo/linux-plug IMPORTANTE: Reglas y recomendaciones http://www.linux.org.pe/listas/reglas.php http://www.linux.org.pe/listas/comportamiento.php http://www.linux.org.pe/listas/recomendaciones.php
