 Autor
|
Tema: IPCop: Bloquear HTTPS con discriminacion (Leído 17,357 veces)
|
[u]nsigned
 Desconectado
Mensajes: 2.397
JS/Node developer
|
Hola, en mi trabajo se me ha pedido que configure un proxy-router para bloquear ciertas paginas web. El mismo es el gateway de toda la lan.
El problema es bloquear tambien la navegacion segura con HTTPS (por ejemplo Facebook). Se que hay una solucion con IPTABLES, pero por desgracia la misma se aplica a toda la RED y lo que yo necesito es que se puedan discriminar algunas IP, es decir que algunos usuarios si puedan entrar y otros no...alguien sabe si esto es posible con IPCop?
Uso la version 1.4.21 dado que con la 2.x hay muchos problemas para instalar add-os tales como URL filter.
MUchas gracias por leer!
Saludos
|
|
|
|
|
En línea
|
No hay atajo ante la duda, el misterio se hace aquí... Se hace carne en cada uno, el misterio es existir!  |
|
|
alister
Desconectado
Mensajes: 513
|
iptables tiene targets para eso!
no todos los selectores consisten en el protocolo, puedes combinar varios selectores de protocolo con selectores de rangos de ips para conseguir lo que quieras.
el objetivo en si mismo no es un reto en absoluto. el reto aqui es comprender como funciona iptables si eres nuevo en su utilizacion, cosa que ya quedaria fuera del tema de este hilo.
|
|
|
|
|
En línea
|
Back 2 business!
|
|
|
[u]nsigned
Desconectado
Mensajes: 2.397
JS/Node developer
|
Gracias por responder. El tema es que quiero ahcerlo con algo mas sofisticado, porque dia por medio me van a ir pidiendo agregar o sacar IP's y no da andar tocando tanto las reglas de iptables, por eso queria saber si existe algun add-ons o directamente alguna distro capas de ahcer esto...SME Server ya lo prove y tampoco me sirve..
Saludos
|
|
|
|
|
En línea
|
No hay atajo ante la duda, el misterio se hace aquí... Se hace carne en cada uno, el misterio es existir! |
|
|
alister
Desconectado
Mensajes: 513
|
Gracias por responder. El tema es que quiero ahcerlo con algo mas sofisticado, porque dia por medio me van a ir pidiendo agregar o sacar IP's y no da andar tocando tanto las reglas de iptables, por eso queria saber si existe algun add-ons o directamente alguna distro capas de ahcer esto...SME Server ya lo prove y tampoco me sirve..
Saludos
yo en tu lugar, y dado que te piden proxy (doy por sentado que vas a usar squid), buscaria en la documentación de squid como añadir listas negras, que no es una cosa muy ompleja y permite cambiarse con frecuencia y sin tanta complejidad como iptables. como lo ves?
|
|
|
|
|
En línea
|
Back 2 business!
|
|
|
|
el-brujo
|
la única manera de hacerlo es por la resolución de las dns. Es lógico que ipcop (o cualquier otro sistema) no pueda filtrar https, puesto que va cifrado y no ve lo que hay, y si no lo veo no lo puedo filtrar. Pero cuando entras a https://facebook.com haces igualmente una petición dns para resolver el dominio facebook, así que en el servidor dónde esté instalado ipcop y añades una entrada al /etc/hosts Fichero archivo HOSTS en LinuxLógicamente las dns del los clientes deben usra el servidor ipcop, si usan sus propias dns entonces se podrán saltar el filtro. También puedes crear una regla para bloquear todo el tráfico https, pero entonces tampoco podrán entrar a bancos, etc. También podráis bloquear por las ips que usa facebook, pero recuerda que usa varias y seguramente irá añadiendo: 66.220.144.0 - 66.220.159.255 69.63.176.0 - 69.63.191.255 69.171.224.0 - 69.171.255.255 204.15.20.0 - 204.15.23.255 66.220.144.0/20 69.171.224.0/20 204.15.20/22 69.63.176.0/20, 69.63.184.0/21, 204.15.20.0/22, 204.74.66.0/24, 204.74.67.0/24, 66.220.152.0/19 http://bgp.he.net/dns/facebook.com#_ipinfohttp://whois.arin.net/rest/net/NET-173-252-64-0-1/pft¿Usas algún Addon? Mira algunos de los addons de IpCop: http://sourceforge.net/apps/trac/ipcop/wiki/Addons |
|
|
|
« Última modificación: 25 Enero 2013, 18:42 pm por el-brujo »
|
En línea
|
|
|
|
alister
Desconectado
Mensajes: 513
|
la única manera de hacerlo es por la resolución de las dns.
Es lógico que ipcop (o cualquier otro sistema) no pueda filtrar https, puesto que va cifrado y no ve lo que hay, y si no lo veo no lo puedo filtrar.
hombre, iptables, puerto de destino 443... drop ... y ya haces algo bastante apañao! y de todos modos si la capa SSL esta encima de la TCP, podemos discriminar el trafico por destino! ¿no?
|
|
|
|
« Última modificación: 25 Enero 2013, 18:32 pm por alist3r »
|
En línea
|
Back 2 business!
|
|
|
|
el-brujo
|
si, pero bloquear todo el tráfico https no es la solución, si luego quierer entrar a un banco o cualquier otro sitio que use https no podrá.
La única manera de filtrar https es bloquear por dns, o bloquear por ip, o si usas algún addon que filtre por categorías de webs (pero filtran también por dns).
|
|
|
|
|
En línea
|
|
|
|
alister
Desconectado
Mensajes: 513
|
si, pero bloquear todo el tráfico https no es la solución, si luego quierer entrar a un banco o cualquier otro sitio que use https no podrá.
La única manera de filtrar https es bloquear por dns, o bloquear por ip, o si usas algún addon que filtre por categorías de webs (pero filtran también por dns).
si, tienes razon. si va a usar un proxy cache, configurar una buena listita negra no es tan dificil, y es lo que vengo diciendo desde el principio. yo apostaria por esa solucion. PD: los rangos de IP de facebook enteros: 66.220.144.0 - 66.220.159.255 69.63.176.0 - 69.63.191.255 204.15.20.0 - 204.15.23.255
|
|
|
|
« Última modificación: 25 Enero 2013, 18:55 pm por alist3r »
|
En línea
|
Back 2 business!
|
|
|
|
| Mensajes similares |
|
Asunto |
Iniciado por |
Respuestas |
Vistas |
Último mensaje |
|
|
|
bloquear puertos con IPCOP
GNU/Linux
|
pedraxito
|
5
|
7,358
|
12 Enero 2015, 16:00 pm
por dperez_admin
|
|
|
|
IPCop 2.0.0 anunciado
Noticias
|
wolfbcn
|
0
|
2,650
|
24 Septiembre 2011, 23:31 pm
por wolfbcn
|
|
|
y mi post? DISCRIMINACION ABSURDA..
Sugerencias y dudas sobre el Foro
|
franquito2
|
9
|
6,307
|
21 Febrero 2014, 01:29 am
por xaps
|
|
|
|
#WeAreN, el hashtag contra la discriminación religiosa
Noticias
|
wolfbcn
|
0
|
1,448
|
5 Agosto 2014, 02:24 am
por wolfbcn
|
|
|
|
CV ciego: ¿Una medida capaz de acabar con la discriminación laboral?
« 1 2 »
Foro Libre
|
El_Andaluz
|
10
|
6,264
|
18 Julio 2017, 08:56 am
por buite
|
 |
