Re: iptables - facebook
El Sun, 06 Jan 2013 16:05:58 -0600, Francisco Eduardo Ascencio Dominguez
escribió:
Francisco, tus correos siguen saliendo con formato html, deberías
corregir eso porque se leen muy mal :-(
> Hola resulta que en el servidor transparente tengo squid y dansguardian
Vale, pero mejor si respondes en el mismo hilo que has abierto (bueno, en
alguno de ellos), porque si no vas a marear la perdiz. Si has ido
haciendo pruebas y añadiendo configuraciones, perfecto, pero sigue siendo
el mismo asunto y deberías responder en el mismo hilo que has abierto
porque así facilitas las cosas a los que te responden (que pueden hacer
un mejor seguimiento de tus nuevas adiciones) y a los que vienen detrás
(a los que le puede interesar las soluciones que has implementado).
> y aun no logro bloquear paginas https ok mi idea es esta bloquear con
> iptables todo el puerto 443 y permitir a allgunas paginas navegar por el
> puerto 443 por ejemplo google.
Hum... No sé hasta que punto dansguardian te va a permitir filtrar el
tráfico cifrado usando un proxy transparente. Con Squid sí que puedes
activarlo (ya te di algunas indicaciones) pero con este tipo de
aplicaciones no estoy tan segura de que se aposible, tendría que leer la
documentación.
> MIs reglas de iptables son
>
> #Redireccionar al puerto 8080 - dansguardian
> ebtables -t broute -A BROUTING -p IPv4 --ip-protocol 6 --ip-destination-port 80 -j redirect --redirect-target ACCEPT iptables -t nat -A PREROUTING -i br0 -p tcp --dport 80 \-j REDIRECT --to-port 8080
>
> # BLoquear todo eel trafico del puerto 443
> iptables -A FORWARD -i br0 -p tcp --dport 443 -j DROP
>
> #Maquinas con libre acceso por mac.
> MAC_PERMITIDAS=$(egrep -v -E "^#|^$" /home/mac_permitidas)
> for mac_permi in $MAC_PERMITIDAS
> do
> iptables -I FORWARD -m tcp -p tcp -m mac --mac-source $mac_permi --dport 443 -j ACCEPT
> done
¿Y esto dices que te funciona? :-?
> y ahora quisiera preguntarles como acepto las peticiones de
> https://www.google.com ??
Pues me temo que tendrás que "ajustar" la regla de iptables que rechaza
indiscriminadamente todas las conexiones al puerto 443 (p. ej.,
delimitando/discriminando por IP), sino va a ser imposible que te funcione. Pero
repito, creo que este no es el mejor sistema para hacerlo.
Saludos,
--
Camaleón
Reply to: