Re: Bloqueo de Sitio en Dansguardian

To: debian-user-spanish@lists.debian.org
Subject: Re: Bloqueo de Sitio en Dansguardian
From: Alberto <alberto@bersol.info>
Date: Wed, 04 Sep 2013 10:47:17 +0200
Message-id: <[🔎] 5226F395.3010402@bersol.info>
In-reply-to: <[🔎] 52266297.4040800@gmail.com>
References: <[🔎] 5224B04F.5010404@gmail.com> <[🔎] 52266297.4040800@gmail.com>

El 04/09/13 00:28, leos.listas@gmail.com escribió:
> On 02/09/13 12:35, leos.listas@gmail.com wrote:
>> Hola Grupo.
>>
>> Les consulto la siguiente situación:
>>
>> Tengo implementado un proxy con Debian/Squid/Dansguardian en donde
>> hasta hoy solo bloqueaba algunos sitios y para las IPs de la Gerencia
>> les configuraba en /etc/dansguardian/list/excepcioniplist sus IPs para
>> que los filtros del Dansguardian no los afecten.
>>
>> Ahora bien, me piden que bloquee el Facebook para todos, pero se me
>> presenta esta sitación:
>>
>> 1) Si bloqueo facebook para todos, las IPs que estan en
>> /etc/dansguardian/list/excepcioniplist podrían seguir ingresando.
>>
>> 2) Si quito a todos de /etc/dansguardian/list/excepcioniplist voy a
>> poder bloquear facebook pero estos usuarios de mayor privilegio
>> podrían tener eventualidades con noticias donde aparezca la palabra
>> sexo, drogas, violencia o cosas asi.
>>
>> Conclusión y pregunta:
>>
>> Es posible bloquear un determinado sitio (en este caso facebook) para
>> una determinada cantidad de usuarios (mediante sus direcciones IPs las
>> cuales conozco)?
>>
>> Muchas Gracias.
>>
>> Saludos.
>>
> Por si a alguien le sirve les comento que para poder filtrar el acceso
> https a Facebook tuve que utilizar la siguiente regla de iptables:
> 
> # iptables -I FORWARD -p tcp -m string --string "facebook" --algo bm -j
> DROP
> 
> Lo que no he podido lograr aún es establecer el rango de ips para el
> cual quiero establecer dicho filtro:
> 
> Esto es:
> 
> Si hago [1] la regla se aplica (osea puedo verla con iptables -nvL) pero
> no filtra el acceso, mientras que si lo hago a secas [2] si funciona.
> 
> Bueno, si alguien puede aportar alguna sugerencia desde ya muchas gracias!)
> 
> [1] # iptables -I FORWARD -p tcp -s 192.168.1.0/24 -m string --string
> "facebook" --algo bm -j DROP
> [2] # iptables -I FORWARD -p tcp -m string --string "facebook" --algo bm
> -j DROP
> 
> 

bueno, mi consejo es el siguiente:

Coloca un squid versión 3.x, y asegúrate de que esta compilado con
soporte SSL.
Como se comprueba esto?
pues con squid3 -v nos da todas las opciones de compilación, he aquí el
mio...

root@:~# squid3 -v
Squid Cache: Version 3.1.20
configure options:  '--build=i486-linux-gnu' '--prefix=/usr'
'--includedir=${prefix}/include' '--mandir=${prefix}/share/man'
'--infodir=${prefix}/share/info' '--sysconfdir=/etc'
'--localstatedir=/var' '--libexecdir=${prefix}/lib/squid3' '--srcdir=.'
'--disable-maintainer-mode' '--disable-dependency-tracking'
'--disable-silent-rules' '--datadir=/usr/share/squid3'
'--sysconfdir=/etc/squid3' '--mandir=/usr/share/man'
'--with-cppunit-basedir=/usr' '--enable-inline' '--enable-async-io=8'
'--enable-storeio=ufs,aufs,diskd' '--enable-removal-policies=lru,heap'
'--enable-delay-pools' '--enable-cache-digests' '--enable-underscores'
'--enable-icap-client' '--enable-follow-x-forwarded-for'
'--enable-auth=basic,digest,ntlm,negotiate'
'--enable-basic-auth-helpers=LDAP,MSNT,NCSA,PAM,SASL,SMB,YP,DB,POP3,getpwnam,squid_radius_auth,multi-domain-NTLM'
'--enable-ntlm-auth-helpers=smb_lm,'
'--enable-digest-auth-helpers=ldap,password'
'--enable-negotiate-auth-helpers=squid_kerb_auth'
'--enable-external-acl-helpers=ip_user,ldap_group,session,unix_group,wbinfo_group'
'--enable-arp-acl' '--enable-esi' '--enable-zph-qos' '--enable-wccpv2'
'--disable-translation' '--with-logdir=/var/log/squid3'
'--with-pidfile=/var/run/squid3.pid' '--with-filedescriptors=65536'
'--with-large-files' '--with-default-user=proxy'
'--enable-linux-netfilter' 'build_alias=i486-linux-gnu' 'CFLAGS=-g -O2
-fPIE -fstack-protector --param=ssp-buffer-size=4 -Wformat
-Werror=format-security -Wall' 'LDFLAGS=-fPIE -pie -Wl,-z,relro
-Wl,-z,now' 'CPPFLAGS=-D_FORTIFY_SOURCE=2' 'CXXFLAGS=-g -O2 -fPIE
-fstack-protector --param=ssp-buffer-size=4 -Wformat
-Werror=format-security'
--with-squid=/build/buildd-squid3_3.1.20-2.2-i386-3NN6Xn/squid3-3.1.20


Problema:
Que hasta donde yo se, y como podrás comprobar, el binario del paquete
de Debian no lo trae por defecto.

Opciones:
Compilartelo tu mismo, y obviar el paquete, o algo mas peregrino.
Compilar la misma versión, y sustituir solamente el binario.

Con eso se consigue tener Squid con capacidad para gestionar el trafico
HTTPS. Esto te permitirá trabajar y filtrar Facebook, independientemente
de que las solicitudes estén cifradas o no.

saludos,

Reply to:

Follow-Ups:
- Re: Bloqueo de Sitio en Dansguardian
  - From: "leos.listas@gmail.com" <leos.listas@gmail.com>

References:
- Bloqueo de Sitio en Dansguardian
  - From: "leos.listas@gmail.com" <leos.listas@gmail.com>
- Re: Bloqueo de Sitio en Dansguardian
  - From: "leos.listas@gmail.com" <leos.listas@gmail.com>

Prev by Date: Re: No me aparecen los iconos en Gnome3
Next by Date: Re: Plugin check network para nagios en debian
Previous by thread: Re: Bloqueo de Sitio en Dansguardian
Next by thread: Re: Bloqueo de Sitio en Dansguardian
Index(es):
- Date
- Thread