Iptables

Leonardo San Martin asdtaker en gmail.com
Mar Abr 28 18:09:24 CLT 2009


2009/4/28 Juan Andres Ramirez <jandresaedo en gmail.com>

> 2009/4/27 Aldrin Martoq <amartoq en dcc.uchile.cl>:
> > On Mon, 2009-04-27 at 17:12 -0400, Juan Andres Ramirez wrote:
> >> 2009/4/27 Andres Pereira <andresp en gmail.com>:
> >> > Me parece que como solucion de mas largo plazo (bloqueo de direcciones
> >> > ciertas web) deberias considerar el uso de un proxy transparente como
> >> > Squid...
> >
>
> He leido algunos documentos acerca de squid y de lo que significa y al
> parecer es una buena opcion, tanto como para bloquear contenido como
> para ahorrar ancho de banda.
> En todo caso me gustaria escuchar la opnion de alguien que lo este
> usando. Muchas gracias.

Aquí, presente.
En nuestra paranoia, un día dijimos:

- y si por puro molestar, ¿bloqueamos TODO el internet?
 Alguien respondio - si, si!! montemos un proxy y k*****s a los usuarios.

Desde ese día tenemos un squid con 4 niveles de acceso (en realidad 3
niveles, el cuarto no tiene acceso ;) ).

1er nivel: solo ven una ventana indicando que no tienen acceso.
2do. nivel: todo bloqueado, excepto paginas afines al
negocio(municipalidades, gobierno, dicom, clientes, proveedores), en total
unos 120 sitios.
3er. nivel: idem 2do. nivel, pero se agregan algunos diarios nacionales y
sitios relacionados con la cultura (museos, revistas, etc).....finalmente se
permitió gmail por algunas falencias en nuestro sistema de correo, pero hoy
ya no está en ese grupo.
4to. nivel: todo abierto, excepto: streaming, porno, radios o sitios por el
estilo.
Otros: todos los niveles anteriores tienen bloqueadas viertas extensiones de
archivo: exe, zip, dll, ocx, etc, etc.....

Para el bloqueo de sitios en el 4to nivel, los mismo usuarios nos dan ideas.
Tenemos mysar como herramienta de reporte, hago un filtro por sitio y
cantidad de transferencias y con esto sé que sitios bloquear (Por ahí cayo
facebook...y otros).

Las acl se administran por IP (acompañada por un comentario donde va el
nombre), en mysar puedo agregar un nombre a la IP. En general el trafico ha
disminuido a 1/3 (hoy tengo 4GB para 450 hosts). Si bien no es tan efectivo
como un filtro por contenido, acá funciona y nos quita dolores de cabeza.

PS: existen rumores de un 5to. nivel: "ilimitado" dice la leyenda...pero son
puras patrañas, ademas dicen que lo usa el sysop (quien suscribe).....Pero
todos sabemos que eso es mentira, pues ni siquiera paso por proxy ;)





>
> > Alguien sugiere dichas opciones? Entiendo que hay listas de bloqueo para
> > squid...
> >
> >> Y no se puede solucionar con herramientas como firehol o shorewall,
> >> para tener un firewall interno a corto plazo.
> >
> > Hmmm. Nunca he creido en los firewalls, la mayoria de las
> > configuraciones son relativamente facil de saltar...
> >
> > Alguna vez quise intentar algo un poco mas arriba de L3, jugue un rato
> > con ZORP pero no alcance a levantarlo en produccion. Alguien tiene
> > experiencias reales con softwar de este estilo?
> >
> > --
> > Aldrin Martoq <amartoq en dcc.uchile.cl>
> > http://aldrin.martoq.cl/
> >
> >
>



-- 
Saludos,
Leonardo San Martín.
Existen 10 tipos de personas:
los que entienden binarios y los que no


Más información sobre la lista de distribución Linux