[OT]Re: Iptables

César Sepúlveda kropotkinix en gmail.com
Mar Abr 28 20:59:54 CLT 2009


On Tuesday 28 April 2009 18:09:24 Leonardo San Martin wrote:
> 2009/4/28 Juan Andres Ramirez <jandresaedo en gmail.com>
>
> > 2009/4/27 Aldrin Martoq <amartoq en dcc.uchile.cl>:
> > > On Mon, 2009-04-27 at 17:12 -0400, Juan Andres Ramirez wrote:
> > >> 2009/4/27 Andres Pereira <andresp en gmail.com>:
> > >> > Me parece que como solucion de mas largo plazo (bloqueo de
> > >> > direcciones ciertas web) deberias considerar el uso de un proxy
> > >> > transparente como Squid...
> >
> > He leido algunos documentos acerca de squid y de lo que significa y al
> > parecer es una buena opcion, tanto como para bloquear contenido como
> > para ahorrar ancho de banda.
> > En todo caso me gustaria escuchar la opnion de alguien que lo este
> > usando. Muchas gracias.
>
> Aquí, presente.
> En nuestra paranoia, un día dijimos:
>
> - y si por puro molestar, ¿bloqueamos TODO el internet?
>  Alguien respondio - si, si!! montemos un proxy y k*****s a los usuarios.
>
> Desde ese día tenemos un squid con 4 niveles de acceso (en realidad 3
> niveles, el cuarto no tiene acceso ;) ).
>
> 1er nivel: solo ven una ventana indicando que no tienen acceso.
> 2do. nivel: todo bloqueado, excepto paginas afines al
> negocio(municipalidades, gobierno, dicom, clientes, proveedores), en total
> unos 120 sitios.
> 3er. nivel: idem 2do. nivel, pero se agregan algunos diarios nacionales y
> sitios relacionados con la cultura (museos, revistas, etc).....finalmente
> se permitió gmail por algunas falencias en nuestro sistema de correo, pero
> hoy ya no está en ese grupo.
> 4to. nivel: todo abierto, excepto: streaming, porno, radios o sitios por el
> estilo.
> Otros: todos los niveles anteriores tienen bloqueadas viertas extensiones
> de archivo: exe, zip, dll, ocx, etc, etc.....
>
> Para el bloqueo de sitios en el 4to nivel, los mismo usuarios nos dan
> ideas. Tenemos mysar como herramienta de reporte, hago un filtro por sitio
> y cantidad de transferencias y con esto sé que sitios bloquear (Por ahí
> cayo facebook...y otros).
>
> Las acl se administran por IP (acompañada por un comentario donde va el
> nombre), en mysar puedo agregar un nombre a la IP. En general el trafico ha
> disminuido a 1/3 (hoy tengo 4GB para 450 hosts). Si bien no es tan efectivo
> como un filtro por contenido, acá funciona y nos quita dolores de cabeza.
>
> PS: existen rumores de un 5to. nivel: "ilimitado" dice la leyenda...pero
> son puras patrañas, ademas dicen que lo usa el sysop (quien
> suscribe).....Pero todos sabemos que eso es mentira, pues ni siquiera paso
> por proxy ;)
¿Y todo eso es necesario?

Crees que toda esa perdida de tiempo, en capacitación, aprendizaje e 
implementación de squid es necesaria?

Donde yo trabajo, somos más de 55 personas, todos frente a un pc el día 
entero, trabajamos todos a full siempre, y tener pequeñas distracciones como 
mirar el facebook, algún vídeo de youtube, o alguna pagina miscelánea, te 
ayuda a distraer para poder seguir y estar todo estresado, como esos perros 
que quedan encerrados por largos periodos de tiempos y desarrollan extrañas 
patologias como perseguirse la cola, de hecho hasta la misma asociación 
chilena de seguridad da como recomendación después de un largo periodo de 
trabajo (no recuerdo cuentos minutos u horas) uno debe descansar unos pocos 
minutos).

¿donde trabajas también tienen restringido el tiempo que la gente pasa en el 
baño, o lo que se demoran en tomar el típico café que va entre la hora de 
llegada y el almuerzo?

Sorry mi OT, pero encuentro que no existe medida más troglodita que tener 
internet full bloqueado.

Saludos!
Atte
César Sepúlveda B.




Más información sobre la lista de distribución Linux