[OT]Re: Iptables
Arturo Mardones
katador en gmail.com
Mar Mayo 12 18:27:43 CLT 2009
2009/4/28 César Sepúlveda <kropotkinix en gmail.com>:
> On Tuesday 28 April 2009 18:09:24 Leonardo San Martin wrote:
>> 2009/4/28 Juan Andres Ramirez <jandresaedo en gmail.com>
>>
>> > 2009/4/27 Aldrin Martoq <amartoq en dcc.uchile.cl>:
>> > > On Mon, 2009-04-27 at 17:12 -0400, Juan Andres Ramirez wrote:
>> > >> 2009/4/27 Andres Pereira <andresp en gmail.com>:
>> > >> > Me parece que como solucion de mas largo plazo (bloqueo de
>> > >> > direcciones ciertas web) deberias considerar el uso de un proxy
>> > >> > transparente como Squid...
>> >
>> > He leido algunos documentos acerca de squid y de lo que significa y al
>> > parecer es una buena opcion, tanto como para bloquear contenido como
>> > para ahorrar ancho de banda.
>> > En todo caso me gustaria escuchar la opnion de alguien que lo este
>> > usando. Muchas gracias.
>>
>> Aquí, presente.
>> En nuestra paranoia, un día dijimos:
>>
>> - y si por puro molestar, ¿bloqueamos TODO el internet?
>> Alguien respondio - si, si!! montemos un proxy y k*****s a los usuarios.
>>
>> Desde ese día tenemos un squid con 4 niveles de acceso (en realidad 3
>> niveles, el cuarto no tiene acceso ;) ).
>>
>> 1er nivel: solo ven una ventana indicando que no tienen acceso.
>> 2do. nivel: todo bloqueado, excepto paginas afines al
>> negocio(municipalidades, gobierno, dicom, clientes, proveedores), en total
>> unos 120 sitios.
>> 3er. nivel: idem 2do. nivel, pero se agregan algunos diarios nacionales y
>> sitios relacionados con la cultura (museos, revistas, etc).....finalmente
>> se permitió gmail por algunas falencias en nuestro sistema de correo, pero
>> hoy ya no está en ese grupo.
>> 4to. nivel: todo abierto, excepto: streaming, porno, radios o sitios por el
>> estilo.
>> Otros: todos los niveles anteriores tienen bloqueadas viertas extensiones
>> de archivo: exe, zip, dll, ocx, etc, etc.....
>>
>> Para el bloqueo de sitios en el 4to nivel, los mismo usuarios nos dan
>> ideas. Tenemos mysar como herramienta de reporte, hago un filtro por sitio
>> y cantidad de transferencias y con esto sé que sitios bloquear (Por ahí
>> cayo facebook...y otros).
>>
>> Las acl se administran por IP (acompañada por un comentario donde va el
>> nombre), en mysar puedo agregar un nombre a la IP. En general el trafico ha
>> disminuido a 1/3 (hoy tengo 4GB para 450 hosts). Si bien no es tan efectivo
>> como un filtro por contenido, acá funciona y nos quita dolores de cabeza.
>>
>> PS: existen rumores de un 5to. nivel: "ilimitado" dice la leyenda...pero
>> son puras patrañas, ademas dicen que lo usa el sysop (quien
>> suscribe).....Pero todos sabemos que eso es mentira, pues ni siquiera paso
>> por proxy ;)
> ¿Y todo eso es necesario?
>
> Crees que toda esa perdida de tiempo, en capacitación, aprendizaje e
> implementación de squid es necesaria?
>
> Donde yo trabajo, somos más de 55 personas, todos frente a un pc el día
> entero, trabajamos todos a full siempre, y tener pequeñas distracciones como
> mirar el facebook, algún vídeo de youtube, o alguna pagina miscelánea, te
> ayuda a distraer para poder seguir y estar todo estresado, como esos perros
> que quedan encerrados por largos periodos de tiempos y desarrollan extrañas
> patologias como perseguirse la cola, de hecho hasta la misma asociación
> chilena de seguridad da como recomendación después de un largo periodo de
> trabajo (no recuerdo cuentos minutos u horas) uno debe descansar unos pocos
> minutos).
>
> ¿donde trabajas también tienen restringido el tiempo que la gente pasa en el
> baño, o lo que se demoran en tomar el típico café que va entre la hora de
> llegada y el almuerzo?
>
> Sorry mi OT, pero encuentro que no existe medida más troglodita que tener
> internet full bloqueado.
>
En mi caso voy a montar un squid, porque algunos usuarios se "relajan"
demasiado seguido y se ponen a descargar cosas de rapidshare,
megaupload, ven peliculas online, consumiendo mucho ancho de banda,
cuando en la empresa, en horas de oficina, se ocupa muchisima para
varias cosas mas que correo o "distraerse en internet", es aqui donde
ntop, me ayuda mucho a reducir este uso no permitido, de hecho nada
esta bloqueado, llamo al usuario o hablo con el para hacerlo entrar en
razon. Esta pega es inutil, porque el usuario te mira con cara de "me
estas W*****" te dice q sí y a la hora esta en lo mismo, por eso, no
es tan troglodita, pues cuando necesitas de tu ancho de banda, es
justificable.
Saludos!
Más información sobre la lista de distribución Linux