Squid + Turtle firewall + red windows

Hector Gatica hector.gatica en opensynapse.cl
Jue Mayo 12 16:57:37 CLT 2011


On Wed, 11 May 2011 12:30:06 -0400, Andres Ovalle Gahona
<aovalle en debianchile.cl> wrote:
> El 11 de mayo de 2011 11:47, Alpha Beta <alpha1979 en gmail.com> escribió:
> 
>> Señores:
>>
>> Tengo en un servidor *SuSE 9.3* + squid 2.5 transparente y Turtle firewall
>> que desconosco. Los paramentros del firewall se configuran solos en todos
>> los navegadores de mi red Windows (AD)
>> Se me presentó el problema que no logro bloquear facebook por el puerto
>> 443,
>> osea httpS://www.facebook.com.
>>
>> Segun lo que he leido, solo tengo la opcion de bloquearlo por ip a traves
>> del FW.
>> La regla que creé es algo asi...
>>
>> REJECT tcp(443) mh7-net --> fcbook5
>> REJECT tcp(443) mh7-net --> fcbook2
>> REJECT tcp(443) mh7-net --> fcbook6
>> REJECT tcp(443) mh7-net --> fcbook4
>> REJECT tcp(443) mh7-net --> fcbook7
>> REJECT tcp(443) mh7-net --> fcbook
>> REJECT tcp(443) mh7-net --> fcbook3
>>
>> Donde mh7-net es la ip de mi red interna (lan)
>> Y fcbook..n contiene las ips publicas de facebook (son varias)
>> Aqui viene lo extraño... si el usuario quita la configuracion del
>> proxy en la opciones del navegador el FW lo bloquea...
>> pero si deja la configuracion en el navegador la pagina si la carga.
>>
>> Lei por otro lado que hiciera un redirect... pero no entiendo porque
>> como regla de fw no funciona.
>> entonces no entiendo, alguna idea?
>>
> 
> Partiria diciéndote que facebook tiene una infinidad de bloques asignados a
> sus servidores, es imposible o casi imposible bloquearlo por medio de la IP.
> 
> Por lo que nombas tu proxy es mediante autentificacion o autopac, y lo que
> hablas es hacer un proxy transparante, o sea redirecionar todo el trafico al
> puerto del proxy 3128. Si fuera asi podrias agregar solamente un squidguard
> y bloquear con un diccionario de palabras, te seria mucho mas util.
> 
> Slds!
> 

Estimado:

Luego de tener un problema similar, le comento lo siguiente:

- Es posible bloquear por proxy a Facebook , pero solo por el puerto 80
obviamente.
- Para bloquear "duramente" a facebook , tendrías que bloquear las
peticiones por HTTPS con iptables y lo mejor es ocupar los bloques de
ip's que facebook tiene publicados. La siguiente solución me funciona
perfecto.

La variable facebook_allow son las ips que obviamente permites ,
tambien abajo puedes bloquear las peticiones al --dport 80 , pero
generalmente el bloqueo lo hago por squid.

FACEBOOK_ALLOW="192.168.1.12 192.168.1.14"
iptables -N FACEBOOK
 
iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range
66.220.144.0-66.220.159.255 --dport 443 -j FACEBOOK
iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range
69.63.176.0-69.63.191.255 --dport 443 -j FACEBOOK
iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range
204.15.20.0-204.15.23.255 --dport 443 -j FACEBOOK
 
## FACEBOOK ALLOW
for face in $FACEBOOK_ALLOW; do
    iptables -A FACEBOOK -s $face -j ACCEPT
done
iptables -A FACEBOOK -j

Ojalá te sirva.

Saludos.

-- 
Héctor Gatica Megias.
Consultor Debian GNU/Linux
Tel : 41-2890134
Móvil: 9-8457297


Más información sobre la lista de distribución Linux