Tema: Puedo bloquear pagina HTTPS con squid o iptables?

con iptables se puede, hay que bloquear todo el segmento de facebook.

Código:

dig facebook.com

; <<>> DiG 9.3.6-P1-RedHat-9.3.6-4.P1.el5_4.2 <<>> facebook.com
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 42807
;; flags: qr rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 5, ADDITIONAL: 5

;; QUESTION SECTION:
;facebook.com.            IN    A

;; ANSWER SECTION:
facebook.com.        2014    IN    A    69.63.189.11
facebook.com.        2014    IN    A    69.63.189.16
facebook.com.        2014    IN    A    69.63.181.12
;; AUTHORITY SECTION:
facebook.com.        40239    IN    NS    ns1.facebook.com.
facebook.com.        40239    IN    NS    ns2.facebook.com.
facebook.com.        40239    IN    NS    ns5.facebook.com.
facebook.com.        40239    IN    NS    ns3.facebook.com.
facebook.com.        40239    IN    NS    ns4.facebook.com.

;; ADDITIONAL SECTION:
ns1.facebook.com.    1634    IN    A    204.74.66.132
ns2.facebook.com.    2056    IN    A    204.74.67.132
ns3.facebook.com.    933    IN    A    69.63.178.21
ns4.facebook.com.    412    IN    A    69.63.186.49
ns5.facebook.com.    567    IN    A    69.63.176.200

;; Query time: 25 msec
;; SERVER: 200.27.2.2#53(200.27.2.2)
;; WHEN: Tue Sep 28 08:46:37 2010
;; MSG SIZE  rcvd: 248

Despues con un whois a las ip's de facebook obtienes el CIRD del segmento

Código:

MacBook-Pro-de-Pablo-Prouvay:~ paabloop$ whois 204.74.66.132
#
# Query terms are ambiguous.  The query is assumed to be:
#     "n 204.74.66.132"
#
# Use "?" to get help.
#

#
# The following results may also be obtained via:
# http://whois.arin.net/rest/nets;q=204.74.66.132?showDetails=true&showARIN=false
#

NetRange:       204.74.64.0 - 204.74.127.255
CIDR:           204.74.64.0/18
OriginAS:
NetName:        IMN
NetHandle:      NET-204-74-64-0-1
Parent:         NET-204-0-0-0-0
NetType:        Direct Allocation
NameServer:     UDNS2.ULTRADNS.NET
NameServer:     UDNS1.ULTRADNS.NET
RegDate:        1994-10-26
Updated:        2000-09-19
Ref:            http://whois.arin.net/rest/net/NET-204-74-64-0-1

OrgName:        Internet Media Network
OrgId:          IMN
Address:        420 S Smith Road
City:           Tempe
StateProv:      AZ
PostalCode:     85281
Country:        US
RegDate:        1994-10-26
Updated:        2000-09-19
Ref:            http://whois.arin.net/rest/org/IMN

RTechHandle: RJ48-ARIN
RTechName:   Joffe, Rodney
RTechPhone:  +1-480-858-9000
RTechEmail:  rjoffe@centergate.com
RTechRef:    http://whois.arin.net/rest/poc/RJ48-ARIN

#
# ARIN WHOIS data and services are subject to the Terms of Use
# available at: https://www.arin.net/whois_tou.html
#

y con iptables bloqueas todo el segmento...

es lo unico que me resulto.

Saludos

gracias maestro, pero mi idea era no solo bloquear facebook por que no es el unico que se pasa con https tambien se pasan otras paginas bloqueadas.

por eso tienes que hacer lo mismo, solo cambias el dominio y bloqueas el segmento de ip's

Saludos

hmmm creo q deberias blokear el puerto del protocolo https 443 si no me equivoco,buscalo en la IANA para corroborar y despues deberias agregar las reglas al iptables para q te bloquee dicho puerto

saludos

la idea es no bloquear ese puerto por que hay otras paginas que lo usan como las bancarias.

como te digo, yo me cabecie arto y no encontre mejor forma, acuerdate que squid no le hace nada a las conexiones https, pasan directo...

asi que la unica opcion es iptables y bloquear todo el segmento en el caso de facebook, para otros sitios deben sero solo un par de IP's

Saludos

Pablo.

Por que quieres hacer eso??? si con squid y una acl lo puedes hacer demas, si dices que estas ocupando dansguardian tambien puedes hacerlo.
No es necesario ocupar el iptables y bloquear el segmento entero.

Iniciado por inverlink

Por que quieres hacer eso??? si con squid y una acl lo puedes hacer demas, si dices que estas ocupando dansguardian tambien puedes hacerlo.
No es necesario ocupar el iptables y bloquear el segmento entero.

Haces que squid filtre las conexiones seguras? te funcionan las paginas de los bancos?

me interesa saber como lo hiciste...

Saludos

Iniciado por paabloop

Haces que squid filtre las conexiones seguras? te funcionan las paginas de los bancos?

me interesa saber como lo hiciste...

Saludos

con squid se pueden filtrar las paginas https, solamente que cuando esta trasparente no se puede ya que todo el puerto 80 se redirige al 3128, si no esta trasparente hay que configurar en el navegador la ip del servidor proxy (indicando que para el puerto https use el proxy) y hacer una acl que filtre completamente https://www.xxxxxxxx.com por ejemplo, en una oportunidad lo hice de esa forma y me pesco y filtro, pero trasparente no se puede a no ser que se instale algun software "men in the middle" pero dicen que no es recomendable (ni eticamente ni tecnicamente) ... en esos casos queda iptables solamente.

Iniciado por Gran_Maestre

con squid se pueden filtrar las paginas https, solamente que cuando esta trasparente no se puede ya que todo el puerto 80 se redirige al 3128, si no esta trasparente hay que configurar en el navegador la ip del servidor proxy (indicando que para el puerto https use el proxy) y hacer una acl que filtre completamente https://www.xxxxxxxx.com por ejemplo, en una oportunidad lo hice de esa forma y me pesco y filtro, pero trasparente no se puede a no ser que se instale algun software "men in the middle" pero dicen que no es recomendable (ni eticamente ni tecnicamente) ... en esos casos queda iptables solamente.

por eso preguntaba, se que se puede pero dejan de funcionar paginas, como por ejemplo la de los bancos. Ya que la conexion debe ser directa entre el cliente y el sitio del banco, sin proxy's ni ningun tipo de intermediario.

Saludos.

exacto quedarian muchas paginas que si se dejan pasar la idea es bloquear algunas.
haber si me ayudan en mi caso tendria que hacer lo siguiente
tube que instalar dig y whois
yum install bind-utils jwhois

iptables -t filter -A FORWARD -d 69.63.176.0/20 -p tcp --dport 80 -j REJECT

69.63.176.0/20 este es el segmento para facebook en la coneccion de aca.

no se si estoy en lo correcto, de ser asi me serviria para rapidshare y las demas

Iniciado por azx

hmmm creo q deberias blokear el puerto del protocolo https 443 si no me equivoco,buscalo en la IANA para corroborar y despues deberias agregar las reglas al iptables para q te bloquee dicho puerto

saludos

Si no hay caso con facebook la unica opcion es como dice pablo bloquear el segmento y resar que no aya alguna pagina que ocupen en ese segmento xD

se puede redireccionar también el 443 hacia el 3128 de manera transparente y agregar el 443 a los safe ports y según la última prueba que hice si filtra dominios igual en 443. (por confirmar)

si no resulta esto, es más fácil crear una zona en el dns con el dominio que se quiere bloquear y apuntarla a google o cualquier otra pag. es mucho menos pajero que bloquear todo un segmento de ips donde puedes matar un montón de conexiones más.

vale yako espero la confirmacion para redirigir el puerto 443 entonces, ojala si se pueda.

Iniciado por janoween

exacto quedarian muchas paginas que si se dejan pasar la idea es bloquear algunas.
haber si me ayudan en mi caso tendria que hacer lo siguiente
tube que instalar dig y whois
yum install bind-utils jwhois

iptables -t filter -A FORWARD -d 69.63.176.0/20 -p tcp --dport 80 -j REJECT

69.63.176.0/20 este es el segmento para facebook en la coneccion de aca.

no se si estoy en lo correcto, de ser asi me serviria para rapidshare y las demas

pucha yo no cacho mucho la sintaxis de iptables, ya que ocupo shorewall pero tienes que bloquear todo el trafico al segmento de Facebook, tambien el de los dns de Facebook, todo!!!

no bloquearas otras paginas ya que facebook es una wea mas grande que la xuxa asi que son dueños de todo el segmento.
----

Iniciado por yakko

se puede redireccionar también el 443 hacia el 3128 de manera transparente y agregar el 443 a los safe ports y según la última prueba que hice si filtra dominios igual en 443. (por confirmar)

si no resulta esto, es más fácil crear una zona en el dns con el dominio que se quiere bloquear y apuntarla a google o cualquier otra pag. es mucho menos pajero que bloquear todo un segmento de ips donde puedes matar un montón de conexiones más.

te funciono con facebook?

la wea pasaba igual cuando probe

funciona sin problemas, aun no pruebo en modo transparente, pero lo hago en un rato más.

vale yako redirigo el puerto entonces mi servidor es transparente asi que probare haber que pasa.

seria asi?

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 443 -j REDIRECT --to-port 3128

manejo muy poco lo que es iptables aun soy muy noob para esto pero igual le pongo empeño he leido kleta pero no cacho aun como redireccionar el puerto. tambien intente con esta regla

iptables -A FORWARD -s 192.168.0.0/24 -d 192.168.0.1/24 -p tcp --dport 443 -j ACCEPT

no se si estoy hacienod lo correcto me pueden ayudar porfavor.

Error 107 (net::ERR_SSL_PROTOCOL_ERROR): Error de protocolo SSL.

no funciona en modo trasparente, por lo menos a mi no me funciono.