Cursos Servidores con Centos 6
Sistema Operativo ALDOS
Dezoft

Si algunos de nuestros foros, manuales, ALDOS, paquetería o proyectos te han resultado de ayuda, apreciaremos mucho nos apoyes con un donativo.

 Índice > Todo acerca de Linux > Redes y Servidores Nuevo tema
 puertos https
Tema anterior Tema siguiente
   
ugustavo2003
Publicado en 31/08/10 04:22 (Leído 8096 veces)  Tema cerrado

Participa mucho
Forum User

Inscrito: 12/08/09 Publicaciones: 44
Hola a todos de nuevo:

Siguiendo en mi depuración de linux , se me presenta un problema:

quiero cerrar el acceso al puerto 443 ( HTTPS) y lo hago con política de DROP y me funciona muy bien PEEEEERO, no puedo acceder a servidores de tipo Hotmail, ya que establece una conexión https primero por livemail, existe la forma de bloquear el 443 pero permitir el acceso a ciertas paginas bien sea desde squid?

Gracias.

Uno mas que se desconecto de MATRIX ( lease windows)
 
Perfil
Joel Barrios Dueñas
Publicado en 31/08/10 06:19  

Admin
Site Admin

Inscrito: 17/02/07 Publicaciones: 1727
País:Mexico
Una de dos sopas...

a) Configura Squid de modo manual en cada navegador para que des salida para HTTPS a través de Squid

b) Crea listas blancas de HTTPS abriendo el puerto 443 solo hacia algunos sitios.
 
Perfil Sitio Web
ugustavo2003
Publicado en 01/09/10 01:03  

Participa mucho
Forum User

Inscrito: 12/08/09 Publicaciones: 44
Gracias mil joel por tu respuesta rapida y oportuna como siempre, solo un cosa la opcion b) seria crear acl en squid con las url y luego crear un http_access ? y la manera de filtrar dicha url seria desde squid cerrando el 443 en iptables? o estoy muy mal de entendimiento ,, disculpa eso si ;-(

Uno mas que se desconecto de MATRIX ( lease windows)
 
Perfil
Joel Barrios Dueñas
Publicado en 01/09/10 03:44  

Admin
Site Admin

Inscrito: 17/02/07 Publicaciones: 1727
País:Mexico
Sin moverle más a Squid, solo configura el navegador manualmente para utilizar las IP y puerto de Squid. Usa tus mismas listas negras o blancas en squid para definir qeu pueden y que no acceder.


Sobre Iptables, sería cerrar pro completo el puerto 443 y solo abrir para ciertas direcciones IP o bloques de IP.
 
Perfil Sitio Web
ugustavo2003
Publicado en 02/09/10 08:30  

Participa mucho
Forum User

Inscrito: 12/08/09 Publicaciones: 44
OK , mira por el tamaño de mi red y su configuracion pues siempre he utilizado el squid en modo transparente para evitar el manipular del lado del usuarios la pc, mas aun cuando tengo unos usuarios con acceso inalambrico, por eso la parte que me dices de configurar el squid en cada usuario en su navegador,la idea que me dices es muy buena pero Laaarga de hacer en una red con 197 pc fijas y una lista no tan grande pero si posible de usuario inalambricos.

La idea que tenia pero me funciono por un rato fue bloquear solo el acceso a https://www.facebook.com desde squid asi

acl sites url_regex facebook.com https://facebook
http_access allow permitidos !palabras !prohibidos !extensiones !sites

pero no se porq al cabo de un dia me siguio permitiendo la entrada a esta web, cabe aclarar que tengo un acl con palabras y otra prohibidos que hacen referencia a facebook y mientras accesen via http la niega. ahora bien en mi iptables tengo tambien esto:
iptables -A FORWARD -s 172.16.0.0/24 -d facebook.com -p tcp --dport 443 -j REJECT && echo "regla 04-e Facebook_443 OK"
iptables -A FORWARD -s 172.16.0.0/24 -d www.facebook.com -p tcp --dport 443 -j REJECT && echo "regla 04-f Facebook_443 OK"

y mas abajo:

iptables -A FORWARD -s 172.16.0.0/24 -i eth0 -p tcp --dport 443 -j ACCEPT && echo "regla 05-f d-https OK"
iptables -A FORWARD -s 172.16.0.0/24 -i eth0 -p tcp --sport 443 -j ACCEPT && echo "regla 05-f-1 s-https OK"

Que estara mal ( creo que todo JAJAJAA ) pero que mano me puedes dar.

Gracias compadre por tomarte el tiempo

Uno mas que se desconecto de MATRIX ( lease windows)
 
Perfil
ugustavo2003
Publicado en 03/09/10 06:30  

Participa mucho
Forum User

Inscrito: 12/08/09 Publicaciones: 44
Sera que alguno de lo gurus que andan por aca me puede dar una luz???

Uno mas que se desconecto de MATRIX ( lease windows)
 
Perfil
manowar
Publicado en 03/09/10 07:55  

Miembro Activo
Forum User

Inscrito: 26/02/07 Publicaciones: 280
País:Santiago - Chile
crea entonces regals en tu Firewaal donde permitas acceder al pto 443, pero solo a los destinos que necesites y para el resto lo cierras, eso te funcionara con proxy transparente
 
Perfil Sitio Web
ugustavo2003
Publicado en 04/09/10 12:55  

Participa mucho
Forum User

Inscrito: 12/08/09 Publicaciones: 44
Si tenia eso en mente pero si ves mi post de arriba algo esta mal , que pena te digo sera posible que me heches una mano de como deberia quedar , se que primero se debe permitir lo que quiero que seria basicamente direcciones como hotmail,gmail,yahoo,algunos bancos ya que en la empresa manejamos algunos pagos electronicos y luego cerrar todo.


Uno mas que se desconecto de MATRIX ( lease windows)
 
Perfil
manowar
Publicado en 07/09/10 02:13  

Miembro Activo
Forum User

Inscrito: 26/02/07 Publicaciones: 280
País:Santiago - Chile
regla para tu firewall en palabras

acceso a https hotmail, yahoo, banco y otros necesarios ACCEPT

siguiente regla en este orden

acceso a https DENY

Ojo que hotmail, gmail, yahoo y de seguro tus bancos usan mas de una ip publica.

Lo otro squid lo hara con lo que de seguro ya tienes
 
Perfil Sitio Web
ugustavo2003
Publicado en 08/09/10 04:54  

Participa mucho
Forum User

Inscrito: 12/08/09 Publicaciones: 44
Probare esta configuración para facebook a ver que pasa en su orden y les contare como me va si se debe corregir algo favor estaré atento.

iptables -A OUTPUT -s 172.16.0.0/24 -d facebook.com -p tcp --dport 443 -j DROP && echo "regla Output_tcp face"
iptables -A OUTPUT -s 172.16.0.0/24 -d facebook.com -p udp --dport 443 -j DROP && echo "regla Output_udp face
iptables -A FORWARD -s 172.16.0.0/24 -i eth0 -p tcp --dport 443 -j ACCEPT && echo "regla 05-f d-https OK"
iptables -A FORWARD -s 172.16.0.0/24 -i eth0 -p tcp --sport 443 -j ACCEPT && echo "regla 05-f-1 s-https OK"

Uno mas que se desconecto de MATRIX ( lease windows)
 
Perfil
Contenido generado en: 0,14 segundos Nuevo tema
 Todas las horas son UTC. Hora actual 09:31 .
Tema normal Tema normal
Tema persistente Tema persistente
Tema cerrado Tema cerrado
Nueva publicación Nueva publicación
Persistente con nueva publicación Persistente con nueva publicación
Cerrado con nueva publicación Cerrado con nueva publicación
Ver publicaciones anónimas 
Usuarios anónimos pueden publicar 
Se permite HTML Filtrado 
Contenido censurado