|
Muchas veces para los que usamos un servidor proxy con Squid, tenemos el gran problema de no poder bloquear las entradas por Https,y esto se debe a que Squid no bloquea tan fácilmente el contenido que entra por el puerto 443 (https) . Esto genera gran problema ya que aveces solo queremos bloquear ciertas web con https como facebook, meebo, gmail, hotmail, etc y dejar por ejemplo las de los bancos, o talvez solo autorizar a nuestra lista de usuarios permitidos a hacer uso de https. Una solución practica seria bloquear el puerto 443 por Iptables, pero al hacer eso, bloqueamos todo el puerto para todos, y la idea es solo bloquear y autorizar a ciertas paginas y usuarios. Asi como existen reglas en Squid de solo permitir acceso a ciertas paginas a determinados usuarios; en Iptables tambien se puede hacer eso e incluso hacer el bloqueo por Ip’s o por Mac’s. El Escenario : Tengo un servidor Proxy Squid con una seria de listas y reglas de acceso. En general con squid bloqueo todo el contenido que pasa por el servidor. solo tienen privilegios totales los de una lista llamada permitidos.acl ,esta lista de permitidos esta definida por direcciones Mac’s para darle mayor seguridad a que usuarios no dupliquen las Ips. El resto de usuarios de la red. solo tienen acceso controlado a paginas web como las de los bancos, las del gobierno , institucionales y alguna otra de contenido autorizado. El problema El problema era que a pesar de estar bloqueadas los sitios como facebook, hi5, gmail, hotmail. meebo ,etc a todos los usuarios que no tienen autorizaciòn, estos se saltaban el bloqueo con tan solo colocar https en el inicio de la url, es decir : http://www.facebook.com ========> Bloquead por SQuid, https://www.facebook.com ========> Acceso total. La Solución : A pesar de crear reglas de acceso y hacer lo imposible con Squid para denegar acceso por dominios, URL’s, o por Ip. siempre el https , pasaba sin ningun problema. La solución que se me venia era bloquear por Iptables el puerto 443 y segmentar la red para que solo usen el 443 ciertos usuarios de la red, pero la idea era que toda mi red hagan uso de httpspara el uso de las web de bancos por ejm. Lo que quería era solo bloquear las paginas sociales y algunas https no autorizadas a ciertos usuarios de la red. Es aquí donde viene una solución practica con el poder supremo de Iptables y complementandolo con Squid (2.6) Bloquear solo algunas https a usuarios no autorizados y hacer dicho filtrado por Mac’s. He aquí mi solución que hasta el momento esta siendo efectiva y lo comparto para el que ha pasado por algo similar:
|
Tu slogan puede colocarse aqui