Hola a todos de nuevo:

Siguiendo en mi depuración de linux , se me presenta un problema:

quiero cerrar el acceso al puerto 443 ( HTTPS) y lo hago con política de DROP y me funciona muy bien PEEEEERO, no puedo acceder a servidores de tipo Hotmail, ya que establece una conexión https primero por livemail, existe la forma de bloquear el 443 pero permitir el acceso a ciertas paginas bien sea desde squid?

Gracias.

---

Uno mas que se desconecto de MATRIX ( lease windows)

Una de dos sopas...

a) Configura Squid de modo manual en cada navegador para que des salida para HTTPS a través de Squid

b) Crea listas blancas de HTTPS abriendo el puerto 443 solo hacia algunos sitios.

Gracias mil joel por tu respuesta rapida y oportuna como siempre, solo un cosa la opcion b) seria crear acl en squid con las url y luego crear un http_access ? y la manera de filtrar dicha url seria desde squid cerrando el 443 en iptables? o estoy muy mal de entendimiento ,, disculpa eso si ;-(

---

Uno mas que se desconecto de MATRIX ( lease windows)

Sin moverle más a Squid, solo configura el navegador manualmente para utilizar las IP y puerto de Squid. Usa tus mismas listas negras o blancas en squid para definir qeu pueden y que no acceder.


Sobre Iptables, sería cerrar pro completo el puerto 443 y solo abrir para ciertas direcciones IP o bloques de IP.

OK , mira por el tamaño de mi red y su configuracion pues siempre he utilizado el squid en modo transparente para evitar el manipular del lado del usuarios la pc, mas aun cuando tengo unos usuarios con acceso inalambrico, por eso la parte que me dices de configurar el squid en cada usuario en su navegador,la idea que me dices es muy buena pero Laaarga de hacer en una red con 197 pc fijas y una lista no tan grande pero si posible de usuario inalambricos.

La idea que tenia pero me funciono por un rato fue bloquear solo el acceso a https://www.facebook.com desde squid asi

acl sites url_regex facebook.com https://facebook
http_access allow permitidos !palabras !prohibidos !extensiones !sites

pero no se porq al cabo de un dia me siguio permitiendo la entrada a esta web, cabe aclarar que tengo un acl con palabras y otra prohibidos que hacen referencia a facebook y mientras accesen via http la niega. ahora bien en mi iptables tengo tambien esto:
iptables -A FORWARD -s 172.16.0.0/24 -d facebook.com -p tcp --dport 443 -j REJECT && echo "regla 04-e Facebook_443 OK"
iptables -A FORWARD -s 172.16.0.0/24 -d www.facebook.com -p tcp --dport 443 -j REJECT && echo "regla 04-f Facebook_443 OK"

y mas abajo:

iptables -A FORWARD -s 172.16.0.0/24 -i eth0 -p tcp --dport 443 -j ACCEPT && echo "regla 05-f d-https OK"
iptables -A FORWARD -s 172.16.0.0/24 -i eth0 -p tcp --sport 443 -j ACCEPT && echo "regla 05-f-1 s-https OK"

Que estara mal ( creo que todo JAJAJAA ) pero que mano me puedes dar.

Gracias compadre por tomarte el tiempo

---

Uno mas que se desconecto de MATRIX ( lease windows)

Sera que alguno de lo gurus que andan por aca me puede dar una luz???

---

Uno mas que se desconecto de MATRIX ( lease windows)

crea entonces regals en tu Firewaal donde permitas acceder al pto 443, pero solo a los destinos que necesites y para el resto lo cierras, eso te funcionara con proxy transparente

Si tenia eso en mente pero si ves mi post de arriba algo esta mal , que pena te digo sera posible que me heches una mano de como deberia quedar , se que primero se debe permitir lo que quiero que seria basicamente direcciones como hotmail,gmail,yahoo,algunos bancos ya que en la empresa manejamos algunos pagos electronicos y luego cerrar todo.

---

Uno mas que se desconecto de MATRIX ( lease windows)

regla para tu firewall en palabras

acceso a https hotmail, yahoo, banco y otros necesarios ACCEPT

siguiente regla en este orden

acceso a https DENY

Ojo que hotmail, gmail, yahoo y de seguro tus bancos usan mas de una ip publica.

Lo otro squid lo hara con lo que de seguro ya tienes

Probare esta configuración para facebook a ver que pasa en su orden y les contare como me va si se debe corregir algo favor estaré atento.

iptables -A OUTPUT -s 172.16.0.0/24 -d facebook.com -p tcp --dport 443 -j DROP && echo "regla Output_tcp face"
iptables -A OUTPUT -s 172.16.0.0/24 -d facebook.com -p udp --dport 443 -j DROP && echo "regla Output_udp face
iptables -A FORWARD -s 172.16.0.0/24 -i eth0 -p tcp --dport 443 -j ACCEPT && echo "regla 05-f d-https OK"
iptables -A FORWARD -s 172.16.0.0/24 -i eth0 -p tcp --sport 443 -j ACCEPT && echo "regla 05-f-1 s-https OK"

---

Uno mas que se desconecto de MATRIX ( lease windows)