Limitar tráfico https » Histórico » Versión 1
Antonio J. Abasolo Sierra, 2010-06-04 13:14
| 1 | 1 | Antonio J. Abasolo Sierra | h1. Limitar tráfico https |
|---|---|---|---|
| 2 | |||
| 3 | En breve se habilitará un script en el servidor ldap para controlar y limitar el tráfico https, que como sabéis no gestiona squid, tal como lo tenemos (modo transparente). |
||
| 4 | |||
| 5 | El sistema constará de un script de inicio (deny_https) que cargará reglas iptables para cortar 2 tipos de tráfico https: |
||
| 6 | - El destinado a una serie de páginas webs |
||
| 7 | - El originado en una serie de ip's locales de cada centro |
||
| 8 | |||
| 9 | Dicho script tomará los datos de 2 ficheros y los fusionará para crear dichas reglas. |
||
| 10 | |||
| 11 | Uno de esos ficheros (/etc/network/deny_https.all) estará centralizado en Mérida (desarrollo.educarex.es), en el proyecto "limitar_https", y contendrá webs a cortar en todos los centros, y que será actualizado cuando se necesite. Dicho archivo se descargará cada vez que se reinicie el script de inicio. |
||
| 12 | |||
| 13 | El otro fichero (/etc/network/deny_https.ies) será local en cada centro, y podrá ser retocado por cada administrador a su gusto, de tal forma que se podrán colocar líneas con web's a cortar (formato www.xxxx.yy); y tambíen se podrán colocar ip's del centro a las que deseemos cortar todo tipo de navegación htpps. |
||
| 14 | Esta opción de cortar ip's va indicado principalmente para tratar de solucionar el problema de los proxys virtuales, los cuales, al menos en los windows, se instalan y a partir de ahí realizan todo su navegación vía https. |
||
| 15 | Si algien ya tiene este problema, es decir, que en equipos windows han instalado alguno de estos programas, notarán que al introducir las ip's de dichos equipos en este fichero, y ser cortado su tráfico https, esos equipos no tendrán ningún tipo de navegación web, hasta que se desinstalen dichos programas. Uno de dichos programas se llama 'ultrasuf'. |
||
| 16 | |||
| 17 | El formato del fichero deny_https.ies permite líneas de comentario (#), líneas en blanco, así como comentarios tras las web's y/o ip's para identificar, sobre todo las ip's. Ejemplo: |
||
| 18 | |||
| 19 | # Lista de web's |
||
| 20 | www.tuenti.com corta tuenti |
||
| 21 | www.facebook.com cortar facebook |
||
| 22 | |||
| 23 | #Lista de ip's |
||
| 24 | 172.aa.bb.cc Equipo-1 del ciclo |
||
| 25 | 172.aa.bb.dd Equipo-2 del ciclo |
||
| 26 | |||
| 27 | |||
| 28 | Si alguien está filtrando ya este tipo de tráfico, podríais mandarme las web's que tenéis cortadas por https, y unirlas al fichero que se centralizará para todos, el cual ya parte con este contenido: |
||
| 29 | |||
| 30 | # Lista de web's https prohibidas para todos |
||
| 31 | www.tuenti.com |
||
| 32 | www.facebook.com |
||
| 33 | www.meebo.com |
||
| 34 | www.imo.im |
||
| 35 | www.badoo.com |
||
| 36 | www.twitter.com |
||
| 37 | www.hi5.com |
||
| 38 | www.suresome.com |
||
| 39 | |||
| 40 | Ni que decir tiene que éste método trata solo el tráfico https, por lo que las web's aquí introducidas seguirán teniendo salida vía http, cuyo tráfico es controlado por squid, y es allí donde se deberá cortar, si queréis, claro. |
||
| 41 | Para cortar estas web's vía squid, se debe colocar este contenido en el fichero '/etc/squid/acl/viejos/dominios', con este formato: |
||
| 42 | .tuenti.com |
||
| 43 | .facebook.com |
||
| 44 | .meebo.com |
||
| 45 | .imo.im |
||
| 46 | .badoo.com |
||
| 47 | .twitter.com |
||
| 48 | .hi5.com |
||
| 49 | .suresome.com |
||
| 50 | |||
| 51 | Y por supuesto reiniciar squid: /etc/init.d/squid restart |