Servidores centros secundaria

h1. Limitar tráfico https

Se habilita un script en el servidor ldap para controlar y limitar el tráfico https, que como sabéis no gestiona squid, tal como lo tenemos (modo transparente).

El sistema constará de un script de inicio (deny_https) que cargará reglas iptables para cortar 2 tipos de tráfico https:

* El destinado a una serie de páginas webs

* El originado en una serie de ip's locales de cada centro

Dicho script tomará los datos de 2 ficheros y los fusionará para crear dichas reglas.

Uno de esos ficheros (/etc/network/deny_https.all) estará centralizado en Mérida (desarrollo.educarex.es), en el proyecto "limitar_https", y contendrá webs a cortar en todos los centros, y que será actualizado cuando se necesite. Dicho archivo se descargará cada vez que se reinicie el script de inicio.

El otro fichero (/etc/network/deny_https.ies) será local en cada centro, y podrá ser retocado por cada administrador a su gusto, de tal forma que se podrán colocar líneas con web's a cortar (formato www.xxxx.yy); y tambíen se podrán colocar ip's del centro a las que deseemos cortar todo tipo de navegación htpps.

Esta opción de cortar ip's va indicado principalmente para tratar de solucionar el problema de los proxys virtuales, los cuales, al menos en los windows, se instalan y a partir de ahí realizan todo su navegación vía https.

Si alguien ya tiene este problema, es decir, que en equipos windows han instalado alguno de estos programas, notarán que al introducir las ip's de dichos equipos en este fichero, y ser cortado su tráfico https, esos equipos no tendrán ningún tipo de navegación web, hasta que se desinstalen dichos programas. Uno de dichos programas se llama 'ultrasuf'.

El formato del fichero deny_https.ies permite líneas de comentario (#), líneas en blanco, así como comentarios tras las web's y/o ip's para identificarlos, sobre todo las ip's, ya que solo se trata la primera columna de cada línea. Ejemplo:

>#Lista de web's

www.tuenti.com

www.facebook.com

>#Lista de ip's

 172.aa.bb.cc	Equipo-1 del ciclo

 172.aa.bb.dd 	Equipo-2 del ciclo

Si alguien está filtrando ya este tipo de tráfico, podríais mandarme las web's que tenéis cortadas por https, para así unirlas al fichero que se centralizará para todos, el cual ya parte con este contenido:

>#Lista de web's https prohibidas para todos

 www.tuenti.com

 www.facebook.com

 www.meebo.com

 www.imo.im

 www.badoo.com

 www.twitter.com

 www.hi5.com

 www.suresome.com

Ni que decir tiene que éste método trata solo el tráfico https, por lo que las web's aquí introducidas seguirán teniendo salida vía http, cuyo tráfico es controlado por squid, y es allí donde se deberá cortar, si queréis, claro.

Para cortar estas web's vía squid, se debe colocar este contenido en el fichero '/etc/squid/acl/dominios', con este formato:

> .tuenti.com

 .facebook.com

 .meebo.com

 .imo.im

 .badoo.com

 .twitter.com

 .hi5.com

 .suresome.com

Y por supuesto reiniciar squid: /etc/init.d/squid restart