[ubuntu-ar] Como bloquear algunos https a algunas personas ?
Pablo Lillia
pablofer72 at yahoo.com.ar
Mon Jul 23 21:31:35 UTC 2012
El 23/07/12 10:42, Emiliano Vazquez escribió:
>> Emiliano, yo tengo bloqueado el puerto 53 para todo lo que no sea
>> openDNS desde el router, exepto para las maquinas que yo quiero. Por
>> ende, si cambian el DNS en cualquier PC no les va a resolver nada. Creo
>> que es lo mismo que tener al Bind instalado.
> Sabés que no lo pense asi!! jajaja, cuando tenes razón, tenes razón.
>
>
>> Pero no es mala la
>> alternativa de virtualizar un Ubuntu Server o algo así.
> Vamos a ver que sale, ya estoy armando la maquina virtual, ni bien lo
> tengo andando comento el resultado.
> Lo que me tiene intrigado es como hacer lo que hace OpenDNS, ellos
> reconocen tu IP y en función de esa IP te dan acceso o no a las
> páginas, justo lo que estoy necesitando yo!
> Se tiene que poder hacer y no debe ser tan complicado, sigo leyendo...
>
>
>>
>> Saludos
>>
>> Pablo
>>
>>
> Saludos!
>
>
Aparentemente desde Squid 3.2 (beta) ya hay alguna funcionalidad para
"interceptar" https en proxy transparente. A decir verdad, implementa un
ataque MITM (hombre en el medio), y parece que requiere que los clientes
acepten el certificado raíz del squid.
Aquí tenés data sobre el tema:
http://blog.davidvassallo.me/2012/07/05/update-squid-transparent-ssl-interception-squid-v3-2/
(también mirá el artículo anterior que enlaza al principio).
No se cómo andará, porque es nuevo y puede tener sus problemas.
Esto plantea algunas cuestiones éticas al interceptar el HTTPS, y
deberías tenerlo en cuenta antes de usarlo. Desde ya, como dicen en el
artículo enlazado y en squid, si los usuarios de la red están
debidamente informados que al usar la red están aceptando que sus
comunicaciones sean monitoreadas/filtradas, etc. En StackOverflow hacían
referencia a que esta técnica ya la usan algunas cajas cerradas, no lo
sabía, y no me consta(ba). En fin, recién me desayuno de esto, y te deja
pensando :-/
Igual soy de la idea que tiene que poder hacerse un filtrado básico por
host (name e ip), aún en https. Pero nunca usé un squid como proxy
transparente. Investigaría con iptables y bind, como ya dijeron.
Saludos,
Pablo
More information about the Ubuntu-ar
mailing list