Forum Debian Users Gang

mm1999 · 2011-12-28 17:55:07

Witam,
mam nietypowy problem ze szkoły
chcę zablokować domyślnie port 443 (https) ale chcę wyłączyć z niego np. gmail.com itp poczty
ustawiłem w iptables: eth0-internet , eth2-lan

Kod:

/sbin/iptables -P FORWARD DROP
/sbin/iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A FORWARD -i eth2 -o eth0 -p tcp -m multiport --dport 80 -m state --state NEW -j ACCEPT
/sbin/iptables -A FORWARD -i eth2 -o eth0 -p tcp -d 74.125.79.104 --dport 443 -j DROP

// (74.125.79.104-ip google.pl)

i dodałem więcej ostatnich linijek, bo gmail.com ma kilka przekierowań i niby wszystko łączy aż w końcu strona się przestaje ładować zaraz po zalogowaniu, czy to w ogóle da się osiągnąć?

thomsson · 2011-12-28 18:39:25

sorki panie adminie, ale ja bym raczej poblokował "nk.pl", "facebook.com", gg.pl i servery proxy, skrzynek pocztowych nie ma po co blokować, bo ze swojego doświadczenia (jako ucznia gimnazjum) wiem, że mało osób na maila wchodzi...

mm1999 · 2011-12-28 20:10:07

tylko uczniowie wchodza na proxyonline , a jest ich bardzo dużo i to na 443, wiec moje blkowanie np. dansguardianem nie ma sensu, bo zaraz wejda na https://nkac.pl i tam wejda na wszystko i co wtedy robic?

thomsson · 2011-12-28 21:28:54

a nie ma czegoś takiego co blokuje określone treści??? np. na win$hicie jest takie coś , co blokuje strony na której są określone wyrażenia (np. jak wpisałem proxy w bibliotece to nie chciało mnie wpuścić na te stronę, jeszcze w fazie wyszukiwania w google), ale takie coś to by musiało być na każdym komputerze, a do tego zablokować wpomniane nk.pl, facebook, nkac.pl i wsio, a jak by się coś wykryło to systematycznie dodawać

edyta
http://dragonia.pl/request.php?35
tam masz opis różnych programów do kontroli rodzicielskiej (na linuxa), chyba, że macie Windowsy na komputerach o w google jest tego pełno

Ostatnio edytowany przez thomsson (2011-12-28 22:04:24)

bobycob · 2011-12-29 09:53:26

Jeśli nie ma tych komputerków z windowsem, zbyt wiele to może zrób od drugiej strony.
w ..\etc\hosts wpisz nazwy domeny z adresem ip który chcesz aby wskazywały - tego raczej nie da się za pomocą proxy obejść. Bez uprawnień administratora tego pliku nie zmienią.

Jacekalex · 2011-12-29 10:20:43

A nie lepiej Squid z Dansguardianem, i cały ruch przez to puścić?
Tam jest tyle możliwości konfiguracji, że przyda sie karta pływacka. :D, ale przeważnie w szkołach działa, i to nieźle.
A uczniowie mają [url=http://hack.pl/forum/linux/8477-dansguardian-jak-obejsc.html]zagwozdkę[/url] :xD

Sznurki: http://dansguardian.pl/
http://dansguardian.pl/forum/

Co do samego iptables dla https, to jedyny możliwy sposób, to wyciąć całe ssl (np domyśny port docelowy 443), i potem otworzyć tylko na to, co wolno.
Iptables akceptuje nazwy domenowe w regulach, ale rzeźbienia przy stronach web 2.0 jest kosmicznie dużo.

Lepiej robić filtry na Squidzie, albo Dansguardianie.
Po pprostu są od tego...

Ostatnio edytowany przez Jacekalex (2011-12-29 10:52:26)

thomsson · 2011-12-29 13:22:45

a co nauczyciele zrobią :D jak im zablokujsz dostęp do fejzbuka :D i nie będą tego mogli obejść :D

Ostatnio edytowany przez thomsson (2011-12-29 13:24:01)

Jacekalex · 2011-12-29 13:37:43

[quote=thomsson]a co nauczyciele zrobią :D jak im zablokujsz dostęp do fejzbuka :D i nie będą tego mogli obejść :D[/quote]
Grzecznie poproszą, żeby Pan Administrator łaskawie ustawił ich kompy w dhcp, żeby dostawały zawsze takie same IP, a potem w fw pozowli tym IP lub bezpośrednio mac-adresom na połączenia ssl. :xD

Pozdro
;-)

hello_world · 2011-12-29 13:41:20

Z tego co wiem to szyfrowane porty protokołów pocztowych nie jadą na standardowym 443, więc nie widzę problemu, również nie widzę problemu aby nauczycieli wpisać do innej podsieci.

thomsson · 2011-12-29 16:03:40

no to do pracy rodacy :D

mm1999 · 2011-12-29 21:39:45

Ja mam zainstalowanego dansguardiana ze squidem ale on filtruje tylko 80,
zaden z proxy nie moze filtrowac 443
wiec wracam do tematu,
jak wyciac wszystko a odblokowac tylko niektore strony, zaczalem od gmaila,ale jak dochodzi do logowania to strona przestaje sie ladowac
a stacje to win/linux, mam tez wifi wiec to trzeba na serwerze
ma ktors receptę na moje reguły z 1 postu?

Jacekalex · 2011-12-30 03:30:04

zaden z proxy nie moze filtrowac 443[/quote]
Ponieważ?
- treści sprawdzać nie może, ale pozwalać na polączenie do hosta XXX lub YYY jak najbardziej, Squid obsługuje takie kfiatki.

Co do FW, banujesz 443 permanentnie, potem pozwalasz na ssl tylko komputerom nauczycieli? albo wycinasz dostęp do ssl komputerom uczniów - po IP lub mac-adres?
Niewykonalne?

Bo co do pozwalania po adresach IP, to każdy serwer oznacza kilka lub kilkanaście adresów IP, conieco widać w noscripcie, jak wchodzisz na stronę.

Przy 50 takich stronach łatwo własne uszy zjeść przy okazji :D.
W dodatku zaczyna brakować adresów IP, i niektóre serwery mogą trafiać do innych klas adresowych, w miarę "szukania resztek", także przy takich ustawieniach trzeba by ciągle tego pilnować, albo poprosić świat o szybsze wprowadenie ipv6 :D

Ostatnio edytowany przez Jacekalex (2011-12-30 05:31:16)

W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)

Time (s)	Query
0.00008	SET CHARSET latin2
0.00003	SET NAMES latin2
0.00169	SELECT u., g., o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='18.223.210.249' WHERE u.id=1
0.00116	REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '18.223.210.249', 1732833332)
0.00053	SELECT * FROM punbb_online WHERE logged<1732833032
0.00063	SELECT topic_id FROM punbb_posts WHERE id=189058
0.00178	SELECT id FROM punbb_posts WHERE topic_id=20302 ORDER BY posted
0.00054	SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=20302 AND t.moved_to IS NULL
0.00005	SELECT search_for, replace_with FROM punbb_censoring
0.00064	SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=20302 ORDER BY p.id LIMIT 0,25
0.00175	UPDATE punbb_topics SET num_views=num_views+1 WHERE id=20302
Total query time: 0.00888 s

Forum Debian Users Gang

Ogłoszenie

#1 2011-12-28 17:55:07

mm1999 - Użytkownik

blokowanie przez iptables https

Kod:

#2 2011-12-28 18:39:25

thomsson - Dyskutant

Re: blokowanie przez iptables https

#3 2011-12-28 20:10:07

mm1999 - Użytkownik

Re: blokowanie przez iptables https

#4 2011-12-28 21:28:54

thomsson - Dyskutant

Re: blokowanie przez iptables https

#5 2011-12-29 09:53:26

bobycob - Członek z Ramienia

Re: blokowanie przez iptables https

#6 2011-12-29 10:20:43

Jacekalex - Podobno człowiek...;)

Re: blokowanie przez iptables https

#7 2011-12-29 13:22:45

thomsson - Dyskutant

Re: blokowanie przez iptables https

#8 2011-12-29 13:37:43

Jacekalex - Podobno człowiek...;)

Re: blokowanie przez iptables https

#9 2011-12-29 13:41:20

hello_world - Członek DUG

Re: blokowanie przez iptables https

#10 2011-12-29 16:03:40

thomsson - Dyskutant

Re: blokowanie przez iptables https

#11 2011-12-29 21:39:45

mm1999 - Użytkownik

Re: blokowanie przez iptables https

#12 2011-12-30 03:30:04

Jacekalex - Podobno człowiek...;)

Re: blokowanie przez iptables https

Stopka forum

Informacje debugowania