hola que tal buenas tardes bueno tengo un pequeño problema
tengo una red de mas de 300 maquinas y tengo 3 puertas de enlaces en 2 de ellas tengo bloquando algunos servicios y en la otra trabajo con el iptables ya que eh bloquedo muchas paginas pero los usuarios buscan como burlar eso y bueno.
Quiero saber si puedo bloquear el puerto 80 en esa maquina y de ahi solo darle salida algunas como ballan necesitando el uso del internet se los voy abriendo.
y bueno saber si lo que quiero esta bien o hay otras mejores formas de denegar servicios...

gracias de antemano esperare de su ayuda bye

Te recomiendo que investigues sobre el uso del proxy squid, para el manejo de restricciones, luego obliga a las máquinas a salir a los sitios web por allí, para ello debes deshabilitar el nateo por el iptables, claro que el problema es manejar las restricciones de los sitios, ya que cada dia salen sitios nuevos que les permiten a los usuarios burlar la seguridad de dichos proxys.

Una solución a esto es el sitio web Open DNS, y dejar que ellos te administren las restricciones, de acuerdo a tus requerimientos, esta gente tiene listas actualizadas de sitios web bien categorizados y las mantienen bastante actualizadas.

De acuerdo con taenet, excepto en lo deshabilitar nat.

No, no hace falta deshabilitar nat. Sólo una regla en iptables para redirigir el puerto 80 al 3128. La diferencia, es que sólo reconfigura el servidor, y no cada una de las máquinas.

Y Squid permite manejar listas negras y blancas. Y subdividir la red interna en grupos. De este modo, a cierto grupo puedes bloquearle todo lo que no esté en la lista blanca. A otro, podrías permitirle todo, excepto lo que está en la lista negra.

El archivo de configuración de squid es autoexplicativo, escrito en un inglés muy básico.

Por otra parte, no hay manera de burlar un proxy. Tienes que pasar por él, o no tienes conexión.

Otra cuestión, sin embargo, es que el usuario vaya a www.anonymouse.org (por ejemplo) y solicite la página desde allí. Y en ese caso deberías bloquear los proxies anónimos.

Con lo cual se abre un nuevo problema: ¿qué nivel tienen tus usuarios? Porque si es por burlar al que me impone restricciones, yo visitaría las páginas prohibidas aunque no me despierten el más mínimo interés.

Cualquier inconveniente, ya sabes dónde preguntar.

Saludos.

proxy + shorewall

bueno cumpa complementario a lo anterior es
1° trasladar los logs de navegación de los clientes a una pc para ese fin
2° mediante script comprobar que no aya visitas a sitios no admitidos
3° sancionar al usuario que viole la pauta de la empresa.

eso no ayuda directamente a evitar el trafico ilícito pero, si la empresa toma decisiones firmes con quienes vulneran la seguridad como puede ser suspensiones o quita de incentivos pues veras que se acaba en poco tiempo las medidas y contra-medidas y recontra-medidas
suerte y comenta como te fue si

pd: dentro de la estrategia de seguridad existen dos etapas ineludibles y complementarias prevención y represión y ambas se basan en el control
( suena horriblemente policiaco jajaj)
es por ello que ningún compañero de trabajo quiere a un admin jeje

Hola, buen dia...

yo estoy en el caso contrario, veran...

estoy usando una compu como servidor, tiene instalado Centos 5.3 x86_64 con sistema base, y todo para LAMP, con un VirtualHost,y ya corre...

cuando instale el CentOS le deje todo por default, solo que el SELinux lo cambie de Estricto a Permisivo...

la cosa es que quiero acceder desde otra maquina a ese servidor pero no me lo permite, y descubri que algo tiene que ver el IPTABLES en el servidor...

(las compus estan en el mismo bloque de red, red local)



me habian comentado que modificara un archivo de configuracion de iptabes ( /etc/sysconfig )y ya lo hice, le agregue la siguiente linea (basandome en las lineas que ahi estaban):



y cuando le doy "/sbin/iptables -L -n" ya aparece la linea pero no me permite acceder al sitio de pruebas...

tambien intente meterle la regla directamente pero tampoco se dejo

(esta linea la tome de un PDF)
creo que en esta linea le puse "-s 0.0.0.0/0" (cualquier red), pero bueno, la idea es esa.... pero aun no se deja, no permite acceder al servidor...

solo cuando detengo el serivicio ( /etc/rc.d/init.d/iptables stop ) es que permite ingresar al sitio virtual...

que mas puedo probar para permitir el acceso sin deshabilitar el iptables???

Agradeceria la orientacion

Sales pues

Buenas...
Aunque ando en un problema similar que no es mio por cierto ("es de una comunidad Venenux Gnu/linux") creo q tu problema puede ser el router, módem o lo q uses para conectarte o una mala configuración de iptables, te recomiendo que verifiques que tu servicio este en el puerto antes mencionado, y si puedes cambiarlo me avisas que eso es lo que estoy documentando, lo mas recomendable es:

1. Guarda tu configuración iptables
2. Crea tus propias reglas, en la web hay mucha documentacio(estoy haciendo un escript para crear reglas sin estar reescribiendo lo mismo, cuando lo termine lo monto en la wiki de venenux)
3. Ahora intenta acceder
4. en el peor de los casos cambia el puerto de acceso al servicio que das.

espero ayudar y q me ayuden jeje