Blackhold

Archive for the “proxy” Category

Bloquear facebook con iptables

Posted on setembre 8th, 2013 by admin

Tenemos un proxy transparente con squidguard bloqueando algunas webs, pero sólo se bloquean las webs que no són https, ya que si le indicamos que las conexiones https se envien al proxy, nos encontramos que se modifica la cadena de verificación de las webs a las cuales accedemos por https y nos avisa de un “man in the middle”.

Para ello tenemos dos opciones, ssl-bump de squid3, con el que le pasamos un certificado intermedio o usamos reglas de iptables. La primera opción no se ha dejado, así que he pasado a la opción de bloquearlas con iptables.

Lo primero que tenemos que saber es que si pasan conexiones https a través de nuestro servidor proxy transparente, dichas conexiones van cifradas y no es posible distingir la url a la que se dirigen. Para ello tenemos que filtrar por IP, pero… si lo que queremos bloquear es un site con muchas ips y además de que pueden ir variando, la cosa se complica.

Por suerte tras buscar un poco he encontrado una solución realmente interesante. Con un poco de bash y una petición al AS de facebook, podemos sacar los rangos de IPs con los cuales trabaja esta empresa.

# BLOCK FACEBOOK
for i in $(/usr/bin/whois -h whois.radb.net '!gAS32934' | tr ' ' 'n' | sort -n -k1,1 -k2,2 -k3,3 -k4,4 |grep /)
do iptables -A FORWARD -d $i -j DROP
done

Luego si queremos ver como se ha aplicado la regla

# iptables -L -n 

Adicionalmente, aunque la dejo … ||| Seguir leyendo... >>>

Squid3: pequeña broma con las imágenes

Posted on desembre 11th, 2012 by admin

Hace ya mucho tiempo, cuando empezaba con la administración de sistemas a mis compañeros de piso les hice una pequeña broma, monté un proxy transparente e hice pasar todas las conexiones http por este server, y una vez ahí me dediqué a girarles las imágenes.

Así que vamos a hacer lo mismo :)

No entro en detalles de como montar un proxy transparente, haced uso del buscador de este mismo blog y encontraréis la respuesta!

Contamos con una maquina que tiene apache y squid3 instalado, así que crearemos un directorio donde se guardaran las imágenes modificadas, por ejemplo /var/www/images, que será accesible desde http://ipdelservidor/images/.

Creamos el directorio y le damos permisos a www-data:

# cd /var/www
# mkdir images
# chown -R www-data:www-data images

Y cruzamos los grupos de los usuarios proxy y www-data, para que puedan leer los directorios necesarios para la bromita :)… ||| Seguir leyendo... >>>

Proxy transparente dentro de un contenedor openVZ

Posted on setembre 11th, 2012 by admin

Todos sabemos que los contenedores cuando se trata de comunicarse con el núcleo del sistema operativo siempre nos deja algun regalito, así que aquí tenemos otro caso, en este caso queremos montar un proxy transparente dentro de un contenedor OpenVZ (Proxmox).

Nos encontramos que queremos ejecutar una línea de iptables en nuestro contenedor, pero nos sale este error:

iptables v1.4.8: can't initialize iptables table `nat': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.

Lo primero de todo tendremos que configurar el fichero /etc/vz/vz.conf y comentaremos la línea con el parámetro IPTABLES= y pondremos otra así:

IPTABLES="ipt_REJECT ipt_recent ipt_owner ipt_REDIRECT ipt_tos ipt_TOS ipt_LOG ip_conntrack ipt_limit ipt_multiport iptable_filter iptable_mangle ipt_TCPMSS ipt_tcpmss ipt_ttl ipt_length ipt_state iptable_nat ip_nat_ftp"
||| Seguir leyendo... >>>

Configurar apt por terminal para salir por un proxy

Posted on agost 18th, 2011 by admin

Otro tip of the day:

# vi /etc/apt/apt.conf.d/90-apt-proxy

es probable que el fichero no exista, así que lo creamos y añadimos lo siguiente:

Acquire::http::Proxy "http://usuario:password@ipproxy:puerto";
Acquire::ftp::Proxy "http://usuario:password@ipproxy:puerto";

guardamos, salimos y actualizamos los repositorios

# apt-get update

y apa ;)

thnks emi por la corrección, así queda todo más ordenado :)… ||| Seguir leyendo... >>>

Socks Proxy con dante o sacar el correo por guifi

Posted on agost 5th, 2011 by admin

Otro post mas sobre proxys, se nos ha atascado el cuerno con esto y hasta que no lo podamos sacar vamos dándole, como tiene que ser :)

De momento no hay autenticación con los usuarios de la web de guifi, para ello se tiene que rascar un poquito más, así que de momento dejaremos el proxy abierto y la recomendación es configurar el cliente de correo con el socks proxy y el cliente de http por el proxy squid de cabecera, con la autenticación de los usuarios y tal.

La instalación de dante es realmente sencilla:

# apt-get install dante-server

Justo con esto tendremos que empezar a configurar el fichero de configuración /etc/danted.conf… ||| Seguir leyendo... >>>

Permitir conexiones AIM, Yahoo, Gtalk, Jabber, MSN e IRC a través de un proxy Squid

Posted on juliol 26th, 2011 by admin

En guifi nos encontramos que si tenemos configurado un cliente para la mensajería instantánea, por defecto tenemos un gran numero de puertos limitados, si queremos abrir puertos específicos simplemente añadimos en /etc/squid/squid.conf los puertos que nos interesen:

Por ejemplo uno que uso bastante es el 9000 (http) y el 8080 (https)

acl Safe_ports port 9000
acl SSL_ports port 8080

y reiniciamos el servicio

Para los servicios de mensajería… ||| Seguir leyendo... >>>

Servidor proxy federado de guifi.net

Posted on febrer 19th, 2011 by admin

Los servidores proxy de guifi.net son el caramelito para la expansión de esta red, estos servidores se usan en la red para compartir la conexión a internet con el resto de usuarios de la red guifi.

Este servidor proxy es un squid de toda la vida pero con unas modificaciones para que pueda leer la lista de usuarios en la web de guifi y permita cargarlos.

Esta instalación se ha hecho en una debian etch (old stable), pero para versiones mas nuevas es posible que la configuración sea similar. Por suerte tenemos unos super empaquetadores de paquetes que nos han facilitado esta tarea creando un paquete .deb que dejará el proxy up and running.… ||| Seguir leyendo... >>>

Formas de compartir una conexión 3G

Posted on setembre 25th, 2010 by admin

Estos días en que corren el tener acceso a la red es una de las cosas mas importantes así que cuando las redes wifi y guifi fallan nos quedan siempre las conexiones 3G, ¿pero como difundir esta conexión por toda una red?

Primero de todo nos basamos en que es posible realizar una conexión 3G con un portátil mediante un pinganillo usb 3G o un teléfono que permite compartir la conexión 3G (osease un android).

Voy a contar 2 escenarios, una en una red estática con servidores proxy y la otra vamos a montar una red ad-hoc (mesh o como quieras llamarlo).… ||| Seguir leyendo... >>>

apt-proxy && apt-cacher

Posted on març 14th, 2010 by admin

Cuando tienes varias maquinas con el mismo sistema operativo bajo el mismo techo compartiendo conexión a internet es absurdo que cada vez que una de ellas se actualiza vayan a internet a descargarse cada una por su lado los paquetes.

Si nos sobra la conexión a internet y tenemos pocas maquinas esto es absurdo, a menos que lo quieras para frikear, pero como en la rimaia empezamos a tener un interesante parque de ordenadores y guifi.net a hora punta es como un atasco en las rondas, vemos la necesidad.

Así que tenemos dos herramientas interesantes para montar un cacheador de paquetes apt, apt-proxy y apt-cacher.… ||| Seguir leyendo... >>>

DHCP con proxy + pxe + dns

Posted on desembre 26th, 2009 by admin

Pues vengaa! que esto de sale! laservidora ya ofrece servicio de proxy-cache, proxy.pac, pxe, dns y ahora dhcp!

Vamos a configurar el dhcp para que ofrezca todos estos servicios y te los deje bien configuraditos :)… ||| Seguir leyendo... >>>

Pàgina següent »

guy fawkes