iptables -t filter -I FORWARD -p tcp -s direccionipdelamaquinaquequiereacceder -d http://www.hotmail.com -j accept ----- Original Message ----- From: "Ariel Plaza" To: Sent: Monday, September 08, 2003 4:16 PM Subject: [suse-linux-s] Iptables Buenos dmas: Csmo hago con iptables para que un usuario de mi red interna SOLO ENTRE a una pagina determinada (por ejemplo: www.hotmail.com http://www.hotmail.com/ ) y los demas usuarios puedan navegar sin limitaciones Internet. Gracias.

Ariel Plaza wrote:

Buenos días: Cómo hago con iptables para que un usuario de mi red interna SOLO ENTRE a una página determinada (por ejemplo: www.hotmail.com http://www.hotmail.com/ ) y los demás usuarios puedan navegar sin limitaciones Internet.

Gracias.

Copio aqui algo ya dicho! Mucha gente quiere usar iptables para bloquear salida a páginas Web y construyen elaboradas reglas para "dejar pasar esto", "no dejar pasar lo otro", sin darse cuenta que iptables _no_ es la herramienta para eso aunque _pueda_ usarse para aquello. La utilización de iptables es para construir el filtraje de paquetes pero no para _conducir_ la aplicación, y el 99% de los casos de filtraje de acceso a sitios web es conducción de aplicación... o sea, usar iptables no solamente es un error conceptual sino una manera segura de perder mucho tiempo y construir un sistema de filtrado incomprensible y de difícil manutención. Lo único que pinta iptables en una solución de filtraje de HTTP es bloquear el puerto 80 para todo el mundo, excepto para la máquina que sea el proxy. Punto. Luego se usa el proxy (en este caso Squid) para imponer las reglas de filtraje de acceso con la amplísima funcionalidad que tiene en este sentido. Entonces escribes una regla para Squid que permita el acceso a los URLs que no tienen ninguna restricción. Para lograr ésto necesitas dos instrucciones en el archivo de configuración: una para definir el acl de nombre 'permitidos' que indique todos los dominios que quieres permitir, y otra para permitir el acceso http a tal acl. Como los acl se consideran en orden de arriba abajo, debes poner la segunda regla antes de cualquier 'deny'. Como ejemplo (que _no_ funciona verbatim), yo tengo dos listas de dominios: una completamente prohibida para todo el mundo por razones que no vienen al caso y otra con cosas permitidas para todos; tengo dos tipos de usuarios, los 'privilegiados' que tienen salida todo el día y el 'pueblo' que solamente puede ver las páginas permitidas. Así que las reglas son más o menos acl en_hora_libres time "cierto rango de horas para el pueblo" acl visitar_permitidos dstdomain "lista de dominios permitidos" acl visitar_prohibidos dstdomain "lista de dominios prohibidos" acl a_todos src "wildcard para la red" acl al_pueblo src "lista/rango IPs del pueblo" acl a_los_privilegiados src "lista/rango IPs de usuarios privilegiados" acl a_mi_por_ser_yo src "mi ip" http_access allow a_mi_por_ser_yo http_access deny a_todos visitar_prohibidos http_access allow al_pueblo visitar_permitidos http_access allow a_los_privilegiados http_access allow al_pueblo en_horas_libres http_access deny a_todos Con el mismo concepto bloqueas FTP para todo el mundo, salvo algunas personas. Revisa la documentación de Squid o los archivos de la lista para que veas la sintaxis exacta que habrás de usar. Mi partición en pueblo, privilegiados y deidades funciona muy bien porque uso DHCP para asignar a cada máquina siempre el mismo IP. -- ------------------------------------------------------ Una prensa libre es el gran enemigo de los dictadores. Independientemente de sus abusos, sus debilidades, sus errores. Una prensa libre es la gran aliada y defensora de la democracia. Charlos S. Shapiro Embajador de USA en la Rep. de Venezuela Martes, 20 de Mayo 2003