Skip to first unread message
Nano Code
Jun 5, 2015, 6:39:41 PM6/5/15
to linux...@googlegroups.com
Hola, intento restringir el acceso a youtube y a todo el video en streaming desde iptables.
¿Alguna idea?
¿Alguna idea?
Eduardo A. Bustamante López
Jun 5, 2015, 7:16:15 PM6/5/15
to linux...@googlegroups.com
¿Qué pasa si usan un proxy SOCKS4/5?
¿Qué pasa si usan un proxy HTTP/HTTPS?
Te puedo sugerir formas de hacer las restricciones, pero son muy complicadas y
no valen la pena. Por ejemplo, youtube.com no distribuye su contenido desde ese
mismo dominio, al parecer el streaming de HTML5 lo hace a través de una CDN del
dominio *.googlevideo.com. Ahorita al lanzar un video me lo carga de:
r14---sn-nwj7kned.googlevideo.com
Puedes bloquear a nivel DNS peticiones a *.googlevideo.com, y youtube.com, pero
fácil se lo brincan usando otro DNS o con VPN/proxy.
Ahora, para evitar que se brinquen el DNS, puedes restringir por redes. Pero,
dado que youtube.com y google.com comparten redes, no puedes simplemente
bloquear todas las redes que usa youtube.com, porque tumbarías la búsqueda de
google (además de que no arregla el asunto de la VPN y de los proxies).
Para bloquear las VPNs y proxies puedes hacer reglas para evitar tráfico que no
vaya por puertos reconocidos (TCP: 80, 443; UDP: 53), pero aún así podrían usar
herramientas como sslh para montar un túnel SSH por el puerto 443 y ni te
darías cuenta de que no es tráfico TLS (a menos de que hagas deep packet
inspection, pero con iptables, no creo).
Lo que me lleva a la conclusión: Ni lo intentes!
Lo que te recomiendo: Guarda una bitácora de accesos (dominios, utilización de
red, etc) por máquina (de forma que puedas identificar a quién está abusando de
la red). Notifica a las personas que sus actividades están siendo monitoreadas
(no el contenido, pero sí el patrón de uso). Establece una política que
penalice a quienes utilicen sitios prohibidos. Y castiga a quienes infrinjan.
Fácil.
--
Eduardo Bustamante
https://dualbus.me/
Nano Code
Jun 5, 2015, 10:10:47 PM6/5/15
to linux...@googlegroups.com
Muchas gracias Eduardo:
En este proyecto estamos poniendo internet en el transporte publico con 4G y la mayoria de los usuarios no saben como brincar la restriccion por dominio; Asi, que lo voy a intentar para que un usuario no se consuma el ancho de banda de todos. ¿Conoces alguna manera de bloquear el streaming? en lugar de especificamente youtube.
así podria bloquear netflix y demas sistemas de video
JZA
Jun 6, 2015, 2:10:13 AM6/6/15
to linuxcabal
Puedes usar host.allow/deny en todo caso para hacer un whitelist/blacklist de dominios.
--
Has recibido este mensaje porque estás suscrito al grupo "LinuxCabal" de Grupos de Google.
Para anular la suscripción a este grupo y dejar de recibir sus mensajes, envía un correo electrónico a linuxcabal+...@googlegroups.com.
Para publicar en este grupo, envía un correo electrónico a linux...@googlegroups.com.
Para ver esta conversación en el sitio web, visita https://groups.google.com/d/msgid/linuxcabal/e2cf76aa-2f43-4830-8e7f-509fc7a45ae1%40googlegroups.com.
Alexandro Colorado
Apache OpenOffice Contributor
882C 4389 3C27 E8DF 41B9 5C4C 1DB7 9D1C 7F4C 2614
Apache OpenOffice Contributor
882C 4389 3C27 E8DF 41B9 5C4C 1DB7 9D1C 7F4C 2614
Gustavo Martínez
Jun 6, 2015, 12:13:36 PM6/6/15
to linux...@googlegroups.com
No, el 443 lo brinca
--
Sent from my Android device with K-9 Mail. Please excuse my brevity.
Sent from my Android device with K-9 Mail. Please excuse my brevity.
Richard Couture
Jun 6, 2015, 12:24:29 PM6/6/15
to linux...@googlegroups.com
en squid
######## ACL for Radio / Video Stream ###########################
acl StreamingRequest1 req_mime_type -i ^video/x-ms-asf$
acl StreamingRequest2 req_mime_type -i ^application/vnd.ms.wms-hdr.asfv1$
acl StreamingRequest3 req_mime_type -i ^application/x-mms-framed$
acl StreamingRequest4 req_mime_type -i ^audio/x-pn-realaudio$
acl StreamingReply1 rep_mime_type -i ^video/x-ms-asf$
acl StreamingReply2 rep_mime_type -i ^application/vnd.ms.wms-hdr.asfv1$
acl StreamingReply3 rep_mime_type -i ^application/x-mms-framed$
acl StreamingReply4 rep_mime_type -i ^audio/x-pn-realaudio$
########### ACL for Radio / Video Stream ###########################
########### Rules to block Radio / Video Stream #################
http_access deny StreamingRequest1 all
http_access deny StreamingRequest2 all
http_access deny StreamingRequest3 all
http_access deny StreamingRequest4 all
http_reply_access deny StreamingReply1 all
http_reply_access deny StreamingReply2 all
http_reply_access deny StreamingReply3 all
http_reply_access deny StreamingReply4 all
########## Rules to block Radio / Video Stream ################
Richard
On 06/06/2015 01:10 AM, JZA wrote:
> Puedes usar host.allow/deny en todo caso para hacer un whitelist/blacklist
> de dominios.
>
> 2015-06-05 21:10 GMT-05:00 Nano Code <nanoc...@gmail.com>:
>
>>
>> Muchas gracias Eduardo:
>>
>> En este proyecto estamos poniendo internet en el
>> transporte publico con 4G y la mayoria de los usuarios no saben como
>> brincar la restriccion por dominio; Asi, que lo voy a intentar para que un
>> usuario no se consuma el ancho de banda de todos. ¿Conoces alguna manera
>> de bloquear el streaming? en lugar de especificamente youtube.
>> así podria bloquear netflix y demas sistemas de video
>>
>> --
>> Has recibido este mensaje porque estás suscrito al grupo "LinuxCabal" de
>> Grupos de Google.
>> Para anular la suscripción a este grupo y dejar de recibir sus mensajes,
>> envía un correo electrónico a linuxcabal+...@googlegroups.com.
>> Para publicar en este grupo, envía un correo electrónico a
>> linux...@googlegroups.com.
>> Para ver esta conversación en el sitio web, visita
>> https://groups.google.com/d/msgid/linuxcabal/e2cf76aa-2f43-4830-8e7f-509fc7a45ae1%40googlegroups.com
>> <https://groups.google.com/d/msgid/linuxcabal/e2cf76aa-2f43-4830-8e7f-509fc7a45ae1%40googlegroups.com?utm_medium=email&utm_source=footer>
>> .
LinuxCabal Asociación Civil
Ing. Richard Couture
Novell CNE, ECNE, MCNE
HP/Compaq ASE
Tel.: (+52) (333) 145-2638
Cel.: (+52) (044) 333 377-7505
Web: http://www.LinuxCabal.org
E-Mail: r...@linuxcabal.org
Hosted en la nube Cloud Sigma - www.CloudSigma.com
AVISO DE CONFIDENCIALIDAD: Este correo electrónico, incluyendo en su
caso, los archivos adjuntos al mismo, pueden contener información de
carácter confidencial y/o privilegiada, y se envían a la atención única
y exclusivamente de la persona y/o entidad a quien va dirigido. La
copia, revisión, uso, revelación y/o distribución de dicha información
confidencial sin la autorización por escrito de LinuxCabal está
prohibida. Si usted no es el destinatario a quien se dirige el presente
correo, favor de contactar al remitente respondiendo al presente correo
y eliminar el correo original incluyendo sus archivos, así como
cualesquiera copia del mismo. Mediante la recepción del presente correo
usted reconoce y acepta que en caso de incumplimiento de su parte y/o de
sus representantes a los términos antes mencionados, LinuxCabal tendrá
derecho a los daños y perjuicios que esto le cause.
######## ACL for Radio / Video Stream ###########################
acl StreamingRequest1 req_mime_type -i ^video/x-ms-asf$
acl StreamingRequest2 req_mime_type -i ^application/vnd.ms.wms-hdr.asfv1$
acl StreamingRequest3 req_mime_type -i ^application/x-mms-framed$
acl StreamingRequest4 req_mime_type -i ^audio/x-pn-realaudio$
acl StreamingReply1 rep_mime_type -i ^video/x-ms-asf$
acl StreamingReply2 rep_mime_type -i ^application/vnd.ms.wms-hdr.asfv1$
acl StreamingReply3 rep_mime_type -i ^application/x-mms-framed$
acl StreamingReply4 rep_mime_type -i ^audio/x-pn-realaudio$
########### ACL for Radio / Video Stream ###########################
########### Rules to block Radio / Video Stream #################
http_access deny StreamingRequest1 all
http_access deny StreamingRequest2 all
http_access deny StreamingRequest3 all
http_access deny StreamingRequest4 all
http_reply_access deny StreamingReply1 all
http_reply_access deny StreamingReply2 all
http_reply_access deny StreamingReply3 all
http_reply_access deny StreamingReply4 all
########## Rules to block Radio / Video Stream ################
Richard
On 06/06/2015 01:10 AM, JZA wrote:
> Puedes usar host.allow/deny en todo caso para hacer un whitelist/blacklist
> de dominios.
>
> 2015-06-05 21:10 GMT-05:00 Nano Code <nanoc...@gmail.com>:
>
>>
>> Muchas gracias Eduardo:
>>
>> En este proyecto estamos poniendo internet en el
>> transporte publico con 4G y la mayoria de los usuarios no saben como
>> brincar la restriccion por dominio; Asi, que lo voy a intentar para que un
>> usuario no se consuma el ancho de banda de todos. ¿Conoces alguna manera
>> de bloquear el streaming? en lugar de especificamente youtube.
>> así podria bloquear netflix y demas sistemas de video
>>
>> --
>> Has recibido este mensaje porque estás suscrito al grupo "LinuxCabal" de
>> Grupos de Google.
>> Para anular la suscripción a este grupo y dejar de recibir sus mensajes,
>> envía un correo electrónico a linuxcabal+...@googlegroups.com.
>> Para publicar en este grupo, envía un correo electrónico a
>> linux...@googlegroups.com.
>> Para ver esta conversación en el sitio web, visita
>> https://groups.google.com/d/msgid/linuxcabal/e2cf76aa-2f43-4830-8e7f-509fc7a45ae1%40googlegroups.com
>> .
LinuxCabal Asociación Civil
Ing. Richard Couture
Novell CNE, ECNE, MCNE
HP/Compaq ASE
Tel.: (+52) (333) 145-2638
Cel.: (+52) (044) 333 377-7505
Web: http://www.LinuxCabal.org
E-Mail: r...@linuxcabal.org
Hosted en la nube Cloud Sigma - www.CloudSigma.com
AVISO DE CONFIDENCIALIDAD: Este correo electrónico, incluyendo en su
caso, los archivos adjuntos al mismo, pueden contener información de
carácter confidencial y/o privilegiada, y se envían a la atención única
y exclusivamente de la persona y/o entidad a quien va dirigido. La
copia, revisión, uso, revelación y/o distribución de dicha información
confidencial sin la autorización por escrito de LinuxCabal está
prohibida. Si usted no es el destinatario a quien se dirige el presente
correo, favor de contactar al remitente respondiendo al presente correo
y eliminar el correo original incluyendo sus archivos, así como
cualesquiera copia del mismo. Mediante la recepción del presente correo
usted reconoce y acepta que en caso de incumplimiento de su parte y/o de
sus representantes a los términos antes mencionados, LinuxCabal tendrá
derecho a los daños y perjuicios que esto le cause.
Luis Enrique Pineda
Jun 6, 2015, 12:29:44 PM6/6/15
to linux...@googlegroups.com
¿Y squid puede si es sobre https?
Para publicar una entrada en este grupo, envía un correo electrónico a linux...@googlegroups.com.
Para ver este debate en la Web, visita https://groups.google.com/d/msgid/linuxcabal/55731EB4.8080509%40LinuxCabal.org.
Para obtener más opciones, visita https://groups.google.com/d/optout.
Richard Couture
Jun 6, 2015, 12:38:02 PM6/6/15
to linux...@googlegroups.com
No aun
Puedes investigar iptables -m helper --string
Richard
Puedes investigar iptables -m helper --string
Richard
Omar
Jun 8, 2015, 11:30:17 AM6/8/15
to linux...@googlegroups.com
Otra cosa tambien pudes poner cuotas de consumo por usuario ya con eso tambien te ayuda para otro tipo de descargas, esta opcion yo e aplicado en varias empresas y ayuda mucho asi ninguno abusa no importa si tienen tunel o cualquier otro sistema para saltarse el bloqueo
Para hacerlo necesitas crear unas marcas en el iptables, te dejo unos ejemplos de lo que encontre en google
espero te es de utilidad
El 5 de junio de 2015, 17:39, Nano Code <nanoc...@gmail.com> escribió:
Hola, intento restringir el acceso a youtube y a todo el video en streaming desde iptables.
¿Alguna idea?
--
Has recibido este mensaje porque estás suscrito al grupo "LinuxCabal" de Grupos de Google.
Para anular la suscripción a este grupo y dejar de recibir sus mensajes, envía un correo electrónico a linuxcabal+...@googlegroups.com.
Para publicar en este grupo, envía un correo electrónico a linux...@googlegroups.com.
Para ver esta conversación en el sitio web, visita https://groups.google.com/d/msgid/linuxcabal/1d537855-6b4f-466d-9982-681dc6863c64%40googlegroups.com.
Para acceder a más opciones, visita https://groups.google.com/d/optout.
 | Carlos Omar Briseño Gutierrez Software Engineering Cell:(214) 797-7702 oma...@pixelab.com.mx http://pixelab.com.mx f t |  |
Reply all
Reply to author
Forward
0 new messages