Bloquear Youtube por iptables
saaverga
Tengo el Siguiente Problema
En Un Ramo de seguridad y admin de redes me pidieron que bloqueara en
un servidor con Ubuntu Server los Servicios de Facebook, Youtube,
Twitter, Ares por iptables y con tiempos de bloqueo y desbloqueo
durante el dia..
Entonces no se sabe cual es la ip de Youtube.....
entonces no se como bloquearlo....
Y lo Otro es que nose como bloquear por Tiempos los Servicios........
Y si Algguno me pudiera dar el codigo como quedaria en Iptables.....
Es Urgente!!!!!!!
Pablo Olmos de Aguilera C.
Honestamente no tengo idea... pero la petición que haces parece ser un
poco ofensiva.
Sl2,
--
Pablo Olmos de Aguilera Corradini - @PaBLoX
http://www.glatelier.org/
http://www.mozillachile.org/
http://friendfeed.com/pablox/
http://www.linkedin.com/in/pablooda/
Linux User: #456971 - http://counter.li.org/
Carlos Albornoz
Y no querí que alguien de la lista te vaya a hacer la presentación también???
Socio, en google está forrado de ejemplos de como bloquear sitios con
iptables...
ganese la nota...
--
Carlos Albornoz C.
Staff DebianChile.cl [http://www.debianchile.cl]
http://carlos.debianchile.cl
Linux User #360502
Fono: 97864420
david saavedra
ENTONCES COMO SE PODRA BLOQUEAR SI NO TIENES LAS IP????
sALUDOS
--
Participa en la Red de Trabajos de la ONG LinuxChillán http://www.linuxchillan.org/2009/10/20/red_trabajos_ong_linuxchillan
Talleres en Concepción http://talleres.opensur.org/
Varios escritorios se han incluido http://www.linuxchillan.org/categoria/escritorios Envía el tuyo a escritorio (screenshot, captura de pantalla, etc.) a escri...@linuxchillan.cl.
Músicos, participen en el concurso de RedPanal http://www.redpanal.com/concurso-software-libre.php
Valericio Carrasco
Mi INTENCION NUNK FUE OFENDER......... ES QUE NO ENCUENTRO COMO BLOQUEAR EL YOUTUBE... YA QUE NO MUESTRA LA IP DE YOUTUBE....
ENTONCES COMO SE PODRA BLOQUEAR SI NO TIENES LAS IP????
sALUDOS
Haciendo ping a youtube-ui.l.google.com [74.125.65.190] con 32 bytes de datos:
Respuesta desde 74.125.65.190: bytes=32 tiempo=151ms TTL=57
Respuesta desde 74.125.65.190: bytes=32 tiempo=152ms TTL=57
Respuesta desde 74.125.65.190: bytes=32 tiempo=152ms TTL=57
Respuesta desde 74.125.65.190: bytes=32 tiempo=151ms TTL=57
Estadísticas de ping para 74.125.65.190:
Paquetes: enviados = 4, recibidos = 4, perdidos = 0
(0% perdidos),
Tiempos aproximados de ida y vuelta en milisegundos:
Mínimo = 151ms, Máximo = 152ms, Media = 151ms
Saludos
Carlos Albornoz
> Mi INTENCION NUNK FUE OFENDER......... ES QUE NO ENCUENTRO COMO BLOQUEAR EL
> YOUTUBE... YA QUE NO MUESTRA LA IP DE YOUTUBE....
> ENTONCES COMO SE PODRA BLOQUEAR SI NO TIENES LAS IP????
>
> sALUDOS
No hagas top posting ni escribas con mayusculas (es como que
estubieras gritando)
Mira esto
###
carlos@octavarium:~$ ping www.youtube.com
PING youtube-ui.l.google.com (74.125.47.93) 56(84) bytes of data.
64 bytes from yw-in-f93.1e100.net (74.125.47.93): icmp_req=1 ttl=50 time=151 ms
64 bytes from yw-in-f93.1e100.net (74.125.47.93): icmp_req=2 ttl=50 time=149 ms
^C
--- youtube-ui.l.google.com ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1000ms
rtt min/avg/max/mdev = 149.712/150.742/151.773/1.101 ms
carlos@octavarium:~$ ping www.youtube.com
PING youtube-ui.l.google.com (74.125.229.15) 56(84) bytes of data.
^C64 bytes from 74.125.229.15: icmp_req=1 ttl=51 time=151 ms
--- youtube-ui.l.google.com ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 151.642/151.642/151.642/0.000 ms
carlos@octavarium:~$ ping www.youtube.com
PING youtube-ui.l.google.com (74.125.47.136) 56(84) bytes of data.
64 bytes from yw-in-f136.1e100.net (74.125.47.136): icmp_req=1 ttl=50
time=162 ms
64 bytes from yw-in-f136.1e100.net (74.125.47.136): icmp_req=2 ttl=49
time=150 ms
^C64 bytes from yw-in-f136.1e100.net (74.125.47.136): icmp_req=3
ttl=50 time=148 ms
^[[A64 bytes from yw-in-f136.1e100.net (74.125.47.136): icmp_req=4
ttl=49 time=150 ms
^C
--- youtube-ui.l.google.com ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3004ms
rtt min/avg/max/mdev = 148.888/152.886/162.476/5.565 ms
carlos@octavarium:~$ ping www.youtube.com
PING youtube-ui.l.google.com (74.125.47.136) 56(84) bytes of data.
64 bytes from yw-in-f136.1e100.net (74.125.47.136): icmp_req=1 ttl=50
time=150 ms
64 bytes from yw-in-f136.1e100.net (74.125.47.136): icmp_req=2 ttl=50
time=150 ms
^C
--- youtube-ui.l.google.com ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1000ms
rtt min/avg/max/mdev = 150.865/150.888/150.912/0.389 ms
carlos@octavarium:~$
###
un simple ping..., si te fijas la ip varía pero siempre se mantiene
74.125.xxx.xxx
entonces eso es lo que debes bloquear
david saavedra
Grax....
Fabian Ulloa Fuentealba
Por iptables??
y no que ubuntu desde la version 8.04 usa en ufw que es mas facil de usar
Victor Hugo dos Santos
> 2010/11/15 david saavedra <fra...@gmail.com>:
[...]
> time=150 ms
> ^C
> --- youtube-ui.l.google.com ping statistics ---
> 2 packets transmitted, 2 received, 0% packet loss, time 1000ms
> rtt min/avg/max/mdev = 150.865/150.888/150.912/0.389 ms
> carlos@octavarium:~$
> ###
>
> un simple ping..., si te fijas la ip varía pero siempre se mantiene
> 74.125.xxx.xxx
> entonces eso es lo que debes bloquear
Hola,
Claro, como no !!!!
y en base a tu comentario, bloqueas a unas 60.000 otras IPs que NO son
de youtube !!!!
Por cierto, por aca, al hacer ping a www.youtube.com no me salen los
rangos de IPs que mencionas:
============
victor@victor-desktop:/templates$ ping www.youtube.com
PING youtube-ui.l.google.com (200.111.181.218) 56(84) bytes of data.
victor@victor-desktop:/templates$ ping www.youtube.com
PING youtube-ui.l.google.com (200.111.181.209) 56(84) bytes of data.
victor@victor-desktop:/templates$ ping www.youtube.com
PING youtube-ui.l.google.com (200.111.181.208) 56(84) bytes of data.
============
que haria en este caso ?? bloquear todo este rango tambien !!??
Servidores como youtube, google, yahoo, hotmail tienen centenas/miles
de servidores dispersados por todo el globo y bajo innumerables rangos
de IPs... en el caso de iptables, no es posible bloquearlos utilizando
la IP de destino !!!! bueno, posible es, pero ....
para el caso de bloquear algunos sites con iptables, "creo que" tal
vez la mejor alternativa sea utilizar la opción "string" de iptables
iptables -A FORWARD -p tcp --dport 80 -m string --string
"www.youtube.com" -j REJECT
iptables -A FORWARD -p tcp --dport 443 -m string --string
"www.youtube.com" -j REJECT
con esto te debería de bloquear paquetes que contengan la string
"www.youtube.com", lógicamente si intentas abrir alguna otra pagina
que tenga www.youtube.com escrito en alguna parte de la pagina,
también se bloqueara !!!
nota.1: usaría la opcion dport 80, para filtrar un poco la cantidad de
paquetes a analizar por "string".. ya que del contrario serian muchos
paquetes que procesar.
nota.2: el comando de arriba, lo hice de memoria, puede que haya algun
error de digitacion
nota.3: creo que usar un proxy web seria mucho mejor opcion en este caso.
referente al tema de horarios, creo que se podría utilizar CRON para
agregar/quitar las reglas de iptables... al menos hasta donde yo me
recuerdo (cuando lei todo el manual de iptables, hace unos 2 anos la
ultima vez), no exisitia ninguna opcion para manejar horarios.
salu2 a todos.
--
--
Victor Hugo dos Santos
Linux Counter #224399
Victor Hugo dos Santos
Hola,
ufw es un front-end para netfilter (que es el mismo que iptables)...
es algo asi, como una interface gráfica para ayudar a configurar el
cortafuegos, la unica diferencia es que no tiene una interface grafica
!! :-D
salu2
Fabian Ulloa Fuentealba
al que te refieres es a gufw.
Victor Hugo dos Santos
> On Lunes 15 Noviembre 2010 15:20:42 Victor Hugo dos Santos escribió:
[...]
>> Hola,
>>
>> ufw es un front-end para netfilter (que es el mismo que iptables)...
>> es algo asi, como una interface gráfica para ayudar a configurar el
>> cortafuegos, la unica diferencia es que no tiene una interface grafica
>> !! :-D
Hola,
no.. al que me refiero a es a "ufw" (man ufw)
Carlos Albornoz
> Participa en la Red de Trabajos de la ONG LinuxChillán http://www.linuxchillan.org/2009/10/20/red_trabajos_ong_linuxchillan
>
> Talleres en Concepción http://talleres.opensur.org/
> Varios escritorios se han incluido http://www.linuxchillan.org/categoria/escritorios Envía el tuyo a escritorio (screenshot, captura de pantalla, etc.) a escri...@linuxchillan.cl.
>
> Músicos, participen en el concurso de RedPanal http://www.redpanal.com/concurso-software-libre.php
Excelente, que acabas de hacer la tarea al amigo -_-
david saavedra
joaqui...@gmail.com
Como dije en una presentacion, si tu no sabes google si...
Jerry Jeams Duran Brown
En todo caso tu profesor de seguridad te debería enseñar que para eso se ocupa una aplicación de capa 7 como un proxy, los firewall no funcionan tan bien filtrando paginas (No se hicieron para eso).
Date: Mon, 15 Nov 2010 16:01:25 -0300
Subject: Re: [LinuxChillán] Bloquear Youtube por iptables
Raúl García
El 15 de noviembre de 2010 14:11, david saavedra <fra...@gmail.com> escribió:Mi INTENCION NUNK FUE OFENDER......... ES QUE NO ENCUENTRO COMO BLOQUEAR EL YOUTUBE... YA QUE NO MUESTRA LA IP DE YOUTUBE....
ENTONCES COMO SE PODRA BLOQUEAR SI NO TIENES LAS IP????
sALUDOS
Haciendo ping a youtube-ui.l.google.com [74.125.65.190] con 32 bytes de datos:
Respuesta desde 74.125.65.190: bytes=32 tiempo=151ms TTL=57
Respuesta desde 74.125.65.190: bytes=32 tiempo=152ms TTL=57
Respuesta desde 74.125.65.190: bytes=32 tiempo=152ms TTL=57
Respuesta desde 74.125.65.190: bytes=32 tiempo=151ms TTL=57
Esa no son las ip de youtube, youtube usa un servidor "icmp (ping)" de respuesta, que no es el mismo con el que tu te conecta via http (80)
Lo que se recomiendo es instalar un proxy server.
Tampoco con un 75.25.xxx.xxx lo que hará es bloquear un monto de ip.
--
Caerse tiene una logica, levantarse una razón.
Raúl García.
Dios Te bendiga.
Roy Alvear Aguirre
El 15 de noviembre de 2010 14:17, Valericio Carrasco <vale...@gmail.com> escribió:
El 15 de noviembre de 2010 14:11, david saavedra <fra...@gmail.com> escribió:Mi INTENCION NUNK FUE OFENDER......... ES QUE NO ENCUENTRO COMO BLOQUEAR EL YOUTUBE... YA QUE NO MUESTRA LA IP DE YOUTUBE....
ENTONCES COMO SE PODRA BLOQUEAR SI NO TIENES LAS IP????
sALUDOS
Haciendo ping a youtube-ui.l.google.com [74.125.65.190] con 32 bytes de datos:
Respuesta desde 74.125.65.190: bytes=32 tiempo=151ms TTL=57
Respuesta desde 74.125.65.190: bytes=32 tiempo=152ms TTL=57
Respuesta desde 74.125.65.190: bytes=32 tiempo=152ms TTL=57
Respuesta desde 74.125.65.190: bytes=32 tiempo=151ms TTL=57
Mejor que usar ping para descubrir la IP es usar dig o nslockup, por ejemplo
$ dig youtube-ui.l.google.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 21497
;; flags: qr rd ra; QUERY: 1, ANSWER: 16, AUTHORITY: 4, ADDITIONAL: 1
;; QUESTION SECTION:
;youtube-ui.l.google.com. IN A
;; ANSWER SECTION:
youtube-ui.l.google.com. 243 IN A 74.125.229.13
youtube-ui.l.google.com. 243 IN A 74.125.229.14
youtube-ui.l.google.com. 243 IN A 74.125.229.15
youtube-ui.l.google.com. 243 IN A 74.125.229.0
youtube-ui.l.google.com. 243 IN A 74.125.229.1
youtube-ui.l.google.com. 243 IN A 74.125.229.2
youtube-ui.l.google.com. 243 IN A 74.125.229.3
youtube-ui.l.google.com. 243 IN A 74.125.229.4
youtube-ui.l.google.com. 243 IN A 74.125.229.5
youtube-ui.l.google.com. 243 IN A 74.125.229.6
youtube-ui.l.google.com. 243 IN A 74.125.229.7
youtube-ui.l.google.com. 243 IN A 74.125.229.8
youtube-ui.l.google.com. 243 IN A 74.125.229.9
youtube-ui.l.google.com. 243 IN A 74.125.229.10
youtube-ui.l.google.com. 243 IN A 74.125.229.11
youtube-ui.l.google.com. 243 IN A 74.125.229.12
;; AUTHORITY SECTION:
google.com. 165542 IN NS ns3.google.com.
google.com. 165542 IN NS ns4.google.com.
google.com. 165542 IN NS ns1.google.com.
google.com. 165542 IN NS ns2.google.com.
;; ADDITIONAL SECTION:
ns1.google.com. 345519 IN A 216.239.32.10
;; Query time: 28 msec
;; SERVER: 192.168.12.254#53(192.168.12.254)
;; WHEN: Tue Nov 23 14:01:00 2010
;; MSG SIZE rcvd: 385
y hacer lo mismo con youtube.com entrega:
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 54445
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 4, ADDITIONAL: 4
;; QUESTION SECTION:
;youtube.com. IN A
;; ANSWER SECTION:
youtube.com. 222 IN A 74.125.95.93
youtube.com. 222 IN A 74.125.127.93
;; AUTHORITY SECTION:
youtube.com. 172720 IN NS ns4.google.com.
youtube.com. 172720 IN NS ns1.google.com.
youtube.com. 172720 IN NS ns2.google.com.
youtube.com. 172720 IN NS ns3.google.com.
;; ADDITIONAL SECTION:
ns1.google.com. 345520 IN A 216.239.32.10
ns2.google.com. 345520 IN A 216.239.34.10
ns3.google.com. 345520 IN A 216.239.36.10
ns4.google.com. 345520 IN A 216.239.38.10
;; Query time: 25 msec
;; SERVER: 192.168.12.254#53(192.168.12.254)
;; WHEN: Tue Nov 23 14:01:22 2010
;; MSG SIZE rcvd: 204
--
--------------------------------------------
RAcl
Administrador GULIX - www.gulix.cl
Fedora Ambassador - www.fedoraproject.org