¡Te damos la bienvenida al nuevo sysarmy --help! Para recuperar tu usuario pedí un password reset.

Router que pueda filtrar dominios con https

Hola

Tengo varios routers instalados con OpenWRT o con DD-WRT o con Gargoyle (una especie de front end de OpenWRT).

Estoy necesitando armar un filtro por el cual sólo se pueda acceder a determinados sitios webs y no se puedan acceder a todos los demas (o sea, un "Deny All", con sus correspondientes excepciones). En otras palabras, que los usuarios sólo puedan ingresar a los sitios de los bancos, de la afip, de sus clientes o proveedores, etc. Y a nada mas.

En principio, esto lo logro hacer fácilmente con las herramientas que traen estos firmwares. PERO en todos los casos me surge el mismo problema: Si el dominio es accedido por https, esta regla deja de funcionar.

Y, claro, resulta ser que los sitios que más se desea que no sean accedidos utilizan ese protocolo, sin ir más lejos: youtube.com, facebook.com o pokerstars.com

En el OpenWRT he instalado el tinyproxy, (que se autodenomina "light-weight HTTP/HTTPS proxy daemon") pero el resultado es el mismo, las urls de los sitios accedidos con https no son filtrados.

Por el momento, implementé un workaround poniendo en el DNS de los routers aquellos dominios que definitivamente no quiero que sean accedidos, y apuntando al 127.0.0.1 (o similar).

La pregunta es: Pudo alguien poder hacer andar algun tipo de proxy (o similar) que corra dentro de un router y que permita el filtrado por nombre de dominio aún por HTTPS?

Saludos

Dante



Resulta que, si bien en todas estas implementaciones puedo poner filtros

Respuestas

  • La forma mas simple es usar directamente IPTables con el string a bloquear, aunque te recomendaría fijarte porque si ponen la IP se lo saltan, así que junto a un fakeDNS sería la solución completa:

    iptables -I FORWARD -p tcp –dport 443 -m string –string ‘facebook’ –algo bm -j DROP

    Revisalo, lo arme de memoria pero debería andar con HTTPS

    Avisa como te fue
  • Todo es muy simple. Hecho con un servidor de seguridad:
    1) Nos enteramos de direcciones IP de los dominios que necesitan ser resueltos.
    2) Permite "caminar" a nuestros clientes en estas direcciones.
    3) Permitir las consultas DNS de los clientes a nuestro router
    4) Permitir algo más (si es necesario).
    5) Prohíbe el resto del tráfico
Este hilo ha sido cerrado.