Bloqueio de sites https por (string) e Mac Address [RESOLVIDO]

suportecavalcant
(usa CentOS)

Enviado em 15/09/2013 - 16:56h

Boa tarde a todos do fórum, sou novo no fórum e até já dei uma pesquisada no próprio fórum e as informações que tive não me ajudaram muito, estou com um probleminha em realizar bloqueio de sites https e libera-los apenas para algumas maquinas da rede. hoje utilizo o iptables para fazer este bloqueio e já consigo faze-lo para facebook, twitter e etc que utilizem a porta 443 https e também consigo liberar apenas para algumas maquinas em minha rede, gostaria de bloquear por MAC e não por IP, pois vai que algum espertinho descobre o IP do chefe e o usa para navegar sem bloqueio nas redes sociais quando a maquina do chefe estiver desligada, por isso gostaria de saber se é possível tal bloqueio por MAC, segue abaixo informações sobre meu Proxy e regras de iptables que uso atualmente e funcionando 100%.

S.O: Centos 5.9 Final
Squid: 2.6 stable
Kernel: Linux 2.6.18-348.16.1.el5 em x86_64
Proxy: transparente e redirecionando o trafego da porta 80 para a 3128

#squid.conf# regras que utilizo

eth0 = internet
eth1 = rede local
IP = 192.168.2.100 (PC Do Diretor)

-A FORWARD -m string -d 192.168.2.100 -i eth0 -j ACCEPT --algo bm --string "twitter" # DIRETOR
-A FORWARD -m string -d 192.168.2.100 -i eth0 -j ACCEPT --algo bm --string "facebook" # DIRETOR
-A FORWARD -m string -s 192.168.2.100 -i eth1 -j ACCEPT --algo bm --string "twitter" # DIRETOR
-A FORWARD -m string -s 192.168.2.100 -i eth1 -j ACCEPT --algo bm --string "facebook" # DIRETOR
-A FORWARD -m string -d 192.168.2.0/24 -i eth0 -j DROP --algo bm --string "twitter" # REDE INTEIRA
-A FORWARD -m string -d 192.168.2.0/24 -i eth0 -j DROP --algo bm --string "facebook" # REDE INTEIRA
-A FORWARD -m string -i eth1 -j DROP --algo bm --string "twitter" # REDE INTEIRA
-A FORWARD -m string -i eth1 -j DROP --algo bm --string "facebook" # REDE INTEIRA

Com a regra acima consigo bloquear toda a rede para acesso ao facebook http ou https, e liberar apenas para o diretor ter acesso, como implementar esta regra para que ao invés do IP do chefe eu use o MAC da placa de rede do pc dele?

Para quem procura uma solução de bloqueio de sites https o uso do módulo string está me atendendo muito bem, obrigado a todos.

stefaniobrunhara
(usa CentOS)

Enviado em 15/09/2013 - 18:51h

Hoje qualquer placa de rede da suporte a troca do mac address, talvez seja o caso de você implementar policy de segurança na sua rede, e retirar do seu usuário a permissão de alterar as configurações de rede.

phoemur
(usa Debian)

Enviado em 15/09/2013 - 20:07h

Você poderia usar o módulo mac do iptables
algo do tipo:

iptables -I FORWARD -m string --algo bm --string "facebook" -i eth1 -m mac --mac-source 00:0F:EA:91:04:08 -j ACCEPT
iptables -A FORWARD -m string --algo bm --string "facebook" -j DROP

ou então

iptables -I FORWARD -m string --algo bm --string "facebook" -m mac ! --mac-source 00:0F:EA:91:04:08 -j DROP



Agora spoofar o endereço mac também é fácil...

phoemur
(usa Debian)

Enviado em 15/09/2013 - 20:13h

Outra seria usar o comando ebtables que também é bem flexível...
http://ebtables.sourceforge.net/examples/basic.html

suportecavalcant
(usa CentOS)

Enviado em 23/09/2013 - 19:46h

Olá amigo, obrigado pelas respostas, o comando acima não funcionou, preferi seguir seu conselho implementando uma politica de segurança em minha rede, criei usuários limitados nas maquinas uma a uma, assim eles não conseguirão trocar o IP, obrigado pela força.

stefaniobrunhara
(usa CentOS)

Enviado em 24/09/2013 - 09:51h

De nada!
Abordar o problema de forma correta simplifica a solução.