Internet Bloqueada, acesso para apenas 1 site [RESOLVIDO]

removido
(usa Nenhuma)

Enviado em 24/02/2012 - 16:21h

coloque na máquina que passa o trafego

iptables -A FORWARD -s 200.104.214.2 ! -d 189.28.143.220 -j DROP

removido
(usa Nenhuma)

Enviado em 29/02/2012 - 15:42h

Conseguiu ?

meoliveira
(usa Debian)

Enviado em 29/02/2012 - 16:02h

Não, nenhuma das formas, sem resultado por enquanto. A estação não acessa nenhum site.

Obrigado pela ajuda, se tiver mais alguma sugestão.

removido
(usa Nenhuma)

Enviado em 29/02/2012 - 16:04h

você tá aplicando as regras em qual máquina ?

pode postar as regras que estão em execução ?

meoliveira
(usa Debian)

Enviado em 29/02/2012 - 16:09h

iptables -A FORWARD -s 192.168.2.91 ! -d 67.215.65.132 -j DROP

A regra é aplicada no meu servidor de internet.

removido
(usa Nenhuma)

Enviado em 29/02/2012 - 16:14h

A máquina que deseja liberar é a 200.104.214.2 ou é alguma de sua rede interna ?

phrich
(usa Slackware)

Enviado em 29/02/2012 - 16:25h

Vou pegar o bonde andando mas tenho um palpite, pois acho que talvez o host não esteja resolvendo nome, sendo assim tente:

iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -I FORWARD -s 200.104.214.2 -d 0/0 !cadweb.datasus.gov.br/main_Portal.asp -j DROP

Testa ai...

Mas como dito anteriormente, vai ser difícil administrar isso só com o iptables, seria melhor usar o squid mesmo, ainda mais se tratando de sites do governo, pois alguns deles tem sessões com outras urls...

meoliveira
(usa Debian)

Enviado em 29/02/2012 - 16:37h

é uma maquina da rede interna, no caso 192.168.2.91, esse 200.104.214.2 foi só um ip qualquer que citei.



Ja adicionei as regras e mais tarde reinicio o servidor para testar, agora fica complicado.

phrich
(usa Slackware)

Enviado em 29/02/2012 - 19:39h

Crie uma função para reler as regras, assim as conexões se mantem ativas:


function stop ()
{

Coloque aqui as regras para deixar tudo liberado
}


function start ()
{

Coloque aqui todas as regras que vc usa
}


case $1 in

start)
start
;;

stop)
stop
;;

restart)
stop
start
;;

*)
echo "Use start | stop | restart"
exit 0
;;

esac

Assim basta vc chamar o seu scrip com o parâmetro restart que ai ele já vai aplicar suas regras mantendo as conexões que estão ativas.

meoliveira
(usa Debian)

Enviado em 01/03/2012 - 07:29h

Não funcionou novamente, segue as regras...

# Compartilha a conexao
modprobe iptable_nat
#modprobe ip_nat_ftp
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

#liberar CADWEB-DATASUS
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -I FORWARD -s 192.168.2.91 -d 0/0 !cadweb.datasus.gov.br/main_Portal.asp -j DROP

#Bloqueio de internet
iptables -A FORWARD -s 192.168.2.77 -d 0/0 -j DROP
iptables -A FORWARD -s 192.168.2.91 -d 0/0 -j DROP
iptables -A FORWARD -s 192.168.2.133 -d 0/0 -j DROP
iptables -A FORWARD -s 192.168.2.204 -d 0/0 -j DROP
iptables -A FORWARD -s 192.168.2.251 -d 0/0 -j DROP
iptables -A FORWARD -s 192.168.2.100 -d 0/0 -j DROP
iptables -A FORWARD -s 192.168.2.65 -d 0/0 -j DROP
iptables -A FORWARD -s 192.168.2.188 -d 0/0 -j DROP
iptables -A FORWARD -s 192.168.2.53 -d 0/0 -j DROP

#Liberar Torrent
iptables -A INPUT -p tcp --destination-port 28753 -j ACCEPT
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 28753 -j DNAT --to-dest 192.168.2.233
iptables -A FORWARD -p tcp -i ppp0 --dport 28753 -d 192.168.2.233 -j ACCEPT
iptables -t nat -A PREROUTING -i ppp0 -p udp --dport 28753 -j DNAT --to-dest 192.168.2.233
iptables -A FORWARD -p udp -i ppp0 --dport 28753 -d 192.168.2.233 -j ACCEPT


#Host liberados do filtro
iptables -t nat -A PREROUTING -s 192.168.2.49 -d 0.0.0.0/0 -j ACCEPT
iptables -t nat -A PREROUTING -s 192.168.2.232 -d 0.0.0.0/0 -j ACCEPT
iptables -t nat -A PREROUTING -s 192.168.2.233 -d 0.0.0.0/0 -j ACCEPT
iptables -t nat -A PREROUTING -s 192.168.2.29 -d 0.0.0.0/0 -j ACCEPT
iptables -t nat -A PREROUTING -s 192.168.2.87 -d 0.0.0.0/0 -j ACCEPT
iptables -t nat -A PREROUTING -s 192.168.2.210 -d 0.0.0.0/0 -j ACCEPT
iptables -t nat -A PREROUTING -s 192.168.2.216 -d 0.0.0.0/0 -j ACCEPT
iptables -t nat -A PREROUTING -s 192.168.2.201 -d 0.0.0.0/0 -j ACCEPT
iptables -t nat -A PREROUTING -s 192.168.2.234 -d 0.0.0.0/0 -j ACCEPT
iptables -t nat -A PREROUTING -s 192.168.2.109 -d 0.0.0.0/0 -j ACCEPT
iptables -t nat -A PREROUTING -s 192.168.2.72 -d 0.0.0.0/0 -j ACCEPT
iptables -t nat -A PREROUTING -s 192.168.2.219 -d 0.0.0.0/0 -j ACCEPT
iptables -t nat -A PREROUTING -s 192.168.2.33 -d 0.0.0.0/0 -j ACCEPT
iptables -t nat -A PREROUTING -s 192.168.2.22 -d 0.0.0.0/0 -j ACCEPT
iptables -t nat -A PREROUTING -s 192.168.2.189 -d 0.0.0.0/0 -j ACCEPT
iptables -t nat -A PREROUTING -s 192.168.2.71 -d 0.0.0.0/0 -j ACCEPT
iptables -t nat -A PREROUTING -s 192.168.2.150 -d 0.0.0.0/0 -j ACCEPT
iptables -t nat -A PREROUTING -s 192.168.2.237 -d 0.0.0.0/0 -j ACCEPT
iptables -t nat -A PREROUTING -s 192.168.2.47 -d 0.0.0.0/0 -j ACCEPT
iptables -t nat -A PREROUTING -s 192.168.2.153 -d 0.0.0.0/0 -j ACCEPT
iptables -t nat -A PREROUTING -s 192.168.2.215 -d 0.0.0.0/0 -j ACCEPT
iptables -t nat -A PREROUTING -s 192.168.2.202 -d 0.0.0.0/0 -j ACCEPT
iptables -t nat -A PREROUTING -s 192.168.2.2 -d 0.0.0.0/0 -j ACCEPT

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

#Liberando ips para update do avira
iptables -t filter -A FORWARD -m iprange --src-range 80.190.143.225-80.190.143.250 -j ACCEPT
iptables -A FORWARD -d personal.avira-update -p tcp --dport 80 -j ACCEPT

gieri
(usa Linux Mint)

Enviado em 01/03/2012 - 08:34h

Percebi que você usa o Squid.

Então porque não usa o mesmo para bloquear tudo para esse IP Local e liberar apenas o site que você deseja.

Mais ou menos assim:

acl liberados url_regex "local/sites_liberados"
http_access allow liberados
http_access deny all

meoliveira
(usa Debian)

Enviado em 01/03/2012 - 08:44h

sim mas ai teria de listar todos os sites liberados, e aqui na empresa não ha uma proibição para acessar apenas alguns sites, tudo é liberado com exceção de sites de conteúdo impróprio, a qual bloqueamos com o family shield que nos resolve esse problema, e alguns sites como orkut, facebook, twitter, esses bloqueando apenas no momento por maquina.


No squid, como faria para liberar tudo para alguns ips, para outros bloquear apenas orkut, facebook, twitter, e para a maquina em questão apenas liberar esse site?


para bloquear alguns sites para todos,tinha uma acl para sites bloqueados que utilizava, mas para uns e para outros não, filtrando por ip ainda não.