Iptables regra inversa

ncampos
(usa Debian)

Enviado em 24/11/2015 - 11:17h

Bom dia,
estou com dificuldades em bloqueios de redes sociais com squid3 modo transparente.
consegui bloquear com a regra abaixo:

iptables -I FORWARD -s $REDE -m string --string 'youtube' --algo bm -j DROP

porem existe ip's livres que devem ser irrestritos na rede,apenas os sites "redes sociais" barrados no IPTABLES nao acessam,acredito que devo formar a regra INVERSA para liberar ao IP que desejo, COMO DEVE SER A REGRA INVERSA A ESSE BLOQUEIO?

sergeimartao
(usa Linux Mint)

Enviado em 24/11/2015 - 13:51h

ncampos

Nesse caso libere primeiro os sites conhecidos usando ACCEPT e depois faça o bloqueio com a regra de DROP existe. Dessa forma a primeira regra impedira dos sites específicos de cair no DROP.

andreicordova
(usa Fedora)

Enviado em 24/11/2015 - 14:12h

Vocês quer fazer em squid ou iptables?

eu tenho este tipo de bloqueio aqui, e uso o squid para controlar acesso aos sites, inclusive redes sociais,
no modo transparente (intercept) do squid temos o problema de sites que usam SSL

pra funcionar bloquear sites como facebook e twitter que entram com https
você não deve usar modo transparente, mas proxy configurado manualmente nas estações ou quem sabe WPAD
eu uso WPAD e funciona perfeitamente pra mim

vocês está redirecionando as portas 80 e 443 para a porta do squid, como está fazendo?

ncampos
(usa Debian)

Enviado em 24/11/2015 - 14:21h

Obrigado pelo retorno,

Uso Squid e Iptables,bloqueios e liberações de sites via squid. redirecionamentos,ip livre e portas via IPtables.
conforme a necessidade utilizei o Iptables para bloqueios de redes sociais,ta tudo funcionando... porem os Ip's que sao de livre navegação nao acessam as redes socias bloqueadas.
redirecionei apenas a 80 para 3128, se redirecionar a 443 da erros de certificado.

andreicordova
(usa Fedora)

Enviado em 24/11/2015 - 14:48h

sites com HTTPS gera erro de certificado por você usar proxy transparente,
se vocês usar WPAD (excelente solução no meu ver) pode filtrar os acessos a sites SSL com o squid tb
no caso do iptables, conforme comentado acima, deve liberar o acesso aos IP's com ACCEPT e depois uma regra com DROP
ex:
iptables origem usuario1 ACCEPT
iptables origem usuario2 ACCEPT
iptables origem rede DROP

mas eu acredito que usar o squid pra isso funciona melhor,
cria uma ACL, com lista de redes sociais e quem tem acesso
como eu uso em uma rede 192.168.7.0/24 com gateway 192.168.7.1:

## IPTABLES - direciona para porta 3128 com proxy transparente caso algum host não tenha aceitado o wpad
iptables -t nat -A PREROUTING -s 192.168.7.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -s 192.168.7.0/24 -p tcp --dport 443 -j REDIRECT --to-port 3128

# SQUID - você deve configurar as ACL's
http_port 3128 intercept
http_port 3129

## WPAD.DAT - informa o host para usar proxy na porta 3129, neste caso vai funcionar sites com SSL
function FindProxyForURL(url, host) {
if (
isInNet((host), "192.168.7.0", "255.255.0.0") ||
isInNet((host), "127.0.0.0", "255.0.0.0") ||
isPlainHostName(host)
)
return "DIRECT";
else
return "PROXY 192.168.7.1:3129";
}

informações sobre WPAD
http://www.vivaolinux.com.br/artigo/Configuracao-automatica-(mesmo)-de-proxy-com-WPAD