PROBLEMAS AO BLOQUEAR FACEBOOK POR STRINGS - DESEMPENHO DO FIREWALL

adonisgarces
(usa Debian)

Enviado em 14/11/2013 - 10:01h

Bom dia pessoal!

Depois de muitas pesquisas de como bloquear o facebook na porta 443 e ate consegui por strings utilizando a regra:

#iptables -I FORWARD -m string --algo bm --string "facebook.com" -j DROP

Bloqueou geral, no entanto tive problemas com o outlook, todos emails que eram baixados na porta POP3 (110) não baixavam pois no bloqueio ele lia o cabeçalho que muitas vezes vinha indexado o facebook. No entanto continuei as pesquisas e encontrei a regra funcional que foi certeira.

#iptables -t filter -I FORWARD -p tcp --dport 443 -m string --algo bm --string "facebook.com" -j DROP
#iptables -t filter -I FORWARD -p tcp --sport 443 -m string --algo bm --string "facebook.com" -j DROP

A regra, bloqueou e os emails na porta 110 do outlook voltaram a cair.

Agora o meu problema é...

lentidão na navegação, os sites estão muito lentos e meu iptables é bem simples, pois ainda estou me adaptando com esse firewall.

Segue o meu iptables:



########################################## MEU IPTABLES ############################################


#!/bin/bash
#modprobe iptables_conntrack
#modprobe ip_tables
modprobe iptables_nat
echo 1 > /proc/sys/net/ipv4/ip_forward

###################### COMPARTILHAMENTO DE INTERNET ##############################################

iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

###################### REDIRECIONAMENTO DO SQUID DA PORTA 80 P/ 3128 - PROXY TRANSPARENTE ############################

iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128

##################### LIBERACAO DE STRINGS NA PORTA 443 - HTTPS - DIRETORIA #####################

iptables -t filter -I FORWARD -p tcp --dport 443 -m iprange --src-range 192.168.0.60-192.168.0.70 -m string --algo bm --string "facebook.com" -j ACCEPT
iptables -t filter -I FORWARD -p tcp --sport 443 -m iprange --src-range 192.168.0.60-192.168.0.70 -m string --algo bm --string "facebook.com" -j ACCEPT
#

#################### BLOQUEIO DE STRINGS NA PORTA 443 - HTTPS ########################################

iptables -t filter -I FORWARD -p tcp --dport 443 -m string --algo bm --string "facebook.com" -j DROP
iptables -t filter -I FORWARD -p tcp --sport 443 -m string --algo bm --string "facebook.com" -j DROP


################################# FIM #######################################


Se alguém puder me ajudar serei muito grato.

adonisgarces
(usa Debian)

Enviado em 14/11/2013 - 14:37h

Alguem??

n4t4n
(usa Arch Linux)

Enviado em 15/11/2013 - 13:03h

Pode ser que o problema de lentidão esteja no squid e não no firewall.

Faça o seguinte teste:

Comente com um trash (#) a linha do redirecionamento da porta 80 para a do squid e então teste a velocidade.

Se tiver diferença na velocidade da conexão então o problema estará relacionado ao squid.

Buckminster
(usa Debian)

Enviado em 15/11/2013 - 18:16h

Leia este tópico com calma:
http://www.vivaolinux.com.br/topico/Squid-Iptables/Como-bloquear-no-firewall-uma-string-exceto-se-el...

saitam
(usa Slackware)

Enviado em 15/11/2013 - 22:54h

Faltou adicionar as três regras abaixo que faz state-full.

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

 

adonisgarces
(usa Debian)

Enviado em 18/11/2013 - 09:01h

Amigo n4t4n,

Acredito que algo no firewall mesmo, pois sem as regras o Squid funciona normalmente.

Obrigado!

adonisgarces
(usa Debian)

Enviado em 18/11/2013 - 09:02h

Saitam,

Vou testar a sua dica e volto a postar.

Obrigado.

adonisgarces
(usa Debian)

Enviado em 18/11/2013 - 10:02h

Buckminster, bom dia!!

É só simplesmente criar esse arquivo e colocar ele na inicializaçao?

Nao entendi muito, poderia me ajudar?

Obrigado.

Buckminster
(usa Debian)

Enviado em 18/11/2013 - 15:27h

Passo 1 - Instale o Whois:

# apt-get install whois

Passo 2 - Coloque os comandos dentro do script do Iptables ou crie um arquivo.

Passo 3 - Para criar um arquivo:

# vim /etc/init.d/blockface.sh << usei o vim, você use teu editor de texto preferido.

Passo 4 - Coloque os comandos whois dentro do arquivo:

#!/bin/sh
whois -h whois.radb.net '!gAS32934' | tr ' ' '\n' | grep ^[0-9] > facebook.ip
for i in $(cat facebook.ip); do route add -net $i reject; done

Passo 5 - Salve e saia do arquivo.

Passo 6 - Dê permissão de execução:

# chmod +x /etc/init.d/blockface.sh

Passo 7 - Abra o arquivo /etc/rc.local e coloque a seguinte linha dentro dele, antes de exit 0, assim:

...

/etc/init.d/blockface.sh start

exit 0

Dessa maneira você pode iniciar, parar e reiniciar o script com

# /etc/init.d/blockface.sh start, stop ou restart.

Passo 8 - Salve e saia do arquivo.

Passo 9 - Se quiser reinicie o servidor.

Ou como já falei antes, pode colocar dentro do arquivo do Iptables, acredito que colocando ele no início do script funcionará.
Aliás, você pode seguir os passos acima para colocar o Iptables iniciar junto com o sistema. É só acrescentar a linha no /etc/rc.local:

/etc/init.d/meu_firewal_querido start

exit 0

Ficou alguma dúvida?

adonisgarces
(usa Debian)

Enviado em 18/11/2013 - 15:32h

Obrigado, vou testar!

pensei que tinha que colocar algum range do facebook, algo do tipo.

ja realizei o apt-get install whois e disse que ja esta instalado.

no caso, eu tiro as regras de string que bloqueia o facebook correto?
para que fiquei só atraves dessa regra certo?

adonisgarces
(usa Debian)

Enviado em 18/11/2013 - 17:24h

Outra duvida.

Como faço pra deixar liberado pra um diretor nesse caso?

Buckminster
(usa Debian)

Enviado em 18/11/2013 - 21:11h

"no caso, eu tiro as regras de string que bloqueia o facebook correto?
para que fiquei só atraves dessa regra certo?"

Sim, tira as outras regras.

E para liberar para um IP específico terá que implementar o código do whois.
Mas se você colocu no script do Iptables, coloque esta regra abaixo ANTES das regras do whois:

iptables -I FORWARD -s ip_do_meu_querido_diretor -j ACCEPT

Reinicie o Iptables e teste.
Mas veja bem, esta regra acima libera o IP ali colocado e permite que ele tenha acesso a tudo na rede. Inclusive ele não passará pelo Squid.