Denuncie   Favoritos   Indicar  

Problemas com Bloqueios / Liberação no Iptables

1. Problemas com Bloqueios / Liberação no Iptables

Guilherme
m0rpheu5
(usa Gentoo)

Enviado em 16/03/2016 - 10:06h

Prezados, possuo um servidor Proxy/Firewall e estava funcionando perfeitamente, porém solicitaram que eu efetuasse alguns bloqueios de sites para várias pessoas, com excessão dos gerentes/diretoria, sites como facebook, youtube etc deveriam ser bloqueados, pois bem, como o Squid não bloqueia nada em HTTPS, pesquisei algumas regras e tentei efetuar o bloqueio, eu já tinha algumas máquinas que o Iptables encaminhava diretamente para a porta 80, sem passar pelo proxy, porém após a instalação das regras de bloqueio mesmo as máquinas liberadas nas portas 80 não acessam tais sites. Abaixo segue minha regra do Iptables.

#!/bin/bash

#

# /etc/etc/init.d/iptables.conf

#

# Limpa e inicializa os modulos

#******************************

#

iptables -F

iptables -t nat -F

iptables -t mangle -F

modprobe iptable_nat

#

iptables -t filter -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED

iptables -t filter -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED



# Proxy transparente (Redireciona para o squid)

#********************************************************

iptables -t nat -A PREROUTING -i eth2 -p tcp --dport 80 -j REDIRECT --to-port 3128



iptables -A FORWARD -i ppp+ -o eth2 -j ACCEPT

iptables -A FORWARD -i eth2 -o ppp+ -j ACCEPT



# Compartilha Internet

#********************************************************

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE



echo 1 > /proc/sys/net/ipv4/ip_forward



# Libera maquina do proxy

iptables -t nat -I PREROUTING -s 10.42.43.2 -p tcp --dport 80 -j ACCEPT

iptables -t nat -I PREROUTING -s 10.42.43.3 -p tcp --dport 80 -j ACCEPT

iptables -t nat -I PREROUTING -s 10.42.43.7 -p tcp --dport 80 -j ACCEPT

iptables -t nat -I PREROUTING -s 10.42.43.8 -p tcp --dport 80 -j ACCEPT

iptables -t nat -I PREROUTING -s 10.42.43.11 -p tcp --dport 80 -j ACCEPT

iptables -t nat -I PREROUTING -s 10.42.43.91 -p tcp --dport 80 -j ACCEPT

iptables -t nat -I PREROUTING -s 10.42.43.92 -p tcp --dport 80 -j ACCEPT

iptables -t nat -I PREROUTING -s 10.42.43.93 -p tcp --dport 80 -j ACCEPT

iptables -t nat -I PREROUTING -s 10.42.43.94 -p tcp --dport 80 -j ACCEPT

iptables -t nat -I PREROUTING -s 10.42.43.160 -p tcp --dport 80 -j ACCEPT

iptables -t nat -I PREROUTING -s 10.42.43.197 -p tcp --dport 80 -j ACCEPT

iptables -t nat -I PREROUTING -s 10.42.43.188 -p tcp --dport 80 -j ACCEPT

iptables -t nat -I PREROUTING -s 10.42.43.213 -p tcp --dport 80 -j ACCEPT

iptables -t nat -I PREROUTING -s 10.42.43.216 -p tcp --dport 80 -j ACCEPT

iptables -t nat -I PREROUTING -s 10.42.43.224 -p tcp --dport 80 -j ACCEPT

iptables -t nat -I PREROUTING -s 10.42.43.217 -p tcp --dport 80 -j ACCEPT

iptables -t nat -I PREROUTING -s 10.42.43.218 -p tcp --dport 80 -j ACCEPT



# Bloqueando Sites HTTPS

#iptables -I FORWARD -p tcp --dport 443 -m string --algo bm --string "facebook.com" -j DROP

#iptables -I FORWARD -p tcp --sport 443 -m string --algo bm --string "facebook.com" -j DROP

#iptables -I FORWARD -p tcp --dport 443 -m string --algo bm --string "twitter.com" -j DROP

#iptables -I FORWARD -p tcp --sport 443 -m string --algo bm --string "twitter.com" -j DROP

#iptables -I FORWARD -p tcp --dport 443 -m string --algo bm --string "instagram.com" -j DROP

#iptables -I FORWARD -p tcp --sport 443 -m string --algo bm --string "instagram.com" -j DROP

#iptables -I FORWARD -p tcp --dport 443 -m string --algo bm --string "www.youtube.com" -j DROP

#iptables -I FORWARD -p tcp --sport 443 -m string --algo bm --string "www.youtube.com" -j DROP

#iptables -I FORWARD -p tcp --dport 443 -m string --algo bm --string "netflix.com" -j DROP

#iptables -I FORWARD -p tcp --sport 443 -m string --algo bm --string "netflix.com" -j DROP

#iptables -I FORWARD -p tcp --dport 443 -m string --algo bm --string "spotify.com" -j DROP

#iptables -I FORWARD -p tcp --sport 443 -m string --algo bm --string "spotify.com" -j DROP

#iptables -I FORWARD -p tcp --dport 443 -m string --algo bm --string "vagalume.com.br" -j DROP

#iptables -I FORWARD -p tcp --sport 443 -m string --algo bm --string "vagalume.com.br" -j DROP





# Redirecionamento de Portas

iptables -I FORWARD -p tcp -i ppp0 --dport 3389 -j ACCEPT

iptables -t nat -A PREROUTING -p tcp -i ppp0 --dport 3389 -j DNAT --to-destination 10.42.43.3:3389

iptables -I FORWARD -p tcp -i ppp0 --dport 8080 -j ACCEPT

iptables -t nat -A PREROUTING -p tcp -i ppp0 --dport 8080 -j DNAT --to-destination 10.42.43.3:8080

iptables -I FORWARD -p tcp -i ppp0 --dport 9090 -j ACCEPT

iptables -t nat -A PREROUTING -p tcp -i ppp0 --dport 9090 -j DNAT --to-destination 10.42.43.3:9090

iptables -I FORWARD -p tcp -i ppp0 --dport 28000 -j ACCEPT

iptables -t nat -A PREROUTING -p tcp -i ppp0 --dport 28000 -j DNAT --to-destination 10.42.43.3:28000

iptables -I FORWARD -p tcp -i ppp0 --dport 28001 -j ACCEPT

iptables -t nat -A PREROUTING -p tcp -i ppp0 --dport 28001 -j DNAT --to-destination 10.42.43.3:28001



#############################

echo "Regras do Iptables Reiniciadas"


0 0
  • Quote

    •   


    2. Re: Problemas com Bloqueios / Liberação no Iptables

    Buckminster
    Buckminster
    (usa Debian)

    Enviado em 16/03/2016 - 10:59h

    Veja bem, nesta regra

    iptables -t nat -A PREROUTING -i eth2 -p tcp --dport 80 -j REDIRECT --to-port 3128

    tu direcionas a porta 80 para a porta 3128(Squid).

    E nestas regras
    # Libera maquina do proxy
    iptables -t nat -I PREROUTING -s 10.42.43.2 -p tcp --dport 80 -j ACCEPT
    ...

    tu liberas a porta 80 cujo tráfego foi direcionado anteriormente para a porta 3128, ou seja, a porta 80 está liberada, mas não há tráfego nela.
    O Iptables está fazendo o que mandastes.

    Resumindo, ou tu muda para a porta 3128 ou coloca as regras "# Libera máquina do proxy" antes desta regra: iptables -t nat -A PREROUTING -i eth2 -p tcp --dport 80 -j REDIRECT --to-port 3128.


    LEMBRE-SE: o Iptables lê as regras de cima para baixo e se houver duas ou mais regras conflitantes, vale a primeira.

    Exemplo:

    iptables -A INPUT -p tcp --dport 443 -j ACCEPT
    iptables -A INPUT -p tcp --dport 443 -j REJECT
    iptables -A INPUT -p tcp --dport 443 -j DROP

    A primeira regra libera, a segunda rejeita e a terceira regra, nega o acesso. A primeira regra é que terá o privilégio, então, o acesso na porta 443 será liberado para todos, mesmo rejeitando e negando o acesso nas regras subsequentes.

    https://www.vivaolinux.com.br/artigo/Manual-do-IPtables-Comentarios-e-sugestoes-de-regras

    0 0
  • Quote

    • 3. Re: Problemas com Bloqueios / Liberação no Iptables

    Guilherme
    m0rpheu5
    (usa Gentoo)

    Enviado em 16/03/2016 - 14:50h

    Bom, agora fiz as alterações que vc informou, primeiro tentei mudar as portas de 80 para 3128, e não funcionou, depois voltei tudo para a porta 80, e joguei o direcionamento da porta 80 para 3128 para baixo da regra que libera as maquinas na porta 80, e também não funionou, a regra agora está assim. Nenhuma maquina que deveria estar liberada na porta 80 acessa facebook nem twitter.

    #!/bin/bash
    
#
    
# /etc/etc/init.d/iptables.conf
    
#
    
# Limpa e inicializa os modulos
    
#******************************
    
#
    
iptables -F
    
iptables -t nat -F
    
iptables -t mangle -F
    
modprobe iptable_nat
    
#
    
iptables -t filter -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED
    
iptables -t filter -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
    

    
# Compartilha Internet
    
#********************************************************
    
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
    
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
    
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
    

    
echo 1 > /proc/sys/net/ipv4/ip_forward
    

    
#
    
# Libera maquina do proxy
    
iptables -t nat -I PREROUTING -s 10.42.43.2 -p tcp --dport 80 -j ACCEPT
    
iptables -t nat -I PREROUTING -s 10.42.43.3 -p tcp --dport 80 -j ACCEPT
    
iptables -t nat -I PREROUTING -s 10.42.43.7 -p tcp --dport 80 -j ACCEPT
    
iptables -t nat -I PREROUTING -s 10.42.43.8 -p tcp --dport 80 -j ACCEPT
    
iptables -t nat -I PREROUTING -s 10.42.43.11 -p tcp --dport 80 -j ACCEPT
    
iptables -t nat -I PREROUTING -s 10.42.43.91 -p tcp --dport 80 -j ACCEPT
    
iptables -t nat -I PREROUTING -s 10.42.43.92 -p tcp --dport 80 -j ACCEPT
    
iptables -t nat -I PREROUTING -s 10.42.43.93 -p tcp --dport 80 -j ACCEPT
    
iptables -t nat -I PREROUTING -s 10.42.43.94 -p tcp --dport 80 -j ACCEPT
    
iptables -t nat -I PREROUTING -s 10.42.43.160 -p tcp --dport 80 -j ACCEPT
    
iptables -t nat -I PREROUTING -s 10.42.43.197 -p tcp --dport 80 -j ACCEPT
    
iptables -t nat -I PREROUTING -s 10.42.43.188 -p tcp --dport 80 -j ACCEPT
    
iptables -t nat -I PREROUTING -s 10.42.43.213 -p tcp --dport 80 -j ACCEPT
    
iptables -t nat -I PREROUTING -s 10.42.43.216 -p tcp --dport 80 -j ACCEPT
    
iptables -t nat -I PREROUTING -s 10.42.43.224 -p tcp --dport 80 -j ACCEPT
    
iptables -t nat -I PREROUTING -s 10.42.43.217 -p tcp --dport 80 -j ACCEPT
    
iptables -t nat -I PREROUTING -s 10.42.43.218 -p tcp --dport 80 -j ACCEPT
    

    
#
    
# Proxy transparente (Redireciona para o squid)
    
#********************************************************
    
iptables -t nat -A PREROUTING -i eth2 -p tcp --dport 80 -j REDIRECT --to-port 3128
    
iptables -A FORWARD -i ppp+ -o eth2 -j ACCEPT
    
iptables -A FORWARD -i eth2 -o ppp+ -j ACCEPT
    
#
    
# Bloqueando Sites HTTPS
    
#iptables -I FORWARD -m string --algo bm --string "facebook.com" -j DROP
    
#iptables -A FORWARD -i eth0 -s 192.168.0.2 -m string --algo bm --string "facebook.com" -j ACCEPT #IP LIBERADO
    
#iptables -A FORWARD -i eth1 -d 192.168.0.2 -m string --algo bm --string "facebook.com" -j ACCEPT #IP LIBERADO
    
iptables -I FORWARD -p tcp --dport 443 -m string --algo bm --string "facebook.com" -j DROP
    
iptables -I FORWARD -p tcp --sport 443 -m string --algo bm --string "facebook.com" -j DROP
    
iptables -I FORWARD -p tcp --dport 443 -m string --algo bm --string "twitter.com" -j DROP
    
iptables -I FORWARD -p tcp --sport 443 -m string --algo bm --string "twitter.com" -j DROP
    
#iptables -I FORWARD -p tcp --dport 443 -m string --algo bm --string "instagram.com" -j DROP
    
#iptables -I FORWARD -p tcp --sport 443 -m string --algo bm --string "instagram.com" -j DROP
    
#iptables -I FORWARD -p tcp --dport 443 -m string --algo bm --string "www.youtube.com" -j DROP
    
#iptables -I FORWARD -p tcp --sport 443 -m string --algo bm --string "www.youtube.com" -j DROP
    
#iptables -I FORWARD -p tcp --dport 443 -m string --algo bm --string "netflix.com" -j DROP
    
#iptables -I FORWARD -p tcp --sport 443 -m string --algo bm --string "netflix.com" -j DROP
    
#iptables -I FORWARD -p tcp --dport 443 -m string --algo bm --string "spotify.com" -j DROP
    
#iptables -I FORWARD -p tcp --sport 443 -m string --algo bm --string "spotify.com" -j DROP
    
#iptables -I FORWARD -p tcp --dport 443 -m string --algo bm --string "vagalume.com.br" -j DROP
    
#iptables -I FORWARD -p tcp --sport 443 -m string --algo bm --string "vagalume.com.br" -j DROP
    

    
#
    
# Redirecionamento de Portas
    
iptables -I FORWARD -p tcp -i ppp0 --dport 3389 -j ACCEPT
    
iptables -t nat -A PREROUTING -p tcp -i ppp0 --dport 3389 -j DNAT --to-destination 10.42.43.3:3389
    
iptables -I FORWARD -p tcp -i ppp0 --dport 8080 -j ACCEPT
    
iptables -t nat -A PREROUTING -p tcp -i ppp0 --dport 8080 -j DNAT --to-destination 10.42.43.3:8080
    
iptables -I FORWARD -p tcp -i ppp0 --dport 9090 -j ACCEPT
    
iptables -t nat -A PREROUTING -p tcp -i ppp0 --dport 9090 -j DNAT --to-destination 10.42.43.3:9090
    
iptables -I FORWARD -p tcp -i ppp0 --dport 28000 -j ACCEPT
    
iptables -t nat -A PREROUTING -p tcp -i ppp0 --dport 28000 -j DNAT --to-destination 10.42.43.3:28000
    
iptables -I FORWARD -p tcp -i ppp0 --dport 28001 -j ACCEPT
    
iptables -t nat -A PREROUTING -p tcp -i ppp0 --dport 28001 -j DNAT --to-destination 10.42.43.3:28001
    
#iptables -I FORWARD -p tcp -i eth0 --dport 21 -j ACCEPT
    
#iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 21 -j DNAT --to-destination 192.168.200.14:21
    

    
#############################
    
echo "Regras do Iptables Reiniciadas"


    0 0
  • Quote

    • 4. Re: Problemas com Bloqueios / Liberação no Iptables

    Buckminster
    Buckminster
    (usa Debian)

    Enviado em 17/03/2016 - 09:01h

    Troque aquelas regras de liberação por essas:

    #
    # Libera maquina do proxy
    iptables -t nat -I PREROUTING -s 10.42.43.2 -p tcp -m multiport --dports 80,443 -j ACCEPT
    iptables -t nat -I PREROUTING -s 10.42.43.3 -p tcp -m multiport --dports 80,443 -j ACCEPT
    iptables -t nat -I PREROUTING -s 10.42.43.7 -p tcp -m multiport --dports 80,443 -j ACCEPT
    iptables -t nat -I PREROUTING -s 10.42.43.8 -p tcp -m multiport --dports 80,443 -j ACCEPT
    iptables -t nat -I PREROUTING -s 10.42.43.11 -p tcp -m multiport --dports 80,443 -j ACCEPT
    iptables -t nat -I PREROUTING -s 10.42.43.91 -p tcp -m multiport --dports 80,443 -j ACCEPT
    iptables -t nat -I PREROUTING -s 10.42.43.92 -p tcp -m multiport --dports 80,443 -j ACCEPT
    iptables -t nat -I PREROUTING -s 10.42.43.93 -p tcp -m multiport --dports 80,443 -j ACCEPT
    iptables -t nat -I PREROUTING -s 10.42.43.94 -p tcp -m multiport --dports 80,443 -j ACCEPT
    iptables -t nat -I PREROUTING -s 10.42.43.160 -p tcp -m multiport --dports 80,443 -j ACCEPT
    iptables -t nat -I PREROUTING -s 10.42.43.197 -p tcp -m multiport --dports 80,443 -j ACCEPT
    iptables -t nat -I PREROUTING -s 10.42.43.188 -p tcp -m multiport --dports 80,443 -j ACCEPT
    iptables -t nat -I PREROUTING -s 10.42.43.213 -p tcp -m multiport --dports 80,443 -j ACCEPT
    iptables -t nat -I PREROUTING -s 10.42.43.216 -p tcp -m multiport --dports 80,443 -j ACCEPT
    iptables -t nat -I PREROUTING -s 10.42.43.224 -p tcp -m multiport --dports 80,443 -j ACCEPT
    iptables -t nat -I PREROUTING -s 10.42.43.217 -p tcp -m multiport --dports 80,443 -j ACCEPT
    iptables -t nat -I PREROUTING -s 10.42.43.218 -p tcp -m multiport --dports 80,443 -j ACCEPT

    0 0
  • Quote





    • Patrocínio

    Site hospedado pelo provedor RedeHost.
    Linux banner

    Destaques

    Artigos

    Compartilhando a tela do Computador no Celular via Deskreen

    Como Configurar um Túnel SSH Reverso para Acessar Sua Máquina Local a Partir de uma Máquina Remota

    Configuração para desligamento automatizado de Computadores em um Ambiente Comercial

    O mínimo que você precisa saber sobre o terminal (parte 2)

    O mínimo que você precisa saber sobre o terminal (parte 1)

    Dicas

    Como renomear arquivos de letras maiúsculas para minúsculas

    Imprimindo no formato livreto no Linux

    Vim - incrementando números em substituição

    Efeito "livro" em arquivos PDF

    Como resolver o erro no CUPS: Unable to get list of printer drivers

    Tópicos

    Melhorando a precisão de valores flutuantes em python[AJUDA] (3)

    Distro Tiger OS (2)

    Instalação Uefi com o instalador clássico do Mageia (1)

    Vou voltar moderar conteúdos de Dicas e Artigos (0)

    É cada coisa que me aparece! - não é só 3% (2)

    Top 10 do mês

    Scripts

    [Python] Automação de scan de vulnerabilidades

    [Python] Script para analise de superficie de ataque

    [Shell Script] Novo script para redimensionar, rotacionar, converter e espelhar arquivos de imagem

    [Shell Script] Iniciador de DOOM (DSDA-DOOM, Doom Retro ou Woof!)

    [Shell Script] Script para adicionar bordas às imagens de uma pasta

    A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.

    Site hospedado por: