Enviado em 16/03/2016 - 10:06h
Prezados, possuo um servidor Proxy/Firewall e estava funcionando perfeitamente, porém solicitaram que eu efetuasse alguns bloqueios de sites para várias pessoas, com excessão dos gerentes/diretoria, sites como facebook, youtube etc deveriam ser bloqueados, pois bem, como o Squid não bloqueia nada em HTTPS, pesquisei algumas regras e tentei efetuar o bloqueio, eu já tinha algumas máquinas que o Iptables encaminhava diretamente para a porta 80, sem passar pelo proxy, porém após a instalação das regras de bloqueio mesmo as máquinas liberadas nas portas 80 não acessam tais sites. Abaixo segue minha regra do Iptables.#!/bin/bash # # /etc/etc/init.d/iptables.conf # # Limpa e inicializa os modulos #****************************** # iptables -F iptables -t nat -F iptables -t mangle -F modprobe iptable_nat # iptables -t filter -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED iptables -t filter -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED # Proxy transparente (Redireciona para o squid) #******************************************************** iptables -t nat -A PREROUTING -i eth2 -p tcp --dport 80 -j REDIRECT --to-port 3128 iptables -A FORWARD -i ppp+ -o eth2 -j ACCEPT iptables -A FORWARD -i eth2 -o ppp+ -j ACCEPT # Compartilha Internet #******************************************************** iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE echo 1 > /proc/sys/net/ipv4/ip_forward # Libera maquina do proxy iptables -t nat -I PREROUTING -s 10.42.43.2 -p tcp --dport 80 -j ACCEPT iptables -t nat -I PREROUTING -s 10.42.43.3 -p tcp --dport 80 -j ACCEPT iptables -t nat -I PREROUTING -s 10.42.43.7 -p tcp --dport 80 -j ACCEPT iptables -t nat -I PREROUTING -s 10.42.43.8 -p tcp --dport 80 -j ACCEPT iptables -t nat -I PREROUTING -s 10.42.43.11 -p tcp --dport 80 -j ACCEPT iptables -t nat -I PREROUTING -s 10.42.43.91 -p tcp --dport 80 -j ACCEPT iptables -t nat -I PREROUTING -s 10.42.43.92 -p tcp --dport 80 -j ACCEPT iptables -t nat -I PREROUTING -s 10.42.43.93 -p tcp --dport 80 -j ACCEPT iptables -t nat -I PREROUTING -s 10.42.43.94 -p tcp --dport 80 -j ACCEPT iptables -t nat -I PREROUTING -s 10.42.43.160 -p tcp --dport 80 -j ACCEPT iptables -t nat -I PREROUTING -s 10.42.43.197 -p tcp --dport 80 -j ACCEPT iptables -t nat -I PREROUTING -s 10.42.43.188 -p tcp --dport 80 -j ACCEPT iptables -t nat -I PREROUTING -s 10.42.43.213 -p tcp --dport 80 -j ACCEPT iptables -t nat -I PREROUTING -s 10.42.43.216 -p tcp --dport 80 -j ACCEPT iptables -t nat -I PREROUTING -s 10.42.43.224 -p tcp --dport 80 -j ACCEPT iptables -t nat -I PREROUTING -s 10.42.43.217 -p tcp --dport 80 -j ACCEPT iptables -t nat -I PREROUTING -s 10.42.43.218 -p tcp --dport 80 -j ACCEPT # Bloqueando Sites HTTPS #iptables -I FORWARD -p tcp --dport 443 -m string --algo bm --string "facebook.com" -j DROP #iptables -I FORWARD -p tcp --sport 443 -m string --algo bm --string "facebook.com" -j DROP #iptables -I FORWARD -p tcp --dport 443 -m string --algo bm --string "twitter.com" -j DROP #iptables -I FORWARD -p tcp --sport 443 -m string --algo bm --string "twitter.com" -j DROP #iptables -I FORWARD -p tcp --dport 443 -m string --algo bm --string "instagram.com" -j DROP #iptables -I FORWARD -p tcp --sport 443 -m string --algo bm --string "instagram.com" -j DROP #iptables -I FORWARD -p tcp --dport 443 -m string --algo bm --string "www.youtube.com" -j DROP #iptables -I FORWARD -p tcp --sport 443 -m string --algo bm --string "www.youtube.com" -j DROP #iptables -I FORWARD -p tcp --dport 443 -m string --algo bm --string "netflix.com" -j DROP #iptables -I FORWARD -p tcp --sport 443 -m string --algo bm --string "netflix.com" -j DROP #iptables -I FORWARD -p tcp --dport 443 -m string --algo bm --string "spotify.com" -j DROP #iptables -I FORWARD -p tcp --sport 443 -m string --algo bm --string "spotify.com" -j DROP #iptables -I FORWARD -p tcp --dport 443 -m string --algo bm --string "vagalume.com.br" -j DROP #iptables -I FORWARD -p tcp --sport 443 -m string --algo bm --string "vagalume.com.br" -j DROP # Redirecionamento de Portas iptables -I FORWARD -p tcp -i ppp0 --dport 3389 -j ACCEPT iptables -t nat -A PREROUTING -p tcp -i ppp0 --dport 3389 -j DNAT --to-destination 10.42.43.3:3389 iptables -I FORWARD -p tcp -i ppp0 --dport 8080 -j ACCEPT iptables -t nat -A PREROUTING -p tcp -i ppp0 --dport 8080 -j DNAT --to-destination 10.42.43.3:8080 iptables -I FORWARD -p tcp -i ppp0 --dport 9090 -j ACCEPT iptables -t nat -A PREROUTING -p tcp -i ppp0 --dport 9090 -j DNAT --to-destination 10.42.43.3:9090 iptables -I FORWARD -p tcp -i ppp0 --dport 28000 -j ACCEPT iptables -t nat -A PREROUTING -p tcp -i ppp0 --dport 28000 -j DNAT --to-destination 10.42.43.3:28000 iptables -I FORWARD -p tcp -i ppp0 --dport 28001 -j ACCEPT iptables -t nat -A PREROUTING -p tcp -i ppp0 --dport 28001 -j DNAT --to-destination 10.42.43.3:28001 ############################# echo "Regras do Iptables Reiniciadas"
Enviado em 16/03/2016 - 10:59h
Veja bem, nesta regraEnviado em 16/03/2016 - 14:50h
Bom, agora fiz as alterações que vc informou, primeiro tentei mudar as portas de 80 para 3128, e não funcionou, depois voltei tudo para a porta 80, e joguei o direcionamento da porta 80 para 3128 para baixo da regra que libera as maquinas na porta 80, e também não funionou, a regra agora está assim. Nenhuma maquina que deveria estar liberada na porta 80 acessa facebook nem twitter.#!/bin/bash # # /etc/etc/init.d/iptables.conf # # Limpa e inicializa os modulos #****************************** # iptables -F iptables -t nat -F iptables -t mangle -F modprobe iptable_nat # iptables -t filter -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED iptables -t filter -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED # Compartilha Internet #******************************************************** iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE echo 1 > /proc/sys/net/ipv4/ip_forward # # Libera maquina do proxy iptables -t nat -I PREROUTING -s 10.42.43.2 -p tcp --dport 80 -j ACCEPT iptables -t nat -I PREROUTING -s 10.42.43.3 -p tcp --dport 80 -j ACCEPT iptables -t nat -I PREROUTING -s 10.42.43.7 -p tcp --dport 80 -j ACCEPT iptables -t nat -I PREROUTING -s 10.42.43.8 -p tcp --dport 80 -j ACCEPT iptables -t nat -I PREROUTING -s 10.42.43.11 -p tcp --dport 80 -j ACCEPT iptables -t nat -I PREROUTING -s 10.42.43.91 -p tcp --dport 80 -j ACCEPT iptables -t nat -I PREROUTING -s 10.42.43.92 -p tcp --dport 80 -j ACCEPT iptables -t nat -I PREROUTING -s 10.42.43.93 -p tcp --dport 80 -j ACCEPT iptables -t nat -I PREROUTING -s 10.42.43.94 -p tcp --dport 80 -j ACCEPT iptables -t nat -I PREROUTING -s 10.42.43.160 -p tcp --dport 80 -j ACCEPT iptables -t nat -I PREROUTING -s 10.42.43.197 -p tcp --dport 80 -j ACCEPT iptables -t nat -I PREROUTING -s 10.42.43.188 -p tcp --dport 80 -j ACCEPT iptables -t nat -I PREROUTING -s 10.42.43.213 -p tcp --dport 80 -j ACCEPT iptables -t nat -I PREROUTING -s 10.42.43.216 -p tcp --dport 80 -j ACCEPT iptables -t nat -I PREROUTING -s 10.42.43.224 -p tcp --dport 80 -j ACCEPT iptables -t nat -I PREROUTING -s 10.42.43.217 -p tcp --dport 80 -j ACCEPT iptables -t nat -I PREROUTING -s 10.42.43.218 -p tcp --dport 80 -j ACCEPT # # Proxy transparente (Redireciona para o squid) #******************************************************** iptables -t nat -A PREROUTING -i eth2 -p tcp --dport 80 -j REDIRECT --to-port 3128 iptables -A FORWARD -i ppp+ -o eth2 -j ACCEPT iptables -A FORWARD -i eth2 -o ppp+ -j ACCEPT # # Bloqueando Sites HTTPS #iptables -I FORWARD -m string --algo bm --string "facebook.com" -j DROP #iptables -A FORWARD -i eth0 -s 192.168.0.2 -m string --algo bm --string "facebook.com" -j ACCEPT #IP LIBERADO #iptables -A FORWARD -i eth1 -d 192.168.0.2 -m string --algo bm --string "facebook.com" -j ACCEPT #IP LIBERADO iptables -I FORWARD -p tcp --dport 443 -m string --algo bm --string "facebook.com" -j DROP iptables -I FORWARD -p tcp --sport 443 -m string --algo bm --string "facebook.com" -j DROP iptables -I FORWARD -p tcp --dport 443 -m string --algo bm --string "twitter.com" -j DROP iptables -I FORWARD -p tcp --sport 443 -m string --algo bm --string "twitter.com" -j DROP #iptables -I FORWARD -p tcp --dport 443 -m string --algo bm --string "instagram.com" -j DROP #iptables -I FORWARD -p tcp --sport 443 -m string --algo bm --string "instagram.com" -j DROP #iptables -I FORWARD -p tcp --dport 443 -m string --algo bm --string "www.youtube.com" -j DROP #iptables -I FORWARD -p tcp --sport 443 -m string --algo bm --string "www.youtube.com" -j DROP #iptables -I FORWARD -p tcp --dport 443 -m string --algo bm --string "netflix.com" -j DROP #iptables -I FORWARD -p tcp --sport 443 -m string --algo bm --string "netflix.com" -j DROP #iptables -I FORWARD -p tcp --dport 443 -m string --algo bm --string "spotify.com" -j DROP #iptables -I FORWARD -p tcp --sport 443 -m string --algo bm --string "spotify.com" -j DROP #iptables -I FORWARD -p tcp --dport 443 -m string --algo bm --string "vagalume.com.br" -j DROP #iptables -I FORWARD -p tcp --sport 443 -m string --algo bm --string "vagalume.com.br" -j DROP # # Redirecionamento de Portas iptables -I FORWARD -p tcp -i ppp0 --dport 3389 -j ACCEPT iptables -t nat -A PREROUTING -p tcp -i ppp0 --dport 3389 -j DNAT --to-destination 10.42.43.3:3389 iptables -I FORWARD -p tcp -i ppp0 --dport 8080 -j ACCEPT iptables -t nat -A PREROUTING -p tcp -i ppp0 --dport 8080 -j DNAT --to-destination 10.42.43.3:8080 iptables -I FORWARD -p tcp -i ppp0 --dport 9090 -j ACCEPT iptables -t nat -A PREROUTING -p tcp -i ppp0 --dport 9090 -j DNAT --to-destination 10.42.43.3:9090 iptables -I FORWARD -p tcp -i ppp0 --dport 28000 -j ACCEPT iptables -t nat -A PREROUTING -p tcp -i ppp0 --dport 28000 -j DNAT --to-destination 10.42.43.3:28000 iptables -I FORWARD -p tcp -i ppp0 --dport 28001 -j ACCEPT iptables -t nat -A PREROUTING -p tcp -i ppp0 --dport 28001 -j DNAT --to-destination 10.42.43.3:28001 #iptables -I FORWARD -p tcp -i eth0 --dport 21 -j ACCEPT #iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 21 -j DNAT --to-destination 192.168.200.14:21 ############################# echo "Regras do Iptables Reiniciadas"
Enviado em 17/03/2016 - 09:01h
Troque aquelas regras de liberação por essas:Passkeys: A Evolução da Autenticação Digital
Instalação de distro Linux em computadores, netbooks, etc, em rede com o Clonezilla
Título: Descobrindo o IP externo da VPN no Linux
Armazenando a senha de sua carteira Bitcoin de forma segura no Linux
Enviar mensagem ao usuário trabalhando com as opções do php.ini
Instalação Microsoft Edge no Linux Mint 22
Como configurar posicionamento e movimento de janelas no Lubuntu (Openbox) com atalhos de teclado
Máquinas Virtuais com IP estático acessando Internet no Virtualbox