Enviado em 16/03/2016 - 10:06h
Prezados, possuo um servidor Proxy/Firewall e estava funcionando perfeitamente, porém solicitaram que eu efetuasse alguns bloqueios de sites para várias pessoas, com excessão dos gerentes/diretoria, sites como facebook, youtube etc deveriam ser bloqueados, pois bem, como o Squid não bloqueia nada em HTTPS, pesquisei algumas regras e tentei efetuar o bloqueio, eu já tinha algumas máquinas que o Iptables encaminhava diretamente para a porta 80, sem passar pelo proxy, porém após a instalação das regras de bloqueio mesmo as máquinas liberadas nas portas 80 não acessam tais sites. Abaixo segue minha regra do Iptables.#!/bin/bash # # /etc/etc/init.d/iptables.conf # # Limpa e inicializa os modulos #****************************** # iptables -F iptables -t nat -F iptables -t mangle -F modprobe iptable_nat # iptables -t filter -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED iptables -t filter -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED # Proxy transparente (Redireciona para o squid) #******************************************************** iptables -t nat -A PREROUTING -i eth2 -p tcp --dport 80 -j REDIRECT --to-port 3128 iptables -A FORWARD -i ppp+ -o eth2 -j ACCEPT iptables -A FORWARD -i eth2 -o ppp+ -j ACCEPT # Compartilha Internet #******************************************************** iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE echo 1 > /proc/sys/net/ipv4/ip_forward # Libera maquina do proxy iptables -t nat -I PREROUTING -s 10.42.43.2 -p tcp --dport 80 -j ACCEPT iptables -t nat -I PREROUTING -s 10.42.43.3 -p tcp --dport 80 -j ACCEPT iptables -t nat -I PREROUTING -s 10.42.43.7 -p tcp --dport 80 -j ACCEPT iptables -t nat -I PREROUTING -s 10.42.43.8 -p tcp --dport 80 -j ACCEPT iptables -t nat -I PREROUTING -s 10.42.43.11 -p tcp --dport 80 -j ACCEPT iptables -t nat -I PREROUTING -s 10.42.43.91 -p tcp --dport 80 -j ACCEPT iptables -t nat -I PREROUTING -s 10.42.43.92 -p tcp --dport 80 -j ACCEPT iptables -t nat -I PREROUTING -s 10.42.43.93 -p tcp --dport 80 -j ACCEPT iptables -t nat -I PREROUTING -s 10.42.43.94 -p tcp --dport 80 -j ACCEPT iptables -t nat -I PREROUTING -s 10.42.43.160 -p tcp --dport 80 -j ACCEPT iptables -t nat -I PREROUTING -s 10.42.43.197 -p tcp --dport 80 -j ACCEPT iptables -t nat -I PREROUTING -s 10.42.43.188 -p tcp --dport 80 -j ACCEPT iptables -t nat -I PREROUTING -s 10.42.43.213 -p tcp --dport 80 -j ACCEPT iptables -t nat -I PREROUTING -s 10.42.43.216 -p tcp --dport 80 -j ACCEPT iptables -t nat -I PREROUTING -s 10.42.43.224 -p tcp --dport 80 -j ACCEPT iptables -t nat -I PREROUTING -s 10.42.43.217 -p tcp --dport 80 -j ACCEPT iptables -t nat -I PREROUTING -s 10.42.43.218 -p tcp --dport 80 -j ACCEPT # Bloqueando Sites HTTPS #iptables -I FORWARD -p tcp --dport 443 -m string --algo bm --string "facebook.com" -j DROP #iptables -I FORWARD -p tcp --sport 443 -m string --algo bm --string "facebook.com" -j DROP #iptables -I FORWARD -p tcp --dport 443 -m string --algo bm --string "twitter.com" -j DROP #iptables -I FORWARD -p tcp --sport 443 -m string --algo bm --string "twitter.com" -j DROP #iptables -I FORWARD -p tcp --dport 443 -m string --algo bm --string "instagram.com" -j DROP #iptables -I FORWARD -p tcp --sport 443 -m string --algo bm --string "instagram.com" -j DROP #iptables -I FORWARD -p tcp --dport 443 -m string --algo bm --string "www.youtube.com" -j DROP #iptables -I FORWARD -p tcp --sport 443 -m string --algo bm --string "www.youtube.com" -j DROP #iptables -I FORWARD -p tcp --dport 443 -m string --algo bm --string "netflix.com" -j DROP #iptables -I FORWARD -p tcp --sport 443 -m string --algo bm --string "netflix.com" -j DROP #iptables -I FORWARD -p tcp --dport 443 -m string --algo bm --string "spotify.com" -j DROP #iptables -I FORWARD -p tcp --sport 443 -m string --algo bm --string "spotify.com" -j DROP #iptables -I FORWARD -p tcp --dport 443 -m string --algo bm --string "vagalume.com.br" -j DROP #iptables -I FORWARD -p tcp --sport 443 -m string --algo bm --string "vagalume.com.br" -j DROP # Redirecionamento de Portas iptables -I FORWARD -p tcp -i ppp0 --dport 3389 -j ACCEPT iptables -t nat -A PREROUTING -p tcp -i ppp0 --dport 3389 -j DNAT --to-destination 10.42.43.3:3389 iptables -I FORWARD -p tcp -i ppp0 --dport 8080 -j ACCEPT iptables -t nat -A PREROUTING -p tcp -i ppp0 --dport 8080 -j DNAT --to-destination 10.42.43.3:8080 iptables -I FORWARD -p tcp -i ppp0 --dport 9090 -j ACCEPT iptables -t nat -A PREROUTING -p tcp -i ppp0 --dport 9090 -j DNAT --to-destination 10.42.43.3:9090 iptables -I FORWARD -p tcp -i ppp0 --dport 28000 -j ACCEPT iptables -t nat -A PREROUTING -p tcp -i ppp0 --dport 28000 -j DNAT --to-destination 10.42.43.3:28000 iptables -I FORWARD -p tcp -i ppp0 --dport 28001 -j ACCEPT iptables -t nat -A PREROUTING -p tcp -i ppp0 --dport 28001 -j DNAT --to-destination 10.42.43.3:28001 ############################# echo "Regras do Iptables Reiniciadas"
Enviado em 16/03/2016 - 10:59h
Veja bem, nesta regraEnviado em 16/03/2016 - 14:50h
Bom, agora fiz as alterações que vc informou, primeiro tentei mudar as portas de 80 para 3128, e não funcionou, depois voltei tudo para a porta 80, e joguei o direcionamento da porta 80 para 3128 para baixo da regra que libera as maquinas na porta 80, e também não funionou, a regra agora está assim. Nenhuma maquina que deveria estar liberada na porta 80 acessa facebook nem twitter.#!/bin/bash # # /etc/etc/init.d/iptables.conf # # Limpa e inicializa os modulos #****************************** # iptables -F iptables -t nat -F iptables -t mangle -F modprobe iptable_nat # iptables -t filter -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED iptables -t filter -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED # Compartilha Internet #******************************************************** iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE echo 1 > /proc/sys/net/ipv4/ip_forward # # Libera maquina do proxy iptables -t nat -I PREROUTING -s 10.42.43.2 -p tcp --dport 80 -j ACCEPT iptables -t nat -I PREROUTING -s 10.42.43.3 -p tcp --dport 80 -j ACCEPT iptables -t nat -I PREROUTING -s 10.42.43.7 -p tcp --dport 80 -j ACCEPT iptables -t nat -I PREROUTING -s 10.42.43.8 -p tcp --dport 80 -j ACCEPT iptables -t nat -I PREROUTING -s 10.42.43.11 -p tcp --dport 80 -j ACCEPT iptables -t nat -I PREROUTING -s 10.42.43.91 -p tcp --dport 80 -j ACCEPT iptables -t nat -I PREROUTING -s 10.42.43.92 -p tcp --dport 80 -j ACCEPT iptables -t nat -I PREROUTING -s 10.42.43.93 -p tcp --dport 80 -j ACCEPT iptables -t nat -I PREROUTING -s 10.42.43.94 -p tcp --dport 80 -j ACCEPT iptables -t nat -I PREROUTING -s 10.42.43.160 -p tcp --dport 80 -j ACCEPT iptables -t nat -I PREROUTING -s 10.42.43.197 -p tcp --dport 80 -j ACCEPT iptables -t nat -I PREROUTING -s 10.42.43.188 -p tcp --dport 80 -j ACCEPT iptables -t nat -I PREROUTING -s 10.42.43.213 -p tcp --dport 80 -j ACCEPT iptables -t nat -I PREROUTING -s 10.42.43.216 -p tcp --dport 80 -j ACCEPT iptables -t nat -I PREROUTING -s 10.42.43.224 -p tcp --dport 80 -j ACCEPT iptables -t nat -I PREROUTING -s 10.42.43.217 -p tcp --dport 80 -j ACCEPT iptables -t nat -I PREROUTING -s 10.42.43.218 -p tcp --dport 80 -j ACCEPT # # Proxy transparente (Redireciona para o squid) #******************************************************** iptables -t nat -A PREROUTING -i eth2 -p tcp --dport 80 -j REDIRECT --to-port 3128 iptables -A FORWARD -i ppp+ -o eth2 -j ACCEPT iptables -A FORWARD -i eth2 -o ppp+ -j ACCEPT # # Bloqueando Sites HTTPS #iptables -I FORWARD -m string --algo bm --string "facebook.com" -j DROP #iptables -A FORWARD -i eth0 -s 192.168.0.2 -m string --algo bm --string "facebook.com" -j ACCEPT #IP LIBERADO #iptables -A FORWARD -i eth1 -d 192.168.0.2 -m string --algo bm --string "facebook.com" -j ACCEPT #IP LIBERADO iptables -I FORWARD -p tcp --dport 443 -m string --algo bm --string "facebook.com" -j DROP iptables -I FORWARD -p tcp --sport 443 -m string --algo bm --string "facebook.com" -j DROP iptables -I FORWARD -p tcp --dport 443 -m string --algo bm --string "twitter.com" -j DROP iptables -I FORWARD -p tcp --sport 443 -m string --algo bm --string "twitter.com" -j DROP #iptables -I FORWARD -p tcp --dport 443 -m string --algo bm --string "instagram.com" -j DROP #iptables -I FORWARD -p tcp --sport 443 -m string --algo bm --string "instagram.com" -j DROP #iptables -I FORWARD -p tcp --dport 443 -m string --algo bm --string "www.youtube.com" -j DROP #iptables -I FORWARD -p tcp --sport 443 -m string --algo bm --string "www.youtube.com" -j DROP #iptables -I FORWARD -p tcp --dport 443 -m string --algo bm --string "netflix.com" -j DROP #iptables -I FORWARD -p tcp --sport 443 -m string --algo bm --string "netflix.com" -j DROP #iptables -I FORWARD -p tcp --dport 443 -m string --algo bm --string "spotify.com" -j DROP #iptables -I FORWARD -p tcp --sport 443 -m string --algo bm --string "spotify.com" -j DROP #iptables -I FORWARD -p tcp --dport 443 -m string --algo bm --string "vagalume.com.br" -j DROP #iptables -I FORWARD -p tcp --sport 443 -m string --algo bm --string "vagalume.com.br" -j DROP # # Redirecionamento de Portas iptables -I FORWARD -p tcp -i ppp0 --dport 3389 -j ACCEPT iptables -t nat -A PREROUTING -p tcp -i ppp0 --dport 3389 -j DNAT --to-destination 10.42.43.3:3389 iptables -I FORWARD -p tcp -i ppp0 --dport 8080 -j ACCEPT iptables -t nat -A PREROUTING -p tcp -i ppp0 --dport 8080 -j DNAT --to-destination 10.42.43.3:8080 iptables -I FORWARD -p tcp -i ppp0 --dport 9090 -j ACCEPT iptables -t nat -A PREROUTING -p tcp -i ppp0 --dport 9090 -j DNAT --to-destination 10.42.43.3:9090 iptables -I FORWARD -p tcp -i ppp0 --dport 28000 -j ACCEPT iptables -t nat -A PREROUTING -p tcp -i ppp0 --dport 28000 -j DNAT --to-destination 10.42.43.3:28000 iptables -I FORWARD -p tcp -i ppp0 --dport 28001 -j ACCEPT iptables -t nat -A PREROUTING -p tcp -i ppp0 --dport 28001 -j DNAT --to-destination 10.42.43.3:28001 #iptables -I FORWARD -p tcp -i eth0 --dport 21 -j ACCEPT #iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 21 -j DNAT --to-destination 192.168.200.14:21 ############################# echo "Regras do Iptables Reiniciadas"
Enviado em 17/03/2016 - 09:01h
Troque aquelas regras de liberação por essas:Passkeys: A Evolução da Autenticação Digital
Instalação de distro Linux em computadores, netbooks, etc, em rede com o Clonezilla
Título: Descobrindo o IP externo da VPN no Linux
Armazenando a senha de sua carteira Bitcoin de forma segura no Linux
Enviar mensagem ao usuário trabalhando com as opções do php.ini
Instalação Microsoft Edge no Linux Mint 22
Como configurar posicionamento e movimento de janelas no Lubuntu (Openbox) com atalhos de teclado
Máquinas Virtuais com IP estático acessando Internet no Virtualbox
Falha no Gnome Display Manager (4)
Será possível instalar Linux Mint LMDE em Sony Vaio? (15)
travamento teclado e mouse USB (2)