Utilizar DNS através de IPTABLES

Leandro Moura
(usa Debian)

Enviado em 20/12/2011 - 12:02h

No meu trabalho foi adicionado o serviço de DNS através do OPENDNS.COM, enquanto isso tudo blz. Colocamos no nosso squid os endereços ips do OPENDNS, para que ele controle o acesso da Internet das máquinas. Como estamos utilizando a versão free, ele restringe algumas funcionalidades.

Meu problema é o seguinte: Se eu liberar o facebook ou o youtube todos poderão acessar normalmente, e se eu bloquear todos serão bloqueados. Não posso escolher uma ou duas ou quantas máquinas se quiser para terem acesso, ou seja, até os chefes ficarão com acesso restrito.

Como esses sites são barrados através do OPENDNS gostaria de saber se tem como eu especificar um determinado endereço ip da minha rede local a sair para Internet através de IPTABLES especificando na regra outro endereço de DNS, por exemplo, o do Google.
Alguém pode me ajudar?
Abraço

saitam
(usa Slackware)

Enviado em 20/12/2011 - 13:21h

Bom, eu acho melhor configurar proxy autenticado no squid, ae crie os usuários e define quais terão acesso total ou restrito.

Mas se mesmo assim quer usar o iptables para efetuar o bloqueio, segue:

iptables -A FORWARD -d www.facebook.com -p tcp --dport 443 -j DROP

iptables -A INPUT -d www.facebook.com -p tcp --dport 443 -j DROP

iptables -A FORWARD -d facebook.com -p tcp --dport 443 -j DROP

iptables -A INPUT -d facebook.com -p tcp --dport 443 -j DROP



iptables -A FORWARD -d www.orkut.com -p tcp --dport 443 -j DROP

iptables -A INPUT -d www.orkut.com -p tcp --dport 443 -j DROP

iptables -A FORWARD -d orkut.com -p tcp --dport 443 -j DROP

iptables -A INPUT -d orkut.com -p tcp --dport 443 -j DROP



iptables -A FORWARD -d https://facebook.com -p tcp --dport 443 -j DROP

iptables -A INPUT -d https://facebook.com -p tcp --dport 443 -j DROP



iptables -A FORWARD -d https://orkut.com -p tcp --dport 443 -j DROP

iptables -A INPUT -d https://orkut.com -p tcp --dport 443 -j DROP

 

phrich
(usa Slackware)

Enviado em 20/12/2011 - 15:00h

Apenas complementando, retire a porta 443 da regra (--dport 443), pois assim ele também bloqueia a porta 80.


Eu também acho melhor realizar o bloqueio pelo próprio squid...

Leandro Moura
(usa Debian)

Enviado em 21/12/2011 - 11:50h

Bom dia
saitam
Não seria bem isso que eu estava pretendendo, mas vou tentar é uma boa solução.
Na verdade eu queria +/- assim, isto é, se for possível:
Iptables ... ... ... ... 192.168.0.10(maq. local) saindo pelo dns 8.8.8.8
Obrigado

Leandro Moura
(usa Debian)

Enviado em 21/12/2011 - 12:20h

Liberei aqui o acesso ao youtube através do OpenDns e tentei bloquear do jeito que você recomendou mas mesmo assim continua liberado, ou seja, não deu certo. Segue abaixo as regras:

iptables -A FORWARD -d www.youtube.com -p tcp -j DROP
iptables -A INPUT -d www.youtube.com -p tcp -j DROP
iptables -A FORWARD -d youtube.com -p tcp -j DROP
iptables -A INPUT -d youtube.com -p tcp -j DROP

Valeu

DManenti
(usa Debian)

Enviado em 28/02/2013 - 15:31h

Olá!

Tente a seguinte regra antes dos teus direcionamentos:

iptables -I FORWARD -s 192.168.1.10 -m string --algo bm --string "facebook" -j DROP

onde 192.168.1.10 pode ser 192.168.1.0/24 para a rede toda
onde "facebook" pode ser "youtube"

mas voce vai encontrar algumas dificuldades pois o youtube é um serviço do google e alguns momentos ele vem com outro host.
No mais, essa regra anda me salvando muito!

grande abraço