bloquear porta 443 [RESOLVIDO]

emerson2703
(usa CentOS)

Enviado em 11/05/2010 - 16:21h

Boa tarde


Existem alguns links que utiliza a porta 443 para vc acessar a internet, onde trabalho esta acontecendo isto esta porta esta liberado no meu iptables se eu bloquear os sites de banco nao iram acessar, como que faço para bloquear a porta 443 e so deixar liberados para o acesso dos bancos. utilizo squid e iptables.

renato_pacheco
(usa Debian)

Enviado em 11/05/2010 - 16:45h

Isso deve ser feito no seu iptables. Se a política do seu forward for drop, acrescente os seguintes sites, dessa forma:

iptables -A FORWARD -i eth0 -d seubanco.com.br -p tcp --dport 443 -j ACCEPT

E faça isso para os outros sites. Pode t alguma alternativa melhor, mas eu vejo esta apenas.

eduardo
(usa Linux Mint)

Enviado em 11/05/2010 - 16:50h

O você simplesmente pode marcar o proxy na estação. Você pode acessar por qualquer porta através do squid, basta configurar o proxy na estação e liberar a porta no squid. A 443 se não me engano já é liberada por padrão nas SSL_Ports

renato_pacheco
(usa Debian)

Enviado em 11/05/2010 - 16:53h

@thedrummer, eu entendi o q vc quis dizer, mas eu ouvi falar q se redirecionar todo o tráfego 443 para o squid (3128) não é certo. Pq? Vc sabe?

eduardo
(usa Linux Mint)

Enviado em 11/05/2010 - 17:00h

Isso que você quer fazer é proxy transparente. O squid apenas consegue fazer transparencia para a porta 80. Para a 443 não.
O que você precisa fazer é deixar a 443 bloqueada no firewall. A liberação você faz no squid. Redirecionar 443 para a 3128 não funciona. Por isso, é necessário configurar o proxy na estação.

renato_pacheco
(usa Debian)

Enviado em 11/05/2010 - 17:07h

@thedrummer, eu discordo em relação ao redirecionamento do tráfego da porta 443 pro squid funciona. O problema é q disseram pra mim q isso seria como se fosse um man-in-the-middle, mas eu não acho. O q vc acha?

eduardo
(usa Linux Mint)

Enviado em 11/05/2010 - 17:26h

O que eu quis dizer é que não dá para fazer proxy transparente para a porta 443. Só para a 80.

nefa
(usa Debian)

Enviado em 11/05/2010 - 17:42h

vejam esse link

http://www.vivaolinux.com.br/topico/Squid-Iptables/Porta-443-1

eu libero os sites antes da negação da porta 443

como o renato_pacheco falou
eu descubro qual a porta antes

# nslookup site

depois libero ela
# iptables -A FORWARD -d ip -p tcp --dport 443 -j ACCEPT

eduardo
(usa Linux Mint)

Enviado em 11/05/2010 - 17:47h

Isso mesmo, como comentei, proxy transparente para 443 não funciona.
Se quiseres continuar utilizando tranparencia, terá que setar a mão cada site que quiser liberar, como o pessoal comentou.
Senão, basta configurar o proxy nos navegadores que tudo funciona.

renato_pacheco
(usa Debian)

Enviado em 11/05/2010 - 17:50h

Ah, tá. Agora entendi. Valew pela explicação, @jnroot e @thedrummer.

fbsalvi
(usa Outra)

Enviado em 12/05/2010 - 17:01h

cara faz o seguinte trava a porta 443 no iptables e depois libera para o que realmente necessita.

Dica ja dita acima pelos amigos.

Fabiano.

fbsalvi
(usa Outra)

Enviado em 12/05/2010 - 17:05h

Veja um exemplo , aki eu travei a porta 443 pra alguns, e no iptales eu uso as regras abaixo e funciona certim (https)

Se for de utilidade pra ti...

Segue exemplo:

/usr/sbin/iptables -A INPUT -s 192.168.0.0/24 -p tcp -d internetbanking.caixa.gov.br -j ACCEPT
/usr/sbin/iptables -A OUTPUT -s 192.168.0.0/24 -p tcp -d internetbanking.caixa.gov.br -j ACCEPT
/usr/sbin/iptables -A FORWARD -s 192.168.0.0/24 -p tcp -d internetbanking.caixa.gov.br -j ACCEPT
/usr/sbin/iptables -t nat -A PREROUTING -i eth1 -s 192.168.0.0/24 -p tcp -d internetbanking.caixa.gov.br --dport 80 -j ACCEPT
/usr/sbin/iptables -t nat -A PREROUTING -i eth1 -s 192.168.0.0/24 -p tcp -d internetbanking.caixa.gov.br --dport 443 -j ACCEPT
/usr/sbin/iptables -t nat -A POSTROUTING -p tcp -d internetbanking.caixa.gov.br -j MASQUERADE

Veja que no exemplo acima to liberando um modulo https do site da caixa federal pra rede, mas pode ser para um unico micro, basta informar o IP.

lembrando que eth1= placa LAN

Fabiano.