IPtables - Bloquear Facebook, Twitter e derivados [Definitivo]
Resolvi escrever esta dica, pois uso proxy transparente e como não faço um redirect da porta 443, o
Facebook e
Twitter passam pelo endereço HTTPS.
Comecei a fazer monitoramentos na minha rede com softwares para ver a real fonte.
Analisado o problema, vamos para a solução.
Foram feitos testes por celulares
Android e iOS. Em Windows e
GNU/Linux consegui bloquear 100%.
Depois de muito estudo e testes, seguem as regras.
Se for usar as regras do seu FORWARD padrão, deixe com a "FLAG -A", se for usar abaixo das regras existentes, coloque a "FLAG -I".
iptables -A FORWARD -i eth1 -s 192.168.1.113 -m string --algo bm --string "facebook.com" -j ACCEPT #IP LIBERADO
iptables -A FORWARD -i eth1 -s 192.168.1.113 -m string --algo bm --string "twitter.com" -j ACCEPT #IP LIBERADO
iptables -A FORWARD -i eth1 -m string --algo bm --string "facebook.com" -j LOG --log-prefix " acesso facebook: " --log-level alert #LOG DE ACESSO
iptables -A FORWARD -i eth1 -m string --algo bm --string "twitter.com" -j LOG --log-prefix " acesso twitter: " --log-level alert #LOG DE ACESSO
iptables -A FORWARD -i eth1 -m string --algo bm --string "facebook.com" -j DROP #BLOQUEIA GERAL
iptables -A FORWARD -i eth1 -m string --algo bm --string "twitter.com" -j DROP #BLOQUEIA GERAL
Essa é a regra chave: sites de autenticação HTTPS. Como não estão passando pelo proxy, pegam a porta 443 na
eth0 direto na placa de masquerade e passam fora.
Após a regra, faço o bloqueio com:
iptables -A FORWARD -i eth0 -d 192.168.1.113 -m string --algo bm --string "facebook.com" -j ACCEPT #IP LIBERADO
iptables -A FORWARD -i eth0 -d 192.168.1.113 -m string --algo bm --string "twitter.com" -j ACCEPT #IP LIBERADO
iptables -A FORWARD -i eth0 -d 192.168.1.0/24 -m string --algo bm --string "facebook.com" -j LOG --log-prefix " acesso facebook: " --log-level alert #LOG DE ACESSO
iptables -A FORWARD -i eth0 -d 192.168.1.0/24 -m string --algo bm --string "facebook.com" -j LOG --log-prefix " acesso twitter: " --log-level alert #LOG DE ACESSO
iptables -A FORWARD -i eth0 -d 192.168.1.0/24 -m string --algo bm --string "facebook.com" -j DROP #BLOQUEIA GERAL
iptables -A FORWARD -i eth0 -d 192.168.1.0/24 -m string --algo bm --string "twitter.com" -j DROP #BLOQUEIA GERAL
Valeu galera.
Referências:
Outras dicas deste autor
Como descobrir seu IP externo com cURL
Shellshock (Slackware): Falha de segurança grave no bash [Resolvido]
Logs do Squid de forma legível
SqStat com Squid 3.3.6 monitorando usuários
PHP - Fatal error: Allowed memory size of bytes exhausted [Resolvido]
Leitura recomendada
Atualização do ClamAV no Kurumin
Nunca execute esses comandos
Metasploit no Debian 8 Jessie
Atualizando ID de chave no Debian 9 codinome Stretch
Backtrack 4 XSpy
Comentários
100% valeu aí! Trabalho em Orgão público em minha cidade e implantei a regra dada acima e funcionou tranquilo.
Opa é isso ai. qualquer coisa só perguntar.
Mensagem
Opa é isso ai. qualquer coisa só perguntar.
Amigo, sou iniciante em Linux, mais aqui na empresa, estou sofrendo com isso.
Eu tenho que inserir essa regra dentro do meu rc.local, no caso as duas uma após a outra?
Aguardo retorno.
Obrigado pelo post.
Adonis Drummer
Mensagem
Amigo, sou iniciante em Linux, mais aqui na empresa, estou sofrendo com isso.
Eu tenho que inserir essa regra dentro do meu rc.local, no caso as duas uma após a outra?
Aguardo retorno.
Obrigado pelo post.
Adonis Drummer
Oi adonisdrummer, seguinte você vai adicionar assim para bloquear.
Caso queira liberar algum ip
iptables -A FORWARD -i eth1 -s 192.168.1.113 -m string --algo bm --string "facebook.com" -j ACCEPT #IP LIBERADO
iptables -A FORWARD -i eth0 -d 192.168.1.113 -m string --algo bm --string "facebook.com" -j ACCEPT #IP LIBERADO
Caso queira bloquear tudo segue a regra abaixo.
iptables -A FORWARD -i eth1 -m string --algo bm --string "facebook.com" -j DROP
iptables -A FORWARD -i eth1 -m string --algo bm --string "twitter.com" -j DROP
iptables -A FORWARD -i eth0 -d 192.168.1.0/24 -m string --algo bm --string "facebook.com" -j DROP
iptables -A FORWARD -i eth0 -d 192.168.1.0/24 -m string --algo bm --string "twitter.com" -j DROP
Agora se não funcionar coloque a FLAG -I no lugar da -A ok..
Abraço.
Mensagem
Oi adonisdrummer, seguinte você vai adicionar assim para bloquear.
Caso queira liberar algum ip
iptables -A FORWARD -i eth1 -s 192.168.1.113 -m string --algo bm --string "facebook.com" -j ACCEPT #IP LIBERADO
iptables -A FORWARD -i eth0 -d 192.168.1.113 -m string --algo bm --string "facebook.com" -j ACCEPT #IP LIBERADO
Caso queira bloquear tudo segue a regra abaixo.
iptables -A FORWARD -i eth1 -m string --algo bm --string "facebook.com" -j DROP
iptables -A FORWARD -i eth1 -m string --algo bm --string "twitter.com" -j DROP
iptables -A FORWARD -i eth0 -d 192.168.1.0/24 -m string --algo bm --string "facebook.com" -j DROP
iptables -A FORWARD -i eth0 -d 192.168.1.0/24 -m string --algo bm --string "twitter.com" -j DROP
Agora se não funcionar coloque a FLAG -I no lugar da -A ok..
Abraço.
eth0 - É WAN
eth1 - É LAN
??
Desculpa mais sou pouco leigo ainda.
Abs.
Mensagem
eth0 - É WAN
eth1 - É LAN
??
Desculpa mais sou pouco leigo ainda.
Abs.
No meu caso eth0 é WAN externo e eth1 e LAN é interno.
Mensagem
No meu caso eth0 é WAN externo e eth1 e LAN é interno.
Valeu Krum, aqui na empresa é o inverso por isso a pergunta.
Vou testar.
Obrigado.
Abs,
Adonis Drummer
Mensagem
Valeu Krum, aqui na empresa é o inverso por isso a pergunta.
Vou testar.
Obrigado.
Abs,
Adonis Drummer
Krum, outra pergunta.
Tenho alguns Ip's que são liberados acesso total no meu squid3.
Ai eu setando a regra de bloqueio geral no IPTABLES na qual vc citou, os ip´s que estao liberados pelo squid vai navegar, ou tenho que colocar os Ip's liberados novamente na regra.?
Abs,
Adonis
Mensagem
Krum, outra pergunta.
Tenho alguns Ip's que são liberados acesso total no meu squid3.
Ai eu setando a regra de bloqueio geral no IPTABLES na qual vc citou, os ip´s que estao liberados pelo squid vai navegar, ou tenho que colocar os Ip's liberados novamente na regra.?
Abs,
Adonis
Tem que colocar o ip no iptables, quanto no squid.
Mensagem
Tem que colocar o ip no iptables, quanto no squid.
Krum,
Amigao, desculpa a demora mais fiz da maneira como vc me falou ai coloquei as regras do ip's liberado, ate ai blza, só que todo o trafego HTTPS da regra geral nao funciona mais.
E agora?
Mensagem
Krum,
Amigao, desculpa a demora mais fiz da maneira como vc me falou ai coloquei as regras do ip's liberado, ate ai blza, só que todo o trafego HTTPS da regra geral nao funciona mais.
E agora?
Me mande uma analogia da sua rede fazendo favor, e o trafego https parou depois da regra iptables ou squid ?
Mensagem
Me mande uma analogia da sua rede fazendo favor, e o trafego https parou depois da regra iptables ou squid ?
Dps do Iptables.
Vou te mandar o meu arquivo rc.local
Mensagem
Dps do Iptables.
Vou te mandar o meu arquivo rc.local
Muito Obrigado, sua dica foi a única que deu certo e não depende de gambiarra. Apenas um comentário, enquanto eu tentava entender o script, acho que tem um detalhe. Veja se confere: Ele loga o acesso pela string e depois ele lê os acessos e imediatamente bloquei o ip que tem aquela string correto? Ele faz isso 2 vezes, uma para lan e outra para wan. Veja:
iptables -A FORWARD -i eth0 -d 192.168.1.0/24 -m string --algo bm --string "facebook.com" -j LOG --log-prefix " acesso facebook: " --log-level alert #LOG DE ACESSO
>>ESTA LINHA>> iptables -A FORWARD -i eth0 -d 192.168.1.0/24 -m string --algo bm --string "facebook.com" -j LOG --log-prefix " acesso twitter: " --log-level alert #LOG DE ACESSO
iptables -A FORWARD -i eth0 -d 192.168.1.0/24 -m string --algo bm --string "facebook.com" -j DROP #BLOQUEIA GERAL
iptables -A FORWARD -i eth0 -d 192.168.1.0/24 -m string --algo bm --string "twitter.com" -j DROP #BLOQUEIA GERAL
Você tem duas linhas logando acesso ao facebook e nenhuma logando o twitter.com. A linha em destaque não deveria ser:
iptables -A FORWARD -i eth0 -d 192.168.1.0/24 -m string --algo bm --string "twitter.com" -j LOG --log-prefix " acesso twitter: " --log-level alert #LOG DE ACESSO
Outra pergunta: você realmente viu necessidade de bloquear o que "volta" pela wan também, ou é apenas pra ficar caprichado?
Mais uma vez obrigado, e desculpe o incomodo, estou aprendendo e tenho curiosidade.
Valeu.
Mensagem
Muito Obrigado, sua dica foi a única que deu certo e não depende de gambiarra. Apenas um comentário, enquanto eu tentava entender o script, acho que tem um detalhe. Veja se confere: Ele loga o acesso pela string e depois ele lê os acessos e imediatamente bloquei o ip que tem aquela string correto? Ele faz isso 2 vezes, uma para lan e outra para wan. Veja:
iptables -A FORWARD -i eth0 -d 192.168.1.0/24 -m string --algo bm --string "facebook.com" -j LOG --log-prefix " acesso facebook: " --log-level alert #LOG DE ACESSO
>>ESTA LINHA>> iptables -A FORWARD -i eth0 -d 192.168.1.0/24 -m string --algo bm --string "facebook.com" -j LOG --log-prefix " acesso twitter: " --log-level alert #LOG DE ACESSO
iptables -A FORWARD -i eth0 -d 192.168.1.0/24 -m string --algo bm --string "facebook.com" -j DROP #BLOQUEIA GERAL
iptables -A FORWARD -i eth0 -d 192.168.1.0/24 -m string --algo bm --string "twitter.com" -j DROP #BLOQUEIA GERAL
Você tem duas linhas logando acesso ao facebook e nenhuma logando o twitter.com. A linha em destaque não deveria ser:
iptables -A FORWARD -i eth0 -d 192.168.1.0/24 -m string --algo bm --string "twitter.com" -j LOG --log-prefix " acesso twitter: " --log-level alert #LOG DE ACESSO
Outra pergunta: você realmente viu necessidade de bloquear o que "volta" pela wan também, ou é apenas pra ficar caprichado?
Mais uma vez obrigado, e desculpe o incomodo, estou aprendendo e tenho curiosidade.
Valeu.
Krum, conforme prometido segue abaixo meu arquivo.
GNU nano 2.2.4 Arquivo: rc.local
#! /bin/sh
### BEGIN INIT INFO
# Provides: rc.local
# Required-Start: $remote_fs $syslog $all
# Required-Stop:
# Default-Start: 2 3 4 5
# Default-Stop:
# Short-Description: Run /etc/rc.local if it exist
### END INIT INFO
PATH=/sbin:/usr/sbin:/bin:/usr/bin
. /lib/init/vars.sh
. /lib/lsb/init-functions
#regras do squid transparente
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
modprobe iptable_nat
iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128
#iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p tcp --dport 443 -j REDIRECT --to-port 3128
#fim de regras do squid transparente
#Libera Https - sites especificos abaixo - Ip que acessam#
########################SERVIDOR##############################################
iptables -A FORWARD -i eth0 -s 192.168.0.2 -m string --algo bm --string "facebook.com" -j ACCEPT #IP LIBERADO
iptables -A FORWARD -i eth1 -d 192.168.0.2 -m string --algo bm --string "facebook.com" -j ACCEPT #IP LIBERADO
iptables -A FORWARD -i eth0 -s 192.168.0.2 -m string --algo bm --string "youtube" -j ACCEPT #IP LIBERADO
iptables -A FORWARD -i eth1 -d 192.168.0.2 -m string --algo bm --string "youtube" -j ACCEPT #IP LIBERADO
############################ SUPORTE ######################################
iptables -A FORWARD -i eth0 -s 192.168.0.71 -m string --algo bm --string "facebook.com" -j ACCEPT #IP LIBERADO
iptables -A FORWARD -i eth1 -d 192.168.0.71 -m string --algo bm --string "facebook.com" -j ACCEPT #IP LIBERADO
iptables -A FORWARD -i eth0 -s 192.168.0.71 -m string --algo bm --string "youtube" -j ACCEPT #IP LIBERADO
iptables -A FORWARD -i eth1 -d 192.168.0.71 -m string --algo bm --string "youtube" -j ACCEPT #IP LIBERADO
###################### Bloqueia Sites para os demais #################################
iptables -A FORWARD -i eth0 -m string --algo bm --string "facebook.com" -j DROP
iptables -A FORWARD -i eth1 -d 192.168.0.0/24 -m string --algo bm --string "facebook.com" -j DROP
iptables -A FORWARD -i eth0 -m string --algo bm --string "youtube.com" -j DROP
iptables -A FORWARD -i eth1 -d 192.168.0.0/24 -m string --algo bm --string "youtube.com" -j DROP
Mensagem
Krum, conforme prometido segue abaixo meu arquivo.
GNU nano 2.2.4 Arquivo: rc.local
#! /bin/sh
### BEGIN INIT INFO
# Provides: rc.local
# Required-Start: $remote_fs $syslog $all
# Required-Stop:
# Default-Start: 2 3 4 5
# Default-Stop:
# Short-Description: Run /etc/rc.local if it exist
### END INIT INFO
PATH=/sbin:/usr/sbin:/bin:/usr/bin
. /lib/init/vars.sh
. /lib/lsb/init-functions
#regras do squid transparente
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
modprobe iptable_nat
iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128
#iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p tcp --dport 443 -j REDIRECT --to-port 3128
#fim de regras do squid transparente
#Libera Https - sites especificos abaixo - Ip que acessam#
########################SERVIDOR##############################################
iptables -A FORWARD -i eth0 -s 192.168.0.2 -m string --algo bm --string "facebook.com" -j ACCEPT #IP LIBERADO
iptables -A FORWARD -i eth1 -d 192.168.0.2 -m string --algo bm --string "facebook.com" -j ACCEPT #IP LIBERADO
iptables -A FORWARD -i eth0 -s 192.168.0.2 -m string --algo bm --string "youtube" -j ACCEPT #IP LIBERADO
iptables -A FORWARD -i eth1 -d 192.168.0.2 -m string --algo bm --string "youtube" -j ACCEPT #IP LIBERADO
############################ SUPORTE ######################################
iptables -A FORWARD -i eth0 -s 192.168.0.71 -m string --algo bm --string "facebook.com" -j ACCEPT #IP LIBERADO
iptables -A FORWARD -i eth1 -d 192.168.0.71 -m string --algo bm --string "facebook.com" -j ACCEPT #IP LIBERADO
iptables -A FORWARD -i eth0 -s 192.168.0.71 -m string --algo bm --string "youtube" -j ACCEPT #IP LIBERADO
iptables -A FORWARD -i eth1 -d 192.168.0.71 -m string --algo bm --string "youtube" -j ACCEPT #IP LIBERADO
###################### Bloqueia Sites para os demais #################################
iptables -A FORWARD -i eth0 -m string --algo bm --string "facebook.com" -j DROP
iptables -A FORWARD -i eth1 -d 192.168.0.0/24 -m string --algo bm --string "facebook.com" -j DROP
iptables -A FORWARD -i eth0 -m string --algo bm --string "youtube.com" -j DROP
iptables -A FORWARD -i eth1 -d 192.168.0.0/24 -m string --algo bm --string "youtube.com" -j DROP
Krum, outro detalhe.
A regra é funcional, porém eu tenho que colocar o proxy para que as estações que entram na regra de bloqueio geral funcione os demais sites que navegam em HTTPS, exceto o que está na lista de bloqueio.
O que pode ser?
Uso Proxy Transparente.
Mensagem
Krum, outro detalhe.
A regra é funcional, porém eu tenho que colocar o proxy para que as estações que entram na regra de bloqueio geral funcione os demais sites que navegam em HTTPS, exceto o que está na lista de bloqueio.
O que pode ser?
Uso Proxy Transparente.
Bom dia Krum!
sou usuario inciante do Linux, tenho uma rede em que preciso bloquear o acesso ao facebook e tentei utilizar a regra que voce indicou, mas quando coloco a regra no iptables, ele retorna um erro:
'iptables v1.4.4: invalid mask `243' specified'
a regra utilizada foi essa
iptables -I FORWARD -i eth0 -m string --algo bm --string "facebook.com" -j DROP
iptables -I FORWARD -i eth0 -m string --algo bm --string "twitter.com" -j DROP
iptables -I FORWARD -i eth1 -d 192.168.10.2/243 -m string --algo bm --string "facebook.com" -j DROP
iptables -I FORWARD -i eth1 -d 192.168.10.2/243 -m string --algo bm --string "twitter.com" -j DROP
onde 2/243 é o rang do ip.
voce poderia me ajudar?
desde já agradeço!!
Thiago Medeiros
Mensagem
Bom dia Krum!
sou usuario inciante do Linux, tenho uma rede em que preciso bloquear o acesso ao facebook e tentei utilizar a regra que voce indicou, mas quando coloco a regra no iptables, ele retorna um erro:
'iptables v1.4.4: invalid mask `243' specified'
a regra utilizada foi essa
iptables -I FORWARD -i eth0 -m string --algo bm --string "facebook.com" -j DROP
iptables -I FORWARD -i eth0 -m string --algo bm --string "twitter.com" -j DROP
iptables -I FORWARD -i eth1 -d 192.168.10.2/243 -m string --algo bm --string "facebook.com" -j DROP
iptables -I FORWARD -i eth1 -d 192.168.10.2/243 -m string --algo bm --string "twitter.com" -j DROP
onde 2/243 é o rang do ip.
voce poderia me ajudar?
desde já agradeço!!
Thiago Medeiros
bom dia, mesmo lendo os comentários ainda tenho dúvidas. No meu local de trabalho tenho implementado a seguinte regra:
iptables -I FORWARD -m string --algo bm --string "instagram.com" -j DROP (utilizo apenas essa regra no rc.local)
o facebook fica bloqueado para a rede local (eth1) e apenas o servidor de internet tem acesso ao site, mas ao tentar adicionar a mesma regra a mesma regra para outros serviços como instagram/twitter, os sites estão passando.
Outra dúvida que tenho é quando é adicionado o entereço Ip na regra, esse endereço é o da placa da rede local(eth1)? Obrigado
Mensagem
bom dia, mesmo lendo os comentários ainda tenho dúvidas. No meu local de trabalho tenho implementado a seguinte regra:
iptables -I FORWARD -m string --algo bm --string "instagram.com" -j DROP (utilizo apenas essa regra no rc.local)
o facebook fica bloqueado para a rede local (eth1) e apenas o servidor de internet tem acesso ao site, mas ao tentar adicionar a mesma regra a mesma regra para outros serviços como instagram/twitter, os sites estão passando.
Outra dúvida que tenho é quando é adicionado o entereço Ip na regra, esse endereço é o da placa da rede local(eth1)? Obrigado
Mensagem
thiagomedeiros,deve ter algum erro na seu calculo de rede da uma olhada aqui http://www.subnet-calculator.com/
lester_guimaraes isso mesmo, e a rede local eth1, faz a regra de ida e de volta.
Mensagem
lester_guimaraes isso mesmo, e a rede local eth1, faz a regra de ida e de volta.
Na minha rede local estou usando classe A no seguinte paddrão: 10.10.10.1 endereço do servidor e nat atribuindo dhcp de 10.10.10.10 - 10.10.10.200
###############ARQUIVO DE CONFIGURAÇÃO###############
subnet 10.10.10.0 netmask 255.255.255.0 {
range 10.10.10.10 10.10.10.200;
option subnet-mask 255.255.255.0;
option routers 10.10.10.1;
option domain-name-servers 10.10.10.34,10.1.1.2,10.1.1.100;
option broadcast-address 10.10.10.255;
No caso a minha range deveria ir de 1 - 126, Correto?
Mensagem
Na minha rede local estou usando classe A no seguinte paddrão: 10.10.10.1 endereço do servidor e nat atribuindo dhcp de 10.10.10.10 - 10.10.10.200
###############ARQUIVO DE CONFIGURAÇÃO###############
subnet 10.10.10.0 netmask 255.255.255.0 {
range 10.10.10.10 10.10.10.200;
option subnet-mask 255.255.255.0;
option routers 10.10.10.1;
option domain-name-servers 10.10.10.34,10.1.1.2,10.1.1.100;
option broadcast-address 10.10.10.255;
No caso a minha range deveria ir de 1 - 126, Correto?
ops, até 254
Na verdade,gostaria de uma ajuda :D Qualé o valor e onde devo alterar? Obrigado pela paciência Krum
Mensagem
ops, até 254
Na verdade,gostaria de uma ajuda :D Qualé o valor e onde devo alterar? Obrigado pela paciência Krum
lester_guimaraes você quer colocar as regras acima de acordo com a sua rede ? a faixa de ip e tal ?
Não entendi muito bem sua duvida amigo, se poder ser mais especifico.
se você pode perceber você usa mascara 255.255.255.0 /24 então. que no caso vai até 254
Qual seu ip ou faixa externa ?
Mensagem
lester_guimaraes você quer colocar as regras acima de acordo com a sua rede ? a faixa de ip e tal ?
Não entendi muito bem sua duvida amigo, se poder ser mais especifico.
se você pode perceber você usa mascara 255.255.255.0 /24 então. que no caso vai até 254
Qual seu ip ou faixa externa ?
Na minha rede esta bloqueado o facebook e outros sites, existe um porem... quando é acessado pelo mozilla firefox, conseguem acessar o facebook, com outros navegadores nao tem acesso... nao entendo o porque, saberia me responder?
regras no iptables:
-A FORWARD -p tcp -m tcp --dport 443 -m string --string "youtube.com" --algo bm --to 65535 -j DROP
-A FORWARD -p tcp -m tcp --dport 443 -m string --string "orkut.com" --algo bm -- to 65535 -j DROP
-A FORWARD -p tcp -m tcp --dport 443 -m string --string "facebook.com" --algo bm --to 65535 -j DROP
att
Darlan Heberle
Mensagem
Na minha rede esta bloqueado o facebook e outros sites, existe um porem... quando é acessado pelo mozilla firefox, conseguem acessar o facebook, com outros navegadores nao tem acesso... nao entendo o porque, saberia me responder?
regras no iptables:
-A FORWARD -p tcp -m tcp --dport 443 -m string --string "youtube.com" --algo bm --to 65535 -j DROP
-A FORWARD -p tcp -m tcp --dport 443 -m string --string "orkut.com" --algo bm -- to 65535 -j DROP
-A FORWARD -p tcp -m tcp --dport 443 -m string --string "facebook.com" --algo bm --to 65535 -j DROP
att
Darlan Heberle
Olá darlanh, mais no caso você não usa as regras como citei né.
Tenta o seguinte
iptables -I FORWARD -i eth0 -d 192.168.1.0/24 -p tcp --dport 443 -m string --algo bm --string "facebook.com" -j DROP
iptables -I FORWARD -i eth0 -d 192.168.1.0/24 -p tcp --dport 443 -m string --algo bm --string "youtube.com" -j DROP
iptables -I FORWARD -i eth0 -d 192.168.1.0/24 -p tcp --dport 443 -m string --algo bm --string "orkut.com" -j DROP
iptables -I FORWARD -i eth1 -p tcp --dport 443 -m string --algo bm --string "facebook.com" -j DROP
iptables -I FORWARD -i eth1 -p tcp --dport 443 -m string --algo bm --string "youtube.com" -j DROP
iptables -I FORWARD -i eth1 -p tcp --dport 443 -m string --algo bm --string "orkut.com" -j DROP
Qualquer coisa só postar o resutado.
Mensagem
Olá darlanh, mais no caso você não usa as regras como citei né.
Tenta o seguinte
iptables -I FORWARD -i eth0 -d 192.168.1.0/24 -p tcp --dport 443 -m string --algo bm --string "facebook.com" -j DROP
iptables -I FORWARD -i eth0 -d 192.168.1.0/24 -p tcp --dport 443 -m string --algo bm --string "youtube.com" -j DROP
iptables -I FORWARD -i eth0 -d 192.168.1.0/24 -p tcp --dport 443 -m string --algo bm --string "orkut.com" -j DROP
iptables -I FORWARD -i eth1 -p tcp --dport 443 -m string --algo bm --string "facebook.com" -j DROP
iptables -I FORWARD -i eth1 -p tcp --dport 443 -m string --algo bm --string "youtube.com" -j DROP
iptables -I FORWARD -i eth1 -p tcp --dport 443 -m string --algo bm --string "orkut.com" -j DROP
Qualquer coisa só postar o resutado.
ola, fiquei em duvida sobre a eth que devo colocar na regras de bloqueio. sendo que a eth0 é a minha wan rede "externa" e eht1 e a lan ou "seja rede local"
neste caso a minha rede é 192.168.2.0/24.
Mensagem
ola, fiquei em duvida sobre a eth que devo colocar na regras de bloqueio. sendo que a eth0 é a minha wan rede "externa" e eht1 e a lan ou "seja rede local"
neste caso a minha rede é 192.168.2.0/24.
Está maneira ai são as corretas eth0 externa e eth1 interna. tem que fazer nas 2 redes, entrada e saida.
Mensagem
Está maneira ai são as corretas eth0 externa e eth1 interna. tem que fazer nas 2 redes, entrada e saida.
como faço pra colocar nesse script para acessar o facebook só no horário de almoço ???
Mensagem
como faço pra colocar nesse script para acessar o facebook só no horário de almoço ???
Muito boa as regras, funcionou muito bem!
Mensagem
Muito boa as regras, funcionou muito bem!
wtsouza para regra por horario de almoço pode ser assim:
horario liberado das 12:00 - 13:00
iptables -A FORWARD -i eth1 -s 192.168.0.10 -m string --algo bm --string "facebook.com" -j ACCEPT #LIBERADO
iptables -A FORWARD -i eth1 -m string --algo bm --string "facebook.com" -j LOG --log-prefix " acesso facebook: " --log-level alert #LOG
iptables -A FORWARD -i eth1 -m string --algo bm --string "facebook.com" -m time --timestart 00:01 --timestop 12:00 --kerneltz -j DROP #BLOQUEIO
iptables -A FORWARD -i eth1 -m string --algo bm --string "facebook.com" -m time --timestart 13:00 --timestop 23:59 --kerneltz -j DROP #BLOQUEIO
iptables -A FORWARD -i eth0 -d 192.168.0.10 -m string --algo bm --string "facebook.com" -j ACCEPT #LIBERADO
iptables -A FORWARD -i eth0 -d 192.168.0.0/24 -m string --algo bm --string "facebook.com" -j LOG --log-prefix " acesso facebook: " --log-level alert #LOG
iptables -A FORWARD -i eth0 -d 192.168.0.0/24 -m string --algo bm --string "facebook.com" -m time --timestart 00:01 --timestop 12:00 --kerneltz -j DROP #BLOQUEIO
iptables -A FORWARD -i eth0 -d 192.168.0.0/24 -m string --algo bm --string "facebook.com" -m time --timestart 13:30 --timestop 23:59 --kerneltz -j DROP #BLOQUEIO
Mensagem
wtsouza para regra por horario de almoço pode ser assim:
horario liberado das 12:00 - 13:00
iptables -A FORWARD -i eth1 -s 192.168.0.10 -m string --algo bm --string "facebook.com" -j ACCEPT #LIBERADO
iptables -A FORWARD -i eth1 -m string --algo bm --string "facebook.com" -j LOG --log-prefix " acesso facebook: " --log-level alert #LOG
iptables -A FORWARD -i eth1 -m string --algo bm --string "facebook.com" -m time --timestart 00:01 --timestop 12:00 --kerneltz -j DROP #BLOQUEIO
iptables -A FORWARD -i eth1 -m string --algo bm --string "facebook.com" -m time --timestart 13:00 --timestop 23:59 --kerneltz -j DROP #BLOQUEIO
iptables -A FORWARD -i eth0 -d 192.168.0.10 -m string --algo bm --string "facebook.com" -j ACCEPT #LIBERADO
iptables -A FORWARD -i eth0 -d 192.168.0.0/24 -m string --algo bm --string "facebook.com" -j LOG --log-prefix " acesso facebook: " --log-level alert #LOG
iptables -A FORWARD -i eth0 -d 192.168.0.0/24 -m string --algo bm --string "facebook.com" -m time --timestart 00:01 --timestop 12:00 --kerneltz -j DROP #BLOQUEIO
iptables -A FORWARD -i eth0 -d 192.168.0.0/24 -m string --algo bm --string "facebook.com" -m time --timestart 13:30 --timestop 23:59 --kerneltz -j DROP #BLOQUEIO
Ola gostei das suas dicas mas estou com uma duvida, eu preciso implantar na empresa para bloquear o facebook e youtube e assim como o de cima liberar no almoço, mas o mais importante aluns ips, eu ou mac eu preciso que tenham acesso total.
No meu caso eth0 é a minha lá na faixa de IP 192.168.6.x e eth1 e eth2 são os dois links.
Então como eu boquearia para toda a rede e depois liberaria para a lista de ips possuem acesso permitido ? Agradeço a ajuda.
Mensagem
Ola gostei das suas dicas mas estou com uma duvida, eu preciso implantar na empresa para bloquear o facebook e youtube e assim como o de cima liberar no almoço, mas o mais importante aluns ips, eu ou mac eu preciso que tenham acesso total.
No meu caso eth0 é a minha lá na faixa de IP 192.168.6.x e eth1 e eth2 são os dois links.
Então como eu boquearia para toda a rede e depois liberaria para a lista de ips possuem acesso permitido ? Agradeço a ajuda.
Bom galera
Eu uso essa no iptables
################# BLOQUEIO 443 ##################
for ips in `cat /etc/squid3/regras/IPLivres`; do
for deny in `cat /etc/squid3/regras/IPBLOQFW`; do
$ipt -A FORWARD -i eth1 -s $ips -m string --algo bm --string $deny -j ACCEPT
$ipt -A FORWARD -i eth0 -d $ips -m string --algo bm --string $deny -j ACCEPT
$ipt -A FORWARD -i eth0 -d 192.168.10.0/24 -m string --algo bm --string $deny -j DROP
$ipt -I FORWARD -i eth1 -m string --algo bm --string $deny -j DROP
done
done
Lista de ip sem bloqueio /etc/squid3/regras/IPLivres
Lista de sites para bloqueio /etc/squid3/regras/IPBLOQFW, no arquivo precisa ser colocado o " " exemplo "facebook.com"
eth0 - WAN
eth1 - LAN
Mensagem
Bom galera
Eu uso essa no iptables
################# BLOQUEIO 443 ##################
for ips in `cat /etc/squid3/regras/IPLivres`; do
for deny in `cat /etc/squid3/regras/IPBLOQFW`; do
$ipt -A FORWARD -i eth1 -s $ips -m string --algo bm --string $deny -j ACCEPT
$ipt -A FORWARD -i eth0 -d $ips -m string --algo bm --string $deny -j ACCEPT
$ipt -A FORWARD -i eth0 -d 192.168.10.0/24 -m string --algo bm --string $deny -j DROP
$ipt -I FORWARD -i eth1 -m string --algo bm --string $deny -j DROP
done
done
Lista de ip sem bloqueio /etc/squid3/regras/IPLivres
Lista de sites para bloqueio /etc/squid3/regras/IPBLOQFW, no arquivo precisa ser colocado o " " exemplo "facebook.com"
eth0 - WAN
eth1 - LAN
[32] Comentário enviado por adilsonmenechini em 10/02/2016 - 10:35h
Bom galera
Eu uso essa no iptables
################# BLOQUEIO 443 ##################
for ips in `cat /etc/squid3/regras/IPLivres`; do
for deny in `cat /etc/squid3/regras/IPBLOQFW`; do
$ipt -A FORWARD -i eth1 -s $ips -m string --algo bm --string $deny -j ACCEPT
$ipt -A FORWARD -i eth0 -d $ips -m string --algo bm --string $deny -j ACCEPT
$ipt -A FORWARD -i eth0 -d 192.168.10.0/24 -m string --algo bm --string $deny -j DROP
$ipt -I FORWARD -i eth1 -m string --algo bm --string $deny -j DROP
done
done
Lista de ip sem bloqueio /etc/squid3/regras/IPLivres
Lista de sites para bloqueio /etc/squid3/regras/IPBLOQFW, no arquivo precisa ser colocado o " " exemplo "facebook.com"
eth0 - WAN
eth1 - LAN
Coloquei as regras como descrito, mas mesmo assim o pessoal ainda tem acesso.
Mensagem
[quote]
[32] Comentário enviado por adilsonmenechini em 10/02/2016 - 10:35h
Bom galera
Eu uso essa no iptables
################# BLOQUEIO 443 ##################
for ips in `cat /etc/squid3/regras/IPLivres`; do
for deny in `cat /etc/squid3/regras/IPBLOQFW`; do
$ipt -A FORWARD -i eth1 -s $ips -m string --algo bm --string $deny -j ACCEPT
$ipt -A FORWARD -i eth0 -d $ips -m string --algo bm --string $deny -j ACCEPT
$ipt -A FORWARD -i eth0 -d 192.168.10.0/24 -m string --algo bm --string $deny -j DROP
$ipt -I FORWARD -i eth1 -m string --algo bm --string $deny -j DROP
done
done
Lista de ip sem bloqueio /etc/squid3/regras/IPLivres
Lista de sites para bloqueio /etc/squid3/regras/IPBLOQFW, no arquivo precisa ser colocado o " " exemplo "facebook.com"
eth0 - WAN
eth1 - LAN
[/quote]
Coloquei as regras como descrito, mas mesmo assim o pessoal ainda tem acesso.
Show de bola! funciona mesmo....
Mensagem
Show de bola! funciona mesmo....
HELP. O que essa regra faz? LOG --log-prefix " acesso facebook: " --log-level alert #LOG DE ACESSO
Eu testei aqui mas a regra do youtube bloqueia o google também! como faço pra resolver.
Mensagem
HELP. O que essa regra faz? LOG --log-prefix " acesso facebook: " --log-level alert #LOG DE ACESSO
Eu testei aqui mas a regra do youtube bloqueia o google também! como faço pra resolver.
Mensagem
Boa tarde amigo, acredito que este link vai tirar suas duvidas de "--log-prefix" http://www.informit.com/articles/article.aspx?p=421057&seqNum=4
Referente ao bloqueio do "google" fique atento a ordem das regras, possivelmente é isso.
Att,
Janduy Euclides
Aqui resolvemos assim, bloqueando na rede geral:
#Bloquear HTTPs
#--------------------------------
iptables -t filter -A FORWARD -p tcp --dport 443 -m string --algo bm --string "facebook.com" -j DROP
iptables -t filter -A FORWARD -p tcp --dport 443 -m string --algo bm --string "youtube.com" -j DROP
iptables -t filter -A FORWARD -p tcp --dport 443 -m string --algo bm --string "twitter.com" -j DROP
Espero ter ajudado.
Mensagem
Aqui resolvemos assim, bloqueando na rede geral:
#Bloquear HTTPs
#--------------------------------
iptables -t filter -A FORWARD -p tcp --dport 443 -m string --algo bm --string "facebook.com" -j DROP
iptables -t filter -A FORWARD -p tcp --dport 443 -m string --algo bm --string "youtube.com" -j DROP
iptables -t filter -A FORWARD -p tcp --dport 443 -m string --algo bm --string "twitter.com" -j DROP
Espero ter ajudado.
Hola que tal, estimados compañeros, yo aplique esto y no bloqueo las paginas:
iptables -t filter -A FORWARD -p tcp --dport 443 -m string --algo bm --string "facebook.com" -j DROP
iptables -t filter -A FORWARD -p tcp --dport 443 -m string --algo bm --string "youtube.com" -j DROP
iptables -t filter -A FORWARD -p tcp --dport 443 -m string --algo bm --string "twitter.com" -j DROP
por otra parte aplique esto:
iptables -I FORWARD -p tcp --dport 443 -m string --string 'facebook' --algo bm -j DROP
iptables -I FORWARD -p tcp --dport 843 -m string --string 'facebook' --algo bm -j DROP
iptables -I FORWARD -p tcp --dport 443 -m string --string 'youtube' --algo bm -j DROP
iptables -I FORWARD -p tcp --dport 443 -m string --string 'youtube' --algo bm -j DROP
y tuve éxito, sin embargo ahora como bloque todo el segmento de red, necesito darle permisos sobre esta misma red a usuarios específicos, por ejemplo mi ips que deseo dar permiso son 192.168.20.5 su mascara 255.255.255.128 considero que esta una "mask bit 25". pido ayuda para ver quien puede o de ser posible mejorar la manera en que restrinjo las paginas.
por favor si alguien puede apoyarme y si les ayuda mi contribución. Gracias
Mensagem
Hola que tal, estimados compañeros, yo aplique esto y no bloqueo las paginas:
iptables -t filter -A FORWARD -p tcp --dport 443 -m string --algo bm --string "facebook.com" -j DROP
iptables -t filter -A FORWARD -p tcp --dport 443 -m string --algo bm --string "youtube.com" -j DROP
iptables -t filter -A FORWARD -p tcp --dport 443 -m string --algo bm --string "twitter.com" -j DROP
por otra parte aplique esto:
iptables -I FORWARD -p tcp --dport 443 -m string --string 'facebook' --algo bm -j DROP
iptables -I FORWARD -p tcp --dport 843 -m string --string 'facebook' --algo bm -j DROP
iptables -I FORWARD -p tcp --dport 443 -m string --string 'youtube' --algo bm -j DROP
iptables -I FORWARD -p tcp --dport 443 -m string --string 'youtube' --algo bm -j DROP
y tuve éxito, sin embargo ahora como bloque todo el segmento de red, necesito darle permisos sobre esta misma red a usuarios específicos, por ejemplo mi ips que deseo dar permiso son 192.168.20.5 su mascara 255.255.255.128 considero que esta una "mask bit 25". pido ayuda para ver quien puede o de ser posible mejorar la manera en que restrinjo las paginas.
por favor si alguien puede apoyarme y si les ayuda mi contribución. Gracias
Contribuir com comentário
Enviar