Bloqueio de sites por string e Mac Address [RESOLVIDO]

ivannack
(usa KUbuntu)

Enviado em 27/08/2014 - 10:04h

Olá
Foi seguindo as dicas deste tópico:
http://www.vivaolinux.com.br/topico/Squid-Iptables/Bloqueio-de-sites-por-string-e-Mac-Address
consegui fazer o bloqueio ao facebook pelo mac usando a seguinte linha:

iptables -A FORWARD -m string --algo bm --string "facebook" -i eth1 -m mac --mac-source bc:ae:c5:9c:82:a1 -j DROP 

Agora para melhorar gostaria de saber como fazer para redirecionar para intranet quando alguem tentar acessar o facebook.
Já tentei com isso:

iptables -A FORWARD -m string --algo bm --string "facebook" -i eth1 -m mac --mac-source bc:ae:c5:9c:82:a1 -j REDIRECT --to-destination localhost 

Mas dá o erro: iptables v1.4.18: unknown option "--to-destination"


Alguem que sabe como fazer redirecionamento poderia me ajudar, por favor.

Obrigado

Ivan

Ifw-DAST
(usa CentOS)

Enviado em 28/08/2014 - 16:49h

Boa, tarde...,pelo que entendi vc gostaria que o usuário bloqueado fosse redirecionado para internet,...OK

faço o redirecionamento de porta, caso as portas forem as mesmas mude e estabeleça como padrão uma porta (não-padrão) para que seja feito o acesso a internet.

O redirecionamento de portas permite que você repassar as conexões com destino a uma porta para outra porta na mesma máquina. O alvo REDIRECT é usado para fazer esta operação, junto com o argumento --to-port especificando a porta que será redirecionada.

Este é o método DNAT específico para se fazer proxy transparente.

OPERAÇÕES.REDIRECIONAMENTO.PORTAS:

=============================================================================================
chain PREROUTING e OUTPUT da tabela nat.
=============================================================================================

-----iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 81--------

Redireciona as conexões da porta 80 para a porta 81 (rodando squid) no firewall.

=============================================================================================

O squid possui suporte a proxy transparente, e pode atender as requisições da regra acima.

ivannack
(usa KUbuntu)

Enviado em 01/09/2014 - 08:14h

Ok, mas tem algum meio mais simples de fazer o redirecionamento direto pelo iptables, sem a necessidade do squid?
Por exemplo, quando alguem tentar acessar facebook.com o iptable redirecionar para http://192.168.1.1/aceesoBloqueado.html

Eu já consegui mais ou meno com estas regras:

iptables -I FORWARD -m string --algo bm --string "facebook" -i eth1 -m mac --mac-source 00:00:00:AA:BB:CC -j ACCEPT

iptables -I FORWARD -m string --algo bm --string "facebook" -i eth1 -m mac --mac-source 00:00:00:ZZ:YY:ZZ -j DROP

 

Mas o que ocorre é que no caso do DROP o navegador fica rodando...rodando...rodando...até dar timeout. Por isso achei que o redirect seria mais eficiente.

px
(usa Debian)

Enviado em 01/09/2014 - 10:07h

tenta:

iptables -t nat -I PREROUTING -m string --algo bm --string "facebook" -m mac --mac-source bc:ae:c5:9c:82:a1 -i eth1 -p tcp -j DNAT --to-destination 127.0.0.1

px
(usa Debian)

Enviado em 01/09/2014 - 10:09h

E para o navegador não ficar "rodando, rodando e rodando..." tu pode usar o reject ao invés do drop.

PS: dá uma lida aqui para fazer o nat(caso não tiver):

http://www.debuntu.org/how-to-redirecting-network-traffic-to-a-new-ip-using-iptables/