BLOQUEIO YOUTUBE IPTABLES [RESOLVIDO]

diiegosantos90
(usa Debian)

Enviado em 19/05/2021 - 10:10h

Pessoal, bom dia.
Estou com um problema para bloquear o uso do app do Youtube em dispositivos como celulares e tablets.
Vou listar os dois comandos que usava.

iptables -t filter -I FORWARD -p tcp --dport 443 -m string --algo bm --string "youtube.com" -j DROP
iptables -t filter -I FORWARD -p tcp --sport 443 -m string --algo bm --string "youtube.com" -j DROP

iptables -I FORWARD -i eth0 -m string --algo bm --string "youtube.com" -j DROP (eth0 rede local)

O bloqueio através da navegação ainda bloqueia, porém o do app não bloqueia mais, alguém usa uma outra forma de bloqueio ou já passou por isso ?
Pelo que vi o acesso pelo app utiliza outros endereços e nenhum deles passa pelo nome youtube.com
Agradeço demais a ajuda

renato_pacheco
(usa Debian)

Enviado em 19/05/2021 - 10:27h

A melhor forma de bloqueios de páginas não é pelo firewall, pois com a adoção da nuvem, os IPs mudam com frequência (além de outros domínios q o YT utiliza para seu funcionamento). O correto é utilizar de um proxy para isso (Squid, por exemplo). Se vc ainda optar pelo firewall, te desejo boa sorte, pois vc vai precisar.


--
http://br.linkedin.com/in/renatocarneirop
http://www.facebook.com/renatocarneirop

"Não acredite no que eu digo, pois é a minha experiência e não a sua. Experimente, indague e busque." - Osho Rajneesh

diiegosantos90
(usa Debian)

Enviado em 19/05/2021 - 10:40h

Renato, primeiramente obrigado pelo retorno.
Eu utilizo o squid sim e uso muitas ferramentas dele.
Como você utiliza o squid em celulares ?
Como você utiliza o squid em um roteador de uso de clientes, com uma sub rede diferente da sua local e você filtrando apenas o ip da WAN desse roteador que é o mesmo da sua rede local ?
Todos os outros sites ou apps que quando o squid não é possível de usar o bloqueio funcionou normalmente.
Peço desculpas por minha ignorância de não saber usar o squid de forma efetiva em dispositivos móveis, sempre achei boa a pratica do bloqueio direto pelo iptables.

renato_pacheco
(usa Debian)

Enviado em 19/05/2021 - 10:50h

Primeiramente, não precisa pedir desculpas pq ninguém nasce sabendo. Estamos aqui para ajudar mesmo. Esqueci desse detalhe dos celulares. Nesse caso, vc tem q adotar outras medidas (ex.: link dedicado para acesso à Internet). Na minha opinião, ninguém tem q ficar acessando a rede via celular. O certo é cada um ter seu 4G/5G e ser feliz. Os apps de celular possuem pinning certificate (impede o uso de outro certificado na transmissão dos dados) e isso impede o uso de proxy. Por esse motivo q é necessário tomar outra atitude.


--
http://br.linkedin.com/in/renatocarneirop
http://www.facebook.com/renatocarneirop

"Não acredite no que eu digo, pois é a minha experiência e não a sua. Experimente, indague e busque." - Osho Rajneesh

diiegosantos90
(usa Debian)

Enviado em 19/05/2021 - 14:06h

Renato, os celulares não são um detalhes e sim a causa do meu problema.
Agradeço por sua atenção, mas não consegui agregar nada sobre minha dúvida em cima de seus comentários.
Irei continuar pesquisando e irei compartilhar aqui a solução.

renato_pacheco
(usa Debian)

Enviado em 19/05/2021 - 16:18h

Quando vc souber de alguma solução, poste aqui pra outras pessoas saberem tb (além de mim).


--
http://br.linkedin.com/in/renatocarneirop
http://www.facebook.com/renatocarneirop

"Não acredite no que eu digo, pois é a minha experiência e não a sua. Experimente, indague e busque." - Osho Rajneesh

/bin/laden
(usa Void Linux)

Enviado em 20/05/2021 - 12:03h

Da uma pesquisada sobre DNS RPZ cara.


---
echo 1244394795515721490698P | dc

saitam
(usa Slackware)

Enviado em 20/05/2021 - 17:09h

Verificou se no celular estão conectados no 3/4G?

Se tiverem, então o bloqueio da regra no firewall não funcionará. Apenas se estiverem conectados na mesma rede, no caso via wireless.

Caso os celulares são corporativo, então a solução é utilizar MDM, o qual terá o controle dos celulares e pode restringir instalar aplicativos e demais acessos.


http://mundodacomputacaointegral.blogspot.com.br/
Twitter: https://twitter.com/@blogcomputacao
Facebook: https://www.facebook.com/BlogComputacao
Grupo Linux no Telegram: https://goo.gl/KQYqhN
Grupo Linguagens de Programação no Telegram: https://goo.gl/7sJF95
Grupo FreeBSD no Telegram: https://goo.gl/mzp7XT
Grupo Infra TI Corporate no Telegram: https://t.me/InfraTICorporate
Grupo CodeIgniter no Telegram: https://t.me/CodeIgniterBrasil
Grupo Phinx Brasil no Telegram: https://t.me/PhinxBrasil
Blog: http://goo.gl/Cuixk
Coleção de Howtos Linux e FreeBSD https://goo.gl/UHDVtK
Canal do Blog: https://t.me/blogcomputacao

/bin/laden
(usa Void Linux)

Enviado em 20/05/2021 - 17:17h

Se quiseres continuar com os bloqueios via iptables, vc pode tentar isso:




---
echo 1244394795515721490698P | dc

diiegosantos90
(usa Debian)

Enviado em 21/05/2021 - 08:25h

Show de bola, vou tentar fazer esse procedimento e lhe aviso aqui, muito obrigado.
Apenas uma dúvida, na regra do iptables, a placa a ser filtrada seria a WAN mesmo e não a LAN ?
Fazendo isso na WAN, consigo ter acesso ao endereço para algumas exceções dentro da minha rede ?

/bin/laden
(usa Void Linux)

Enviado em 21/05/2021 - 18:19h

Basta inverter a lógica do IP de origem com uma negação.

Tipo, o IP 192.168.128.5 da tua rede pode acessar, então:

iptables -t filter -A FORWARD -o "$IFACE_WAN" ! -s 192.168.128.5 -m set --match-set YOUTUBE dst -j DROP 

Dessa forma tu negas acesso a todos, EXCETO (!) pra um IP de origem especifico.
---
echo 1244394795515721490698P | dc

diiegosantos90
(usa Debian)

Enviado em 24/05/2021 - 15:44h

Pessoal, acredito ter resolvido.
Achei outros endereços nos quais acrescentei em minhas regras e aparentemente funcionou e não tive problemas com o site google.com, site que já tive problemas ao bloquear a string do youtube.com

iptables -t filter -I FORWARD -p tcp --dport 443 -m string --algo bm --string "youtube.com" -j DROP
iptables -t filter -I FORWARD -p tcp --sport 443 -m string --algo bm --string "youtube.com" -j DROP

iptables -t filter -I FORWARD -p tcp --dport 443 -m string --algo bm --string "m.youtube.com" -j DROP
iptables -t filter -I FORWARD -p tcp --sport 443 -m string --algo bm --string "m.youtube.com" -j DROP

iptables -t filter -I FORWARD -p tcp --dport 443 -m string --algo bm --string "ytimg.com" -j DROP
iptables -t filter -I FORWARD -p tcp --sport 443 -m string --algo bm --string "ytimg.com" -j DROP

iptables -t filter -I FORWARD -p tcp --dport 443 -m string --algo bm --string "ytimg.l.google.com" -j DROP
iptables -t filter -I FORWARD -p tcp --sport 443 -m string --algo bm --string "ytimg.l.google.com" -j DROP

iptables -t filter -I FORWARD -p tcp --dport 443 -m string --algo bm --string "youtube.l.google.com" -j DROP
iptables -t filter -I FORWARD -p tcp --sport 443 -m string --algo bm --string "youtube.l.google.com" -j DROP

iptables -t filter -I FORWARD -p tcp --dport 443 -m string --algo bm --string "googlevideo.com" -j DROP
iptables -t filter -I FORWARD -p tcp --sport 443 -m string --algo bm --string "googlevideo.com" -j DROP

Esse método bloqueia tanto no acesso ao navegador quanto aos apps de dispositivos móveis, ele carrega o youtube mas não funciona nenhum vídeo nem áudio.
Obrigado pela ajuda !