Bloquear Facebook [RESOLVIDO]

wzol
(usa Slackware)

Enviado em 25/09/2013 - 10:20h

Bom dia,

Tenho em minha rede os ranges:

192.168.1.0/24 - Matriz da Empresa
192.168.2.0/24 - Filial SBC

#eth0 - Rede interna
#eth1 - Link Internet
#ppp0 - Conexao provedor

Possuo as regras de bloqueio do facebook via String.

####################################################################

#Bloqueia Facebook
iptables -I FORWARD -i eth0 -s 192.168.1.7 -m string --algo bm --string "facebook.com" -j ACCEPT # ACesso Permitido

iptables -I FORWARD -s 192.168.1.0/24 -m string --algo bm --string "facebook.com" -j DROP
iptables -I OUTPUT -s 192.168.1.0/24 -m string --algo bm --string "facebook.com" -j DROP

iptables -I FORWARD -s 192.168.2.0/24 -m string --algo bm --string "facebook.com" -j DROP
iptables -I OUTPUT -s 192.168.2.0/24 -m string --algo bm --string "facebook.com" -j DROP

#####################################################################

O bloqueio nao esta funcionando, esta tudo liberado, porem se eu utilizar apenas as regras abaixo bloqueia tudo.


iptables -I FORWARD -s 192.168.1.0/24 -m string --algo bm --string "facebook.com" -j DROP
iptables -I OUTPUT -s 192.168.1.0/24 -m string --algo bm --string "facebook.com" -j DROP


Se eu trocar o range para 192.168.2.0/24 o Bloqueio tmb nao funciona.


Preciso de uma regra que bloqueia tudo deixando apenas 1 unico IP liberado para acesso.

Se alguem puder me ajudar, agradeço desde já
Wellington

px
(usa Debian)

Enviado em 25/09/2013 - 10:35h

Basta você liberar o ip que quiser em cima e depois usar esta regra por baixo, assim:

# Libera ip p/ face
iptables -I FORWARD -s 192.168.1.1 -m string --algo bm --string "facebook.com" -j ACCEPT
iptables -I OUTPUT -s 192.168.1.1 -m string --algo bm --string "facebook.com" -j ACCEPT

# Bloqueia demais ips ao face
iptables -A FORWARD -s 192.168.1.0/24 -m string --algo bm --string "facebook.com" -j DROP
iptables -A OUTPUT -s 192.168.1.0/24 -m string --algo bm --string "facebook.com" -j DROP


OBS: a opção -I prioriza a regra em uso, ou seja, ela será processada primeiro, mesmo se estiver em último no script, a -A segue a sequência das regras colocadas normalmente

wzol
(usa Slackware)

Enviado em 25/09/2013 - 11:22h

Inseri as regras abaixo conforme sua orientacao, mas nao estao funcionando.


#Bloqueia Facebook
iptables -I FORWARD -s 192.168.1.7 -m string --algo bm --string "facebook.com" -j ACCEPT
iptables -I OUTPUT -s 192.168.1.7 -m string --algo bm --string "facebook.com" -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/24 -m string --algo bm --string "facebook.com" -j DROP
iptables -A OUTPUT -s 192.168.1.0/24 -m string --algo bm --string "facebook.com" -j DROP



Listando as regras


Chain OUTPUT (policy ACCEPT 53888 packets, 16M bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- * * 192.168.1.7 0.0.0.0/0 STRING match "facebook.com" ALGO name bm TO 65535
64 91399 DROP all -- * * 192.168.1.0/24 0.0.0.0/0 STRING match "facebook.com" ALGO name bm TO 65535



Chain FORWARD (policy ACCEPT 3808 packets, 353K bytes)
0 0 ACCEPT all -- * * 192.168.1.7 0.0.0.0/0 STRING match "facebook.com" ALGO name bm TO 65535

0 0 DROP all -- * * 192.168.1.0/24 0.0.0.0/0 STRING match "facebook.com" ALGO name bm TO 65535

wzol
(usa Slackware)

Enviado em 25/09/2013 - 13:51h

Consegui resolver inserindo as regras no final do meu iptables.

modprobe ipt_string
#bLOQUEIA FACEBOOK
iptables -I FORWARD -m string --algo bm --string "facebook.com" -j DROP

#LIBERA HOST PARA FACEBOOK
iptables -I FORWARD -s 192.168.1.7 -m string --algo bm --string "facebook.com" -j ACCEPT


#iptables -L -n -v

Chain FORWARD (policy ACCEPT 1617 packets, 157K bytes)
pkts bytes target prot opt in out source destination
2 418 ACCEPT all -- * * 192.168.1.7 0.0.0.0/0 STRING match "facebook.com" ALGO name bm TO 65535
347 187K DROP all -- * * 0.0.0.0/0 0.0.0.0/0 STRING match "facebook.com" ALGO name bm TO 65535