Como bloquear no firewall o youtube em https

Estou com uma dificuldade com o iptables.

Preciso bloquear a palavra youtube em https exceto porem se for pela porta 110 (pop3) deixe passar.

Se Eu uso a linha abaixo os emails que são acessados pelo outlook não vem, trava o recebimento:
iptables -t filter -I FORWARD -p tcp --dport 995 -m string --algo bm --string "youtube" -j REJECT

Então resolvi executar a linha abaixo, mesmo assim bloqueando a porta 443, mas o youtube entra em https.
iptables -t filter -I FORWARD -p tcp --dport 443 -m string --algo bm --string "youtube" -j REJECT
iptables -t filter -I FORWARD -p tcp --dport 995 -m string --algo bm --string "youtube" -j REJECT


Usei este método(whois) para bloquear facebook com a ajuda dos amigos daqui do forum e deu certo, porem não sei como fazer funcionar com youtube em https

#!/bin/bash



echo "Criando lista de bloqueio..."

whois -h whois.radb.net '!gAS32934' | tr ' ' '\n' | grep ^[0-9] > facebook.txt



echo "Criando regras de bloqueio"

for i in $(cat facebook.txt); do iptables -I INPUT -s $i -j REJECT; done



echo "Liberando ips permitidos..."

for ii in $(cat liberados.txt); do iptables -I INPUT -s $ii -j ACCEPT; done



echo "[OK]" 

Desde já agradeço a quem puder me ajudar


Obs: estou usando o ubuntu 12.

Dificilmente você irá conseguir, mas pode deixar alguns p da vida com o controle de banda pelo squid>>>>

##Proibi Download Acima de 10 Mb SQUID 3.1 ##########
acl tamanho_down src "/etc/squid/tamanho_down"
reply_body_max_size 13 GB tamanho_down
reply_body_max_size 30 MB all

#Limita a velocidade de navegacao da rede e do wi-fi ##
acl wi-fi src "/etc/squid/regras/wi-fi"
acl velocidade_full src "/etc/squid/velocidade_full"
delay_pools 2
delay_class 1 2
delay_parameters 1 -1/-1 270000/270000
delay_access 1 allow wi-fi

delay_class 2 2
delay_parameters 2 -1/-1 120000/120000
delay_access 2 deny velocidade_full

você pode escolher um lista de ips_full e tamanho_down e o restante vai navegar no youtube só com a sobra do tacho.

Tente assim:

iptables -I FORWARD 1 -s xxx.xxx.xxx.xxx -p tcp --dport 110 -m string --algo bm --string "youtube.com" -j ACCEPT
iptables -I OUTPUT 1 -s xxx.xxx.xxx.xxx -p tcp --dport 110 -m string --algo bm --string "youtube.com" -j ACCEPT
iptables -I FORWARD 2 -s xxx.xxx.xxx.xxx -m string --algo bm --string "youtube.com" -j DROP
iptables -I OUTPUT 2 -s xxx.xxx.xxx.xxx -m string --algo bm --string "youtube.com" -j DROP

Em xxx tu coloca o endereço da rede que tu quer bloquear o youtube.
Talvez não precise bloquear o OUTPUT, daí pode suprimir as duas regras com OUTPUT, teste aí.
Se quiser coloque somente "youtube" na string, mas daí todo site que tive a palavra youtube no cabeçalho será bloqueado.
Não esqueça de levantar o módulo ipt_string (modprobe ipt_string) e reiniciar o iptables após fazer as alterações.

Depois de implementar as regras demora um pouco mais e acaba acessando.
Ainda hoje, de mês em mês pesquiso para ver se alguém conseguiu.
Qualquer novidade por favor avisem.
Muito obrigado a todos que tentaram ajudar.

Se você tem um Squid em sua rede, faça pelo Squid pois você faz o bloqueio por domínio
e não importa qual seja, por iptables da muitas zicas quando meche com bloqueio de https.

acl fb dstdomain .facebook.com
acl fb dstdomain .facebook.com.br
acl fb dstdomain .pt-br.facebook.com
acl fb2 dstdomain www.facebook.com
acl fb2 dstdomain www.facebook.com.br
acl fb2 dstdomain www.pt-br.facebook.com

acl yb dstdomain .youtube.com
acl yb dstdomain www.youtube.com
acl yb dstdomain .youtube.com.br
acl yb dstdomain www.youtube.com.br

# Libera Facebook no horario do almoço.
acl officetime time MTWHFA 12:00-13:30

# Aqui vem as ordens dos http_access que vai liberar ou não, dependo da ordem, se você quiser liberar pra alguém pode fazer por mac, ip, ou usuario, claro antes de negar o site terá que terá que liberar pra quem voce que acesse caso contrario irá negar pra todos.

http_reply_access deny fb fb2 yb sua_rede officetime
http_access deny CONNECT fb fb2 yb sua_rede officetime # Não deixa a porta 443 (https) responder a requisição do navegador para o domínio.

Nesse caso funciona para todos os sites que usam https, claro os que estão nesse lista, bancos continuaram acesso normal, o mesmo pode ser feito para youtube, twitter etc...