Exceção para IP em Regra de Bloqueio de Porta 443 Forward [RESOLVIDO]

dougsrock
(usa Ubuntu)

Enviado em 01/11/2018 - 15:08h

Prezados,

Procurei aqui a solução para meu problema mas não encontrei.
Tenho conhecimento básico ainda então peço ajuda.

Tenho um Firewall IPTables/Squid, não uso script, mantenho as regras salvas.
Fazendo alguns ajustes em configurações, redirecionei http para a porta 3128, porém em um local que não consigo travar as configurações de proxy pois não tenho domínio lá, alguns usuários esperto conseguiram burlar a configuração e navegar sem o proxy.

Então usei duas regras no iptables:
iptables -A FORWARD -p tcp --dport 443 - j DROP
iptables -A FORWARD -p tcp --dport 80 - j DROP

Até ai tudo ok funcionou para o que eu precisava, porém eu tenho um relógio ponto dentro desta rede que acesso através de regras e que comunica pela porta 443, ou seja perdi o acesso ao mesmo. Quando comento a regra iptables -A FORWARD -p tcp --dport 443 - j DROP ele volta a funcionar.

Então a grande pergunta é como posso fazer para colocar uma exceção para o ip do relógio ponto e jogar na posição correta pra liberar apenas para o mesmo a porta 443.

Atenciosamente,

Douglas

LSSilva
(usa Outra)

Enviado em 01/11/2018 - 19:21h

Boa tarde!
Vamos supor que o ip do seu relógio de ponto é 192.168.1.100:

Faria assim:
ponto="192.168.1.100"

iptables -A FORWARD -s $ponto -p tcp --dport 443 - j ACCEPT
iptables -A FORWARD -p tcp --dport 443 - j DROP
iptables -A FORWARD -p tcp --dport 80 - j DROP

dougsrock
(usa Ubuntu)

Enviado em 05/11/2018 - 09:36h

Tentei criar a regra dessa maneira como falou mas não funcionou quando aplico a regra de drop após criar a de liberação conforme tu indicou ele bloqueia...não sei como atribuir o ip ao ponto conforme tu colocou mas criei a regra assim

iptables -A FORWARD -s 192.168.5.3 -p tcp --dport 443 -j ACCEPT

Listando a cadeia FORWARD ficou assim:

Chain FORWARD (policy ACCEPT)
target prot opt source destination
DROP tcp -- anywhere anywhere tcp dpt:http
ACCEPT tcp -- 192.168.5.3 anywhere tcp dpt:https
DROP tcp -- anywhere anywhere tcp dpt:https

Abraços.

dougsrock
(usa Ubuntu)

Enviado em 05/11/2018 - 13:50h

Opa WBaluz, era exatamente o que faltava liberar não só a origem mas o destino também.

Agradeço à você e o LSSilva pelas dicas!

Grande abraço e fica a dica pra quem encontrar o mesmo problema.

WBaluz
(usa Arch Linux)

Enviado em 05/11/2018 - 18:30h

Blz meu brother.. precisar estamos aii