Não consigo liberar range de ips para acessar google

bomberLOKO
(usa Ubuntu)

Enviado em 10/08/2015 - 13:44h

Boa tarde,

Segue meu iptables, gostaria de liberar a range de ips 192.168.1.200 ao 192.168.1.210 para acessar os domínios bloqueados.

Se alguém puder me ajudar não sei mesmo onde estou errando.

No campo Liberados tentei uma regra, porém não funcionou :(

# Rotas e direcionamentos

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-ports 3128
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

# Liberados

iptables -A FORWARD -i eth1 -s 192.168.1.202 -m string --algo bm --string "google.com" -j ACCEPT

# Bloqueios Dominio

# Google
iptables -I FORWARD -m string --algo bm --string google.com -j DROP
iptables -I OUTPUT -m string --algo bm --string google.com -j DROP

# Facebook
iptables -I FORWARD -m string --algo bm --string facebook.com -j DROP
iptables -I OUTPUT -m string --algo bm --string facebook.com -j DROP

# Sodexo
iptables -I FORWARD -m string --algo bm --string sodexosaldocartao.com -j DROP
iptables -I OUTPUT -m string --algo bm --string sodexosaldocartao.com -j DROP

# Twitter
iptables -I FORWARD -m string --algo bm --string twitter.com -j DROP
iptables -I OUTPUT -m string --algo bm --string twitter.com -j DROP

# Youtube
iptables -I OUTPUT -p tcp --dport 80 -m string --algo bm --string youtube.com -j DROP
iptables -I OUTPUT -p tcp --dport 563 -m string --algo bm --string youtube.com -j DROP
iptables -I OUTPUT -p tcp --dport 443 -m string --algo bm --string youtube.com -j DROP

Buckminster
(usa Debian)

Enviado em 10/08/2015 - 14:31h

Tenta assim:

# Liberados

iptables -I FORWARD -m iprange --src-range 192.168.1.200-192.168.1.210 -j ACCEPT
iptables -I FORWARD -m iprange --dst-range 192.168.1.200-192.168.1.210 -j ACCEPT
iptables -t nat -I POSTROUTING -m iprange --src-range 192.168.1.200-192.168.1.210 -j MASQUERADE

# Bloqueios Dominio

...

Irá liberar o range ali colocado para todos os domínios bloqueados.
Lembrando que as regras devem ficar acima dos bloqueios, na posição indicada.

bomberLOKO
(usa Ubuntu)

Enviado em 10/08/2015 - 14:40h

Boa tarde,

Caro amigo não resolveu o site do google não carrega.

Existe mais alguma informação que eu possa lhe passar para ajudar na resolução.

Coloquei a regra do jeito que me mostrou

# Rotas e direcionamentos

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-ports 3128
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

# Liberados

#iptables -A FORWARD -i eth1 -s 192.168.1.202 -m string --algo bm --string "google.com" -j ACCEPT
#iptables -t nat -A PREROUTING -s <o_ip_que_vc_quer_liberar> -p ALL -j ACCEPT
iptables -I FORWARD -m iprange --src-range 192.168.1.200-192.168.1.210 -j ACCEPT
iptables -I FORWARD -m iprange --dst-range 192.168.1.200-192.168.1.210 -j ACCEPT
iptables -t nat -I POSTROUTING -m iprange --src-range 192.168.1.200-192.168.1.210 -j MASQUERADE

# Bloqueios Dominio

# Google
iptables -I FORWARD -m string --algo bm --string google.com -j DROP
iptables -I OUTPUT -m string --algo bm --string google.com -j DROP

# Facebook
iptables -I FORWARD -m string --algo bm --string facebook.com -j DROP
iptables -I OUTPUT -m string --algo bm --string facebook.com -j DROP

# Sodexo
iptables -I FORWARD -m string --algo bm --string sodexosaldocartao.com -j DROP
iptables -I OUTPUT -m string --algo bm --string sodexosaldocartao.com -j DROP

# Twitter
iptables -I FORWARD -m string --algo bm --string twitter.com -j DROP
iptables -I OUTPUT -m string --algo bm --string twitter.com -j DROP

# Youtube
iptables -I OUTPUT -p tcp --dport 80 -m string --algo bm --string youtube.com -j DROP
iptables -I OUTPUT -p tcp --dport 563 -m string --algo bm --string youtube.com -j DROP

Buckminster
(usa Debian)

Enviado em 10/08/2015 - 14:51h

Faça um teste, coloque as regras por primeiro:

# Liberados

#iptables -A FORWARD -i eth1 -s 192.168.1.202 -m string --algo bm --string "google.com" -j ACCEPT
#iptables -t nat -A PREROUTING -s <o_ip_que_vc_quer_liberar> -p ALL -j ACCEPT
iptables -I FORWARD -m iprange --src-range 192.168.1.200-192.168.1.210 -j ACCEPT
iptables -I FORWARD -m iprange --dst-range 192.168.1.200-192.168.1.210 -j ACCEPT
iptables -t nat -I POSTROUTING -m iprange --src-range 192.168.1.200-192.168.1.210 -j MASQUERADE

# Rotas e direcionamentos

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-ports 3128
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
...

Reinicie o Iptables e teste, depois repita a mesma coisa somente comentando esta regra

#iptables -t nat -I POSTROUTING -m iprange --src-range 192.168.1.200-192.168.1.210 -j MASQUERADE

e poste aqui o que acontecer nas duas vezes.

bomberLOKO
(usa Ubuntu)

Enviado em 10/08/2015 - 15:00h

Na primeira tentativa nada acontece, google não carrega.

Na segunda também, será meu DNS ou config errada mesmo?

Segue config interfaces

# Recebe Wan - eth1
auto eth1
iface eth1 inet static
address 192.168.0.135
netmask 255.255.255.0
gateway 192.168.0.1
dns-nameservers 200.195.159.101
dns-nameservers 8.8.8.8
# Libera DHCP na LAN - eth0
auto eth0
iface eth0 inet static
address 192.168.1.10
netmask 255.255.255.0
broadcast 192.168.1.25
network 192.168.1.0
dns-nameservers 8.8.8.8
dns-nameservers 200.195.159.101

Segue iptable -L

root@server:/etc/squid3# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination
DROP all -- anywhere anywhere STRING match "twitter.com" ALGO name bm TO 65535
DROP all -- anywhere anywhere STRING match "sodexosaldocartao.com" ALGO name bm TO 65535
DROP all -- anywhere anywhere STRING match "facebook.com" ALGO name bm TO 65535
DROP all -- anywhere anywhere STRING match "google.com" ALGO name bm TO 65535
ACCEPT all -- anywhere anywhere destination IP range 192.168.1.200-192.168.1.210
ACCEPT all -- anywhere anywhere source IP range 192.168.1.200-192.168.1.210

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
DROP tcp -- anywhere anywhere tcp dpt:https STRING match "youtube.com" ALGO name bm TO 65535
DROP tcp -- anywhere anywhere tcp dpt:nntps STRING match "youtube.com" ALGO name bm TO 65535
DROP tcp -- anywhere anywhere tcp dpt:http STRING match "youtube.com" ALGO name bm TO 65535
DROP all -- anywhere anywhere STRING match "twitter.com" ALGO name bm TO 65535
DROP all -- anywhere anywhere STRING match "sodexosaldocartao.com" ALGO name bm TO 65535
DROP all -- anywhere anywhere STRING match "facebook.com" ALGO name bm TO 65535
DROP all -- anywhere anywhere STRING match "google.com" ALGO name bm TO 65535

Chain fail2ban-ssh (0 references)
target prot opt source destination

Buckminster
(usa Debian)

Enviado em 10/08/2015 - 15:22h

dns-nameservers 200.195.159.101
dns-nameservers 8.8.8.8

dns-nameservers 8.8.8.8
dns-nameservers 200.195.159.101

Comenta ou apaga essas linhas acima no arquivo interfaces.
NÃO SE COLOCA DNS NO ARQUIVO INTERFACES.
Reinicie a máquina e teste de novo com as regras do Iptables no lugar de antes.