Script de bloqueio https (facebook)

thi
(usa Ubuntu)

Enviado em 27/09/2011 - 19:49h

Olá boa noite,

É um assunto meio que batido mas sem exito. O que acontece, um dos amigos aqui do fórum conseguiu que esse script abaixco bloqueie conexões https do facebook, nos casos de proxy transparent. Porém pude observar que alguns minutos depois, perde a conexão. Eu listo no iptables e somente a parte do "FOR" que se perde.

Segue abaixo:

FACEBOOK_ALLOW="192.168.1.12 192.168.1.14 192.168.1.111"
iptables -N FACEBOOK

iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range 66.220.144.0-66.220.159.255 --dport 443 -j FACEBOOK
iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range 69.63.176.0-69.63.191.255 --dport 443 -j FACEBOOK
iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range 204.15.20.0-204.15.23.255 --dport 443 -j FACEBOOK
iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range 66.220.144.0-66.220.159.255 --dport 80 -j FACEBOOK
iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range 69.63.176.0-69.63.191.255 --dport 80 -j FACEBOOK
iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range 204.15.20.0-204.15.23.255 --dport 80 -j FACEBOOK

## FACEBOOK ALLOW
for face in $FACEBOOK_ALLOW; do
iptables -A FACEBOOK -s $face -j ACCEPT
done
iptables -A FACEBOOK -j REJECT

a parte do ## FACEBOOK ALLOW para baixo não esta gravando.
Como posso salvar essas configs?

Abs.

renato_pacheco
(usa Debian)

Enviado em 27/09/2011 - 22:50h

Deixa eu entender melhor: como assim "perde a conexão"? Pelo q entendi, quem perde a conexão são os IP's liberados, correto?

Outra coisa q ficou meio vaga: "não está gravando" o q? As regras no momento da execução ou perde as regras quando reinicia a máquina?

Explique melhor para eu t ajudar.

thi
(usa Ubuntu)

Enviado em 28/09/2011 - 18:32h

Fala ai renatão!!!

Então vamos lá,

Visualiza essa regra toda acima.... ok!

No ato, no momento que eu digito a regra, fica OK realmente a conexão https do face NÃO ENTRA!!

Porém se passando uns 10-15 minutos, volta a entrar do nada, isso sem reiniciar o proxy.

ai fui checar as configurações no iptables e constatei que a parte dos ips continuam, e somente a parte de condição do (FOR) ou seja, do (PARA) que não ta gravando. Ai eu digito só a parte do FOR novamente, ai volta a bloquear.

Eu digitando o bloco abaixo, volta a bloquear momentaneamente:

## FACEBOOK ALLOW
for face in $FACEBOOK_ALLOW; do
iptables -A FACEBOOK -s $face -j ACCEPT
done
iptables -A FACEBOOK -j REJECT

Depois,passando-se alguns minutos, mesma coisa, se perde automaticamente....

Sacou?

Voou postar minha lógica do iptables:

cd /etc/init.d
vi regras
e digito a seguinte linha:
# iptables-restore < /etc/network/iptables.regras
mudo as permissões do arquivo criado no init.d com:
# chmod 700 regras
e coloco na inicialização o arquivo criado no init.d com o comando
# update-rc.d regras defaults
pronto da proxima vez que inicializar o sistema as regras serão restauradas.

Logo, a cada regra que eu adicionar no iptables eu digito :

iptables-save > /etc/network/iptables.regras
dps dou um update-rc.d regras defaults

Abs.

renato_pacheco
(usa Debian)

Enviado em 29/09/2011 - 09:24h

Vc tem certeza q a faixa d IP's do facebook é essa mencionada nas regras? Será q não existem mais faixas a serem bloqueadas? Como disse, essa forma d gerenciar bloqueios é falha, justamente por causa das faixas d IP, q são muito dinâmicas. O certo é t proxy manual configurado no navegador, pois ae vc consegue bloquear o domínio facebook.com sem problemas.

thi
(usa Ubuntu)

Enviado em 29/09/2011 - 14:06h

Hmm entendi, o que vc quer dizer é mudar do proxy transparent para o que precisa configurar no browser nas estações né?

Qual é a forma fácil de eu fazer isso para teste?

O que é preciso desfazer?

Abs.

renato_pacheco
(usa Debian)

Enviado em 29/09/2011 - 14:47h

Vc retira o "transparent" da linha "http_port 3128" e remova o redirecionamento da porta 80 pra 3128 no iptables (iptables -t nat -A POSTROUTING ...). Depois vc configura manualmente o proxy no navegador e faça os testes.

thi
(usa Ubuntu)

Enviado em 29/09/2011 - 14:58h

Ok, farei os testes!

Renato aproveitando o gancho do tópico, o que acontece:

Eu PRATICAMENTE estou pensando em mudar de transparent para o autenticado em cada pc no browser, por causa do facebook.

Não encontrei nenhuma regra que fique, infelizmente!

Eu tenho o caso do orkut por exemplo. O orkut com protocolo http o bloqueio é normal do dansguardian, e se o cara digitar https AUTOMATICAMENTE é feito um redirecionamento para http, ou seja, o cara volta pra http.

Não tem como eu fazer isso no facebook?

Abs.

renato_pacheco
(usa Debian)

Enviado em 29/09/2011 - 15:03h

Pode ser uma regra do dansguardian q possa estar fazendo isso, mas eu nunca vi na prática. Se souber d alguma coisa, passe ae.

thi
(usa Ubuntu)

Enviado em 29/09/2011 - 15:04h

Funciona maravilha,

Porém...... não fui eu que implementei, to tentando descobrir aonde implementaram isso aqui....

qxada07
(usa Slackware)

Enviado em 29/09/2011 - 15:52h

Amigo

Tenta implementar esta regra no seu iptables..... eu uso esta regra para bloquear o youtube.com


/usr/sbin/iptables -I FORWARD -s $SUA_REDE_INTERNA/24_OU_IP_QUE_VC_qR_BLOQUEAR -m string --string facebook.com --algo kmp -j DROP


Depois me fala se deu certo

thi
(usa Ubuntu)

Enviado em 29/09/2011 - 16:00h

Passou cara.

Coloquei da seguinte forma:

iptables -I FORWARD -s $192.168.0.0/24 -m string --string facebook.com --algo kmp -j DROP

tá fd!

qxada07
(usa Slackware)

Enviado em 03/10/2011 - 14:06h

Tenta dropar o ip do facebook (69.171.229.11)

/usr/sbin/iptables -I FORWARD -s SEU_IP -d 69.171.229.11 -j ACCEPT


obs:

Você tem que se atentar na sequencia que vc esta montando as regras....


Pois as vezes vc não esta conseguindo bloquear pois alguma outra regra deve estar liberando antes.