bloqueio de HTTPS

tomtom_lima
(usa Ubuntu)

Enviado em 17/02/2013 - 19:13h

Ola sou TI de uma empresa onde instalei u ubuntu server 10.4 fiz controle de conteudo e fiz tambem por horario mais tem um pequeno impessilio não consegui bloquear o trafego Https por exemplo bloquei o site do facebook.com mais se o cara for la no navegador e e escrever https://facebook.com ele consegue acesso normal e se o cara tiver conhecimento e usar esses programas burladores de proxy tipo o ultrasurf ele navega normal e ai alguem que possa me dar um help ai ?? to presisando muito disso

saitam
(usa Slackware)

Enviado em 17/02/2013 - 20:40h

iptables -I INPUT -m string --algo bm --string "facebook.com" -j DROP
iptables -I OUTPUT -m string --algo bm --string "facebook.com" -j DROP
iptables -I FORWARD -m string --algo bm --string "facebook.com" -j DROP


Feito! Problema resolvido!

Squid - proxy autenticado: http://mundodacomputacaointegral.blogspot.com.br/2011/12/configurando-servidor-proxy-autenticado.htm...

Iptables - conceitos de firewall e regras no script shell:
http://mundodacomputacaointegral.blogspot.com.br/2012/05/entendendo-o-funcionamento-de-um.html

tomtom_lima
(usa Ubuntu)

Enviado em 18/02/2013 - 16:11h

ola amigo via sua dica coloquei no meu firewall e num funcionou quando executo o programa ultrasurf ele consegue passar pelo bloqueio sem problema segue abaixo meu firewall.sh
veja que coloquei em dois lugar antes e depois da regra de redirecionar o trafego de 80 pra 3128
se puder me ajudar agradesço



#!/bin/bash

# interface ligada a internet
ETH_NET='eth1'

#interface ligada a rede local
REDE='eth2'

#passando protocolo ipv4
echo 1 > /proc/sys/net/ipv4/ip_forward

#fazendo a nat da conex�o
iptables -t nat -A POSTROUTING -o $ETH_NET -j MASQUERADE

iptables -I INPUT -m string --algo bm --string "facebook.com" -j DROP
iptables -I OUTPUT -m string --algo bm --string "facebook.com" -j DROP
iptables -I FORWARD -m string --algo bm --string "facebook.com" -j DROP

iptables -t nat -A PREROUTING -i $REDE -p tcp --dport 80 -j REDIRECT --to-port 3128 # Proxy

#iptables -I INPUT -m string --algo bm --string "facebook.com" -j DROP
#iptables -I OUTPUT -m string --algo bm --string "facebook.com" -j DROP
#iptables -I FORWARD -m string --algo bm --string "facebook.com" -j DROP

saitam
(usa Slackware)

Enviado em 18/02/2013 - 19:35h

O problema esta nesse seu script firewall, é que as chains INPUT, OUTPUT e FORWARD não foram definidas e por default no Netfilter (firewall que opera no Kernel Linux) que são interpretadas pelo Iptabes estão em ACCEPT.

#!/bin/bash

#Limpa as regras

iptables -F

iptables -X

iptables -Z

iptables -F INPUT

iptables -F OUTPUT

iptables -F FORWARD

iptables -t nat -F

iptables -t nat -X

iptables -t nat -Z



#definindo as regras padrão

iptables -P INPUT DROP

iptables -P OUTPUT DROP

iptables -P FORWARD DROP 



# interface ligada a internet

ETH_NET="eth1"



#interface ligada a rede local

REDE="eth2"



#endereço IP da LAN 

LAN="" #ex: 192.168.1.0/24



iptables -A INPUT -p tcp --dport 53 -j ACCEPT

iptables -A INPUT -p udp --dport 53 -j ACCEPT





iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT

iptables -A OUTPUT -p udp --dport 53 -j ACCEPT



iptables -A FORWARD -p tcp --dport 53 -i $REDE -o $ETH_NET -s $LAN -j ACCEPT

iptables -A FORWARD -p udp --dport 53 -i $REDE -o $ETH_NET -s $LAN -j ACCEPT

iptables -A FORWARD -p tcp --dport 25 -i $REDE -o $ETH_NET -s $LAN -j ACCEPT

iptables -A FORWARD -p tcp --dport 3128 -i $REDE -o $ETH_NET -s $LAN -j ACCEPT





#passando protocolo ipv4

echo 1 > /proc/sys/net/ipv4/ip_forward



#fazendo a nat da conexão

iptables -t nat -A POSTROUTING -o $ETH_NET -j MASQUERADE



iptables -t nat -A PREROUTING -i $REDE -p tcp --dport 80 -j REDIRECT --to-port 3128    # Proxy



iptables -I INPUT -m string --algo bm --string "facebook.com" -j DROP

iptables -I OUTPUT -m string --algo bm --string "facebook.com" -j DROP

iptables -I FORWARD -m string --algo bm --string "facebook.com" -j DROP



 

As demais regras de portas dos serviços de redes em uso acrescenta ok, com essas regras já compartilha conexão liberando a porta 53 udp/tcp para navegação por nomes e porta 3128 do squid.

Assim o trafego da porta 80 e 443 fica por conta do proxy squid forçando assim TODOS passar pelo proxy.
Portanto NÃO deve liberar essas portas (80 e 443) no FORWARD.

http://mundodacomputacaointegral.blogspot.com.br/2012/05/entendendo-o-funcionamento-de-um.html

tomtom_lima
(usa Ubuntu)

Enviado em 19/02/2013 - 10:57h

ola amigo muitissimo abrigado por sua boa vontade de ajudar o proximo

eu coloquei aqui seu script e bloqueiou foi tudo mesmo tive que ir ate o servidor e desfazer localmente mesmo, então como sou meio leigo vou montar um servidor de teste na minha casa pra poder fazer isso com calma e depois implantar em produção desde ja agradesso mesmo sua ajuda ai ...

saitam
(usa Slackware)

Enviado em 19/02/2013 - 11:22h

Disponha. Bom que resolveu, então pode marcar o tópico como resolvido e se desejar marcar como 'melhor resposta' fica seu critério.

andrecanhadas
(usa Debian)

Enviado em 19/02/2013 - 13:14h

Bloqueio sites Https:
http://www.vivaolinux.com.br/topico/Squid-Iptables/Liberar-facebook-apenas-para-o-chefe-(com-faceboo...

Bloquear ultrasurf:
http://www.vivaolinux.com.br/artigo/Como-bloquear-o-Ultrasurf-solucao-definitiva-(iptables-+-Fail2ba...

tomtom_lima
(usa Ubuntu)

Enviado em 19/02/2013 - 13:45h

ola saitam eu ainda não resolvi mais vou fazer isso em casa daqui pra manhã ai eu finalizo o topico ok!

tomtom_lima
(usa Ubuntu)

Enviado em 20/02/2013 - 18:33h

ola amigo saitam velho eu num consegui fazer funcionar firewall quando eu coloco esse escripts que vc postou ele trava tudo e eu num consegui mais acesso a nada me da mais uma luz ai se possivel e que eu sou leigo mesmo

me diga qual o procedimento para ir liberando as coisas
tipo ssh, portas do outlook etc...

saitam
(usa Slackware)

Enviado em 21/02/2013 - 07:42h

uma leitura nos posts abaixo irá ajudar

http://mundodacomputacaointegral.blogspot.com.br/2012/10/configurando-endereco-de-rede-no-linux.html

http://mundodacomputacaointegral.blogspot.com.br/2012/05/entendendo-o-funcionamento-de-um.html

http://mundodacomputacaointegral.blogspot.com.br/2011/12/configurando-servidor-proxy-autenticado.htm...