iptables demorando pra aplicar as configurações

guibanana
(usa FreeBSD)

Enviado em 05/01/2012 - 09:21h

Olá pessoal, estou enfrentando um probleminha estranho.


Tive que bloquear alguns sites HTTPS pelo iptables, pois estou usando proxy transparente. Até aí, tudo bem.

O problema, é que parece que as regras demoram a ser aplicadas. Adiciono a linha e só depois de um tempo(dias) eu não consigo acessar o site.

Quando a mudança é pra liberação(apenas comento a linha), é aplicado assim que eu dou um restart no iptables ou reinicio a máquina. Agora, se eu quiser bloquear novamente, não se sabe quando voltará a bloquear, uma hora vai.

Uso essas linhas pra bloquear por exemplo gmail e o imo.im

-A PREROUTING -d imo.im -p tcp -m tcp --dport 443 -j DROP
-A PREROUTING -d mail.google.com -p tcp -m tcp --dport 443 -j DROP

Porém, como eu disse, se eu comentar essas linhas e recarregar o script do iptables, elas desbloqueiam. Aí se eu tiro o comentário pra voltar a funcionar, elas demoram a funcionar.

Ontem adicionei a mesma linha para o facebook e não está bloqueando.

Se alguém souber oq pode ser feito, to achando esse erro muito bizarro.

DMS_
(usa elementary OS)

Enviado em 05/01/2012 - 09:57h

Tira essas linhas do seu script e digita elas manualmente no terminal pra testar. Veja se digitado direto no terminal ele já bloqueia na hora.
[]'s

phrich
(usa Slackware)

Enviado em 05/01/2012 - 10:52h

Se vc estiver bloqueando pela url o iptables resolve a url para fazer a regra, por isso na demora, porém ele não demora dias, mas sim 1 ou 2 segundos, mas se vc tiver muitas urls talvez seja esse o problema.


Poste seu script de firewall aqui para verificarmos.

DMS_
(usa elementary OS)

Enviado em 05/01/2012 - 11:13h

É mas as URLs do google mudam de Ip direto isso irira atrapalhar?

phrich
(usa Slackware)

Enviado em 05/01/2012 - 12:22h

O que acontece, quando vc coloca no iptables a seguinte regra:

iptables -A FORWARD -d site.com -j ACCEPT

Ele resolve site.com para o endereço ip para entrar na conntrack, por isso demora de 1 a 2 segundos dependendo da quantidade de urls que vc tiver no seu script.

E em cada acesso ele basicamente verifica se não houve alteração do endereço IP, se houve ele atualiza a conntrack e o site é bloqueado.

guibanana
(usa FreeBSD)

Enviado em 05/01/2012 - 13:29h

COnsegui com outros sites agora. O problema parece ser o facebook

As unicas linhas que estou incluindo no iptables são essas.


-A PREROUTING -d imo.im -p tcp -m tcp --dport 443 -j DROP
-A PREROUTING -d www.facebook.com -p tcp -m tcp --dport 443 -j DROP
-A PREROUTING -d login.live.com -p tcp -m tcp --dport 443 -j DROP
-A PREROUTING -d hotmail.com -p tcp -m tcp --dport 443 -j DROP
-A PREROUTING -d mail.google.com -p tcp -m tcp --dport 443 -j DROP
-A PREROUTING -d loginnet.passport.com -p tcp -m tcp --dport 443 -j DROP
-A PREROUTING -i eth2 -p tcp --dport 80 -j REDIRECT --to-port 3128
-A PREROUTING -i eth0 -p tcp --dport 5901 -j DNAT --to-destination 192.168.2.90:5900

Mas algumas parecem funcionar só de vez em quando, tipo, as vezes consigo conectar no msn, as vezes não.

Facebook a mesma coisa, ja tentei com e sem o WWW e parece que funciona logo de cara, mas depois de uns minutos eu volto a acessar...

phrich
(usa Slackware)

Enviado em 05/01/2012 - 13:52h

Por que vc não faz o controle de acesso pelo squid, seria mais próprio do que o iptables não acha?

guibanana
(usa FreeBSD)

Enviado em 05/01/2012 - 14:01h

Uso proxy transparente, aí o bloqueio de HTTPS não funciona, somente pelo iptables.

phrich
(usa Slackware)

Enviado em 05/01/2012 - 14:04h

Bom não sei como está sua estrutura mas talvez se vc retirar o proxy transparente e setar no browser, seria melhor para vc...

Caso vc use um domínio com o Rwindows, vc pode criar uma GPO para isto...

guibanana
(usa FreeBSD)

Enviado em 05/01/2012 - 14:12h

Foi a minha primeira opção, mas aqui na empresa tem muito entra e sai de notebooks via wireless, seja de chefes, funcionários ou visitantes. Somente pela GPO não iria resolver. E também tem muito pc com Windows HOME, que não entra no domínio. Assim cheguei no transparente...

phrich
(usa Slackware)

Enviado em 05/01/2012 - 14:20h

Pelo DHCP vc também pode realizar estas configurações, dê uma pesquisada sobre isto que vc vai achar material. (pq eu não tenho material aqui)