iptables / liberar porta 443 para determinados sites [Squid/Iptables]

samuel.bmedeiros

Discussão no fórum: iptables / liberar porta 443 para determinados sites — Viva o Linux, a maior comunidade GNU/Linux da América Latina.

1. iptables / liberar porta 443 para determinados sites

Enviado em 13/08/2008 - 17:46h

estou tentando liberar a porta 443 em meu firewall para apenas determinadas url's. Todo esse trabalho para bloquear o infeliz do ultrasurf. Antes que me digam para fazer isso pelo squid, ja adianto que utilizo proxy tranparente...ai sujo..
Fiz o seguinte para bloquear o UltraSurf. Bloquiei a porta 443 em meu firewall com a seguinte regra:

$IPTABLES -A FORWARD -p tcp --dport 443 -j DROP
$IPTABLES -A INPUT -p tcp --dport 443 -j DROP
$IPTABLES -A OUTPUT -p tcp --dport 443 -j DROP

Até ai maravilha. O problema surge agora para liberar essa porta para determinados sites como o gmail por exemplo.

Utilizei a seguinte regra, porém não funcionou.

$IPTABLES -A FORWARD -d www.gmail.com -p cp --dport 443 -j ACCEPT
$IPTABLES -A INPUT -d www.gmail.com -p tcp --dport 443 -j ACCEPT
$IPTABLES -A OUTPUT -d www.gmail.com -p tcp --dport 443 -j ACCEPT

Alguma dica ai pessoal?
Obrigado pela atenção.

2. Re: iptables / liberar porta 443 para determinados sites

Enviado em 13/08/2008 - 17:49h

Tente liberar pelo ip dos sites, e não coloque a porta. deixe tudo liberado.
PS: não é necessário a regra de INPUT, tendo em vista que o site de destino não está em seu servidor.

3. Re: iptables / liberar porta 443 para determinados sites

Enviado em 13/08/2008 - 18:13h

vixi...pelo ip acho que vai se bronca, pois o gmail muda de ip constantemente... esses e outros sites..

4. Re: iptables / liberar porta 443 para determinados sites

Enviado em 13/08/2008 - 18:26h

Fiz o que falou e não deu certo..

5. Re: iptables / liberar porta 443 para determinados sites

Enviado em 14/08/2008 - 08:25h

Pois é, nem tinha me dado conta. O gmail troca mesmo.

Bom, e se você liberar apenas o site?

iptables -A FORWARD -j ACCEPT -d www.gmail.com

Sobre a regra INPUT, pode colocar. Não sei como você utiliza o seu firewall.

Outra coisa, dá uma olhadinha se ele está acessando realmente o www.gmail.com

Se você fizer pelo squid não funciona?

6. Re: iptables / liberar porta 443 para determinados sites

Enviado em 14/08/2008 - 12:15h

não deu certo não...

$IPTABLES -A FORWARD -p tcp --dport 443 -j DROP
$IPTABLES -A INPUT -p tcp --dport 443 -j DROP
$IPTABLES -A OUTPUT -p tcp --dport 443 -j DROP

$IPTABLES -A FORWARD -j ACCEPT -d www.gmail.com
$IPTABLES -A INPUT -j ACCEPT -d www.gmail.com
$IPTABLES -A OUTPUT -j ACCEPT -d www.gmail.com

7. Liberação antes

Enviado em 14/08/2008 - 13:00h

As regras para liberar o Gmail devem ser colocadas antes da regras de bloquear ao acesso a porta 443. Verifique isso.

8. Re: iptables / liberar porta 443 para determinados sites

Enviado em 14/08/2008 - 13:42h

já fiz isso também... e nadinha..

9. Re: iptables / liberar porta 443 para determinados sites

Enviado em 20/12/2008 - 00:22h

Sua configuração:
$IPTABLES -A FORWARD -p tcp --dport 443 -j DROP
$IPTABLES -A INPUT -p tcp --dport 443 -j DROP
$IPTABLES -A OUTPUT -p tcp --dport 443 -j DROP

$IPTABLES -A FORWARD -j ACCEPT -d www.gmail.com
$IPTABLES -A INPUT -j ACCEPT -d www.gmail.com
$IPTABLES -A OUTPUT -j ACCEPT -d www.gmail.com

Tenta colocar os permitidos antes dos negados:

$IPTABLES -A FORWARD -j ACCEPT -d www.gmail.com
$IPTABLES -A INPUT -j ACCEPT -d www.gmail.com
$IPTABLES -A OUTPUT -j ACCEPT -d www.gmail.com
$IPTABLES -A FORWARD -p tcp --dport 443 -j DROP
$IPTABLES -A INPUT -p tcp --dport 443 -j DROP
$IPTABLES -A OUTPUT -p tcp --dport 443 -j DROP

10. squid porta 443

Enviado em 11/05/2009 - 09:18h

estou com o mesmo problema e nao consigo resolver... =/

11. Barrando ultrasurf

Enviado em 11/05/2009 - 19:23h

Olá amigos,

No meu iptables eu coloco as regras em seguência e numeradas para não ter problemas, exemplo:

iptables -t filter -I FORWARD 1 -p tcp -d mail.google.com --dport 443 -j ACCEPT
iptables -t filter -I FORWARD 2 -p tcp -d www.google.com --dport 443 -j ACCEPT

iptables -t filter -I OUTPUT 1 -p tcp -d mail.google.com --dport 443 -j ACCEPT
iptables -t filter -I OUTPUT 2 -p tcp -d www.google.com --dport 443 -j ACCEPT

E depois coloco as regras de bloqueio:

iptables -t filter -I FORWARD 3 -p tcp --dport 443 -j DROP
iptables -t filter -I OUTPUT 3 -p tcp --dport 443 -j DROP

Uma boa dica é pegar uma máquina que esteja com a porta 443 liberada, acessar o site que está dando problemas de conexão e ir em; iniciar > executar > cmd e dar um netstat quando estiver abrindo o site para verificar qual o endereço que ele faz a conexão.

Qualquer dúvida é só falar...

12. Re: iptables / liberar porta 443 para determinados sites

Enviado em 21/05/2009 - 21:51h

no caso
bloquei a 443
e aos poucos vou liberando os site
mas liberei o hotmail, mas ao digitar usuario e senha nao carrega o email e passa alguns segundos e da conexao espirou pela porta 443

segue abaixo a configuracao que coloquei (de acordo com que li acima nos post)

echo "Portas e Sites"
$ipt -A FORWARD -j ACCEPT -d login.live.com
$ipt -A INPUT -j ACCEPT -d login.live.com
$ipt -A OUTPUT -j ACCEPT -d login.live.com
$ipt -t filter -I INPUT -p tcp -d www.hotmail.com --dport 443 -j ACCEPT
$ipt -t filter -I INPUT -p tcp --dport 443 -j DROP
$ipt -t filter -I FORWARD -p tcp --dport 443 -j DROP
$ipt -t filter -I OUTPUT -p tcp --dport 443 -j DROP

No caso a liberacao ta em cima e o bloqueio abaixo
se eu comenta o bloqueio abre normal (obvio) agora se tirar ele acssa site hotmail.com, mas nao loga.
Que posso fazer?

(no caso o scrip acima que numerar eu nao tentei, mas preciso numerar td e tentar, ou so falta alguma linha no codigo acima.)

ajuda aew porfavor.

iptables / liberar porta 443 para determinados sites

Responder tópico