iptables / liberar porta 443 para determinados sites

vzanchettin
(usa Debian)

Enviado em 23/07/2009 - 17:46h

Cara vc precisa fazer um prerouting como se fosse liberar o site do squid... EX:

"iptables -A PREROUTING -t nat -p tcp --dport 443 -s $rede_local -d mail.google.com -j ACCEPT"

Cara acho que vai resolver o teu problema...

andre_ramos
(usa openSUSE)

Enviado em 27/07/2009 - 11:30h

Kara eu fiz o bloqueio do ultrasurf pelo squid
utilizei as seguintes regras:

acl ultrasurf dstdom_regex -i ([0-9]{1,3}\.[0-9]{1,3}.\[0-9]{1,3}\.[0-9]{1,3}($:.+|/))

http_access deny CONNECT ultrasurf

fiz isso e deu certo

removido
(usa Nenhuma)

Enviado em 29/08/2009 - 12:16h

Fera faz o seguinte, cria uma regra la no squid, mesmo sendo transparente, cria uma regra como se fosse para bloqueio de sistes, mas ao invez de vc colocar deny vc muda e deixa allow, ae adiciona os sites q quer liberar, capichi, fiz aqui e funfo 100%, qualquer coisa posta ae !

titobossini
(usa CentOS)

Enviado em 18/04/2012 - 10:50h

bom dia, estou com um pequeno problema.

Tenho um servidor com duas placas de rede
eth0 - 172.30.115.100 (pega linda internet)
eth1 - 172.30.115.55 (rede local)
Com proxy squid rodando normalmente,
preciso liberar o acesso ao outlook para rede local (gmail usandl ssl)e a porta 35001 para um equipamento q manda leitura para internet.

desde já agradeço

Neo_X
(usa CentOS)

Enviado em 09/01/2013 - 18:03h

Alguém resolveu?

wba_amaral
(usa Kurumin)

Enviado em 17/02/2014 - 11:51h

Olá,

Aqui fiz com o módulo de filtro de strings do iptables:

iptables -A FORWARD  -m string --algo bm --string "musica"     -m limit --limit 1/h   -j LOG --log-prefix "FECHARSTRING : musica-online "
iptables -A FORWARD  -m string --algo bm --string "musica"    -j DROP

 

Esse módulo e muito bruto, funciona com várias combinações, vale lembrar que é conveniente liberar tudo que se tem que liberar, por exemplo máquinas da diretoria endereços de trabalho porque quanto passar por essa regra e estiver negando vai realmente fechar. A ordem de desempate em caso de duas regras idênticas, ou seja, uma que nega outra que libera é sempre a ordem em que ela esta na fila.

Esta regra irá atender a pacotes gerados fora do servidor, caso queira pegar também pacotes gerados dentro deve-se utilizar a chain OUTPUT.

Quanto ao squid podemos bloquear a reprodução de midas assim:

###trecho do squid.conf
#nesse arquivo cadastre o endereço mac um por linha 
#no formato:
## 00:1a:92:8a:f5:a0 
acl mac_liberado arp "/etc/squid3/regras/mac-liberado.conf"

######Fechando Vídeo/Áudio Streaming##############

acl media rep_mime_type video/flv video/x-flv
acl media rep_mime_type -i ^video/
acl media rep_mime_type -i ^video\/
#acl media rep_mime_type ^application/x-shockwave-flash
acl media rep_mime_type ^application/vnd.ms.wms-hdr.asfv1
acl media rep_mime_type ^application/x-fcs
acl media rep_mime_type ^application/x-mms-framed
acl media rep_mime_type ^video/x-ms-asf
acl media rep_mime_type ^audio/mpeg
acl media rep_mime_type ^audio/x-scpls
acl media rep_mime_type ^video/x-flv
acl media rep_mime_type ^video/mpeg4
acl media rep_mime_type ms-hdr
acl media rep_mime_type x-fcs
acl mediapr urlpath_regex \.flv(\?.*)?$
acl mediapr urlpath_regex -i \.(avi|mp4|mov|m4v|mkv|flv)(\?.*)?$
acl mediapr urlpath_regex -i \.(mpg|mpeg|avi|mov|flv|wmv|mkv|rmvb)(\?.*)?$

#############################
#Aplicação de acls
#primeiro libera todos que deverão ter acesso
http_access allow mediapr mac_liberado
http_reply_access allow media mac_liberado

#Agora Fecha
http_access deny mediapr
http_reply_access deny media


 

======================

Valeu, obrigado a todos que até aqui tem se preocupado em manter a informação livre.

Muitíssimo obrigado.

WBA