Ajuda para firewall iptables [RESOLVIDO]

willianmdefaria
(usa Debian)

Enviado em 19/09/2012 - 17:44h

Estou com o seguinte problema, gostaria de bloquear alguns sites direto no firewall pelo ip deles...
o Facebook por exemplo, muda de ip frequentemente...
Gostaria de idéias para montar um script que detecte o ip que o domínio do site (ex: facebook.com) e salve em algum arquivo, gostaria de saber se consigo usar o comando iptables para ler o conteúdo de algum arquivo contendo ips para bloqueio...
Tipo: -A FORWARD -p tcp -s "/arquivoqualquer" -j DROP

Espero ter me expressado bem
Obrigado pela atenção pessoal

removido
(usa Nenhuma)

Enviado em 19/09/2012 - 17:48h

Não é melhor tu usar um filtro de conteúdo pra isso?

removido
(usa Nenhuma)

Enviado em 19/09/2012 - 17:52h

Dá uma estudada brother:

http://www.vivaolinux.com.br/artigo/Mecanismo-de-firewall-e-seus-conceitos/

saitam
(usa Slackware)

Enviado em 19/09/2012 - 20:32h

Se quer bloquear Facebook via Iptables então...
iptables -I FORWARD -m string --algo bm --string "facebook.com" -j DROP

Também pode usar a regra acima para os demais sites...

johnnyb
(usa Fedora)

Enviado em 20/09/2012 - 00:26h

amigo ou vc faz igual ao amigo acima ou fecha toda porta 443
conforme essa dica

http://www.vivaolinux.com.br/dica/iptables-Bloqueando-a-porta-443-e-liberando-apenas-para-sites-espe...

removido
(usa Nenhuma)

Enviado em 20/09/2012 - 00:40h

Serviço braçal [*****] esse de fechar a porta 443 é só liberar oque precisa pelo iptables. Se a empresa precisar de 1000 urls? Tenso! Sou contra fazer isso no iptables! Dá impressão de desorganização! Filtro de conteúdo é justamente para isso!




Vai ter q fazer isso para mais trocentos kproxys! Tu tem que racionalizar suas regras, ou dar manutenção vai se tornar algo bem trabalhoso!

* Trecho retirado do artigo do Elgio

Um firewall pode inicialmente ser classificado em dois tipos básicos, filtros de aplicação e filtro de pacotes. 



Filtro de pacotes tem condições de filtrar baseado unicamente no conteúdo de seus cabeçalhos. Apesar do iptables permitir filtragem por contexto, ainda assim ele é considerado um filtro de pacotes. 



Já o Squid, por exemplo, é considerado um filtro de aplicação. Ele (Squid) tem conhecimento para analisar não apenas os cabeçalhos mas também o conteúdo de um pacote do tipo HTTP e aplicar regras de bloqueio baseado em textos (strings) contidas dentro dele. O Squid entende uma requisição HTTP, sabe o que é um GET e um POST, assim como todos os campos e dados de uma sessão HTTP. Trata-se, portanto, de um filtro de aplicação. Mesmo o iptables podendo filtrar baseado em strings, não chega nem perto do que um Squid pode fazer.  

http://www.vivaolinux.com.br/artigo/Mecanismo-de-firewall-e-seus-conceitos/


Eu recomendo o squid como cache sem proxy transparente, associado a um filtro de conteúdo . Dá uma pesquisada no dansguardian ou no squidguard.


OBS: Gostaria de deixar bem claro que você segue oque achar ou considerar melhor.

willianmdefaria
(usa Debian)

Enviado em 20/09/2012 - 11:35h

Obrigado gente, mais pra aprendizado mesmo, queria ver as possibilidades do iptables, dei uma lida nos artigos aqui e nas respostas, realmente boas, obrigado mesmo pessoal

willianmdefaria
(usa Debian)

Enviado em 20/09/2012 - 11:40h

Uma última dúvida,

iptables -I FORWARD -m string --algo bm --string "facebook.com" -j DROP

eu poderia substituir essa string "facebook.com" por um arquivo que conteria várias strings?

Tipo assim, criar um arquivo com as strings

facebook.com
hotmail.com
etc

e passar esse arquivo como parametro pro comando do iptables

é possível?

johnnyb
(usa Fedora)

Enviado em 20/09/2012 - 12:11h

for URL in `grep -v "^#" /etc/squid/list/lib.txt`; do
iptables -I FORWARD -m string --algo bm --string "$URL" -j DROP
done

/etc/squid/list/lib.txt ESTE E O CAMINHO DO ARQUIVO COM AS PALAVRAS

willianmdefaria
(usa Debian)

Enviado em 20/09/2012 - 12:23h

Muito obrigado gente, foi muito esclarecedor... Espero algum dia conseguir contribuir com a comunidade

Muito obrigado mesmo

ivanbee
(usa openSUSE)

Enviado em 17/10/2013 - 15:50h

qdo vcs bloquearem o facebook pela string, vai funcionar, só q tem um porém, vai bloquear tbm todos os e_mail q tenham link para o facebook ( ex. a assinatura)