IPTABLES MAC FACEBOOK [RESOLVIDO]

rio78
(usa Debian)

Enviado em 25/04/2014 - 17:11h

Olá amigos...

Preciso de uma ajuda, estou bloqueando o acesso a facebook através de IPTABLES, pois meu servidor roda proxy squid transparente e como sabemos o squid não filtra a porta 443 e embora eu saiba que existem formas de configurar o squid para isto, demanda muito tempo e ainda atualização de sua versão. O fato é que após eu bloquear o acesso ao facebook via iptables, não estou acertando a regra para liberar alguns MACs para ter acesso a ele, como por exemplo os diretores. As regras que estou utilizando são as seguintes...

##### FAZ O BLOQUEIO TOTAL DO FACEBOOK PELA PORTA 443
$IPTABLES -t filter -I FORWARD -p tcp --dport 443 -m string --algo bm --string "facebook.com" -m time --timestart 07:30 --timestop 18:00 -j DROP
$IPTABLES -t filter -I FORWARD -p tcp --sport 443 -m string --algo bm --string "facebook.com" -m time --timestart 07:30 --timestop 18:00 -j DROP
##### FAZ A LIBERAÃO DO FACEBOOK PELO MAC DE UM MICRO ESPECIFICO
$IPTABLES -I FORWARD -m mac --mac-source AC:22:0B:2D:1A:78 -p tcp --dport 443 -m string --algo bm --string "facebook.com" -j ACCEPT

Com esta regra de liberação não estou tendo estabilidade, alguém saiba de uma forma melhor como eu libero alguns MACS em especifico para acessar o facebook por exemplo depois do bloqueio geral acima?

Obrigado pela atenção de todos.

removido
(usa Nenhuma)

Enviado em 25/04/2014 - 20:12h

boa noite amigo... se o problema é a instabilidade na conexão, acrescenta a seguinte regra.

iptables -I FORWARD  -m state --state NEW,ESTABLISHED,RELATED -m mac --mac-source AC:22:0B:2D:1A:78 -j ACCEPT 

Faz os testes e vê se melhora.

rio78
(usa Debian)

Enviado em 28/04/2014 - 14:30h

Então continua a mesma coisa, não abre a página do FACE pelo endereço MAC especificado, este comando não está fazendo a liberação após a regra de bloqueio, deve ser outra forma de escrever esta linha do iptables.

adonisgarces
(usa Debian)

Enviado em 28/04/2014 - 14:54h

Ola amigo, você usa proxy transparente? se sim, sete o proxy e verá que se resolverá...
Posta ai qualquer resultado.

Abs.

Adonis Garcês

rio78
(usa Debian)

Enviado em 28/04/2014 - 15:40h

Então Adonis, é usado proxy transparente na rede, entretanto para alguns ips em específico é liberado o tráfego direto pela porta 80 não passando pelo proxy, por isto que preciso que alguns ips ou MACS sejam totalmente liberados incluindo o facebook, para exemplificar melhor irei organizar as regras:

##### FAZ O BLOQUEIO TOTAL DO FACEBOOK PELA PORTA 443
$IPTABLES -t filter -I FORWARD -p tcp --dport 443 -m string --algo bm --string "facebook.com" -m time --timestart 07:30 --timestop 18:00 -j DROP
$IPTABLES -t filter -I FORWARD -p tcp --sport 443 -m string --algo bm --string "facebook.com" -m time --timestart 07:30 --timestop 18:00 -j DROP

##### FAZ LIBERAÇÃO DE IP PARA NÃO PASSAR PELO PROXY
$IPTABLES -A FORWARD -i $IFINTERNA -s 192.168.254.1 -j ACCEPT
$IPTABLES -A FORWARD -o $IFINTERNA -d 192.168.254.1 -j ACCEPT
$IPTABLES -t nat -A PREROUTING -i $IFINTERNA -s 192.168.254.1 -j RETURN
$IPTABLES -t nat -A POSTROUTING -o $IFEXTERNA -s 192.168.254.1 -j MASQUERADE

##### FAZ A LIBERACAO DO ENDERECO MAC PARA ACESSAR O FACE
$IPTABLES -I FORWARD -m state --state NEW,ESTABLISHED,RELATED -m mac --mac-source AC:22:0B:2D:1A:78 -j ACCEPT

lejoso
(usa Debian)

Enviado em 29/04/2014 - 21:26h

Apenas remova essa regra abaixo que deve funcionar, pois ela está bloqueando na volta dos pacotes e como não tem como liberar por mac de destino, a unica solução que vejo e remover essa regra.

$IPTABLES -t filter -I FORWARD -p tcp --sport 443 -m string --algo bm --string "facebook.com" -m time --timestart 07:30 --timestop 18:00 -j DROP


Lejoso

rio78
(usa Debian)

Enviado em 30/04/2014 - 11:17h

Amigo é isto ai, removi a linha em questão e funcionou perfeitamente, agora consigo travar a rede inteira o acesso ao Facebook e depois só libero quem realmente interessa a empresa.

Muito obrigado.