[1] Comentário enviado por stinformatica em 26/06/2013 - 18:10h

100% valeu aí! Trabalho em Orgão público em minha cidade e implantei a regra dada acima e funcionou tranquilo.

0 0

[2] Comentário enviado por krum em 27/06/2013 - 15:37h

Opa é isso ai. qualquer coisa só perguntar.

0 0

[3] Comentário enviado por adonisdrummer em 17/07/2013 - 14:43h

Amigo, sou iniciante em Linux, mais aqui na empresa, estou sofrendo com isso.

Eu tenho que inserir essa regra dentro do meu rc.local, no caso as duas uma após a outra?

Aguardo retorno.

Obrigado pelo post.

Adonis Drummer

0 0

[4] Comentário enviado por krum em 17/07/2013 - 14:50h

Oi adonisdrummer, seguinte você vai adicionar assim para bloquear.

Caso queira liberar algum ip

iptables -A FORWARD -i eth1 -s 192.168.1.113 -m string --algo bm --string "facebook.com" -j ACCEPT #IP LIBERADO
iptables -A FORWARD -i eth0 -d 192.168.1.113 -m string --algo bm --string "facebook.com" -j ACCEPT #IP LIBERADO

Caso queira bloquear tudo segue a regra abaixo.

iptables -A FORWARD -i eth1 -m string --algo bm --string "facebook.com" -j DROP
iptables -A FORWARD -i eth1 -m string --algo bm --string "twitter.com" -j DROP
iptables -A FORWARD -i eth0 -d 192.168.1.0/24 -m string --algo bm --string "facebook.com" -j DROP
iptables -A FORWARD -i eth0 -d 192.168.1.0/24 -m string --algo bm --string "twitter.com" -j DROP

Agora se não funcionar coloque a FLAG -I no lugar da -A ok..

Abraço.

1 0

[5] Comentário enviado por adonisdrummer em 18/07/2013 - 15:02h

eth0 - É WAN
eth1 - É LAN

??

Desculpa mais sou pouco leigo ainda.

Abs.

0 0

[6] Comentário enviado por krum em 18/07/2013 - 15:04h

No meu caso eth0 é WAN externo e eth1 e LAN é interno.

0 0

[7] Comentário enviado por adonisdrummer em 18/07/2013 - 15:08h

Valeu Krum, aqui na empresa é o inverso por isso a pergunta.

Vou testar.

Obrigado.

Abs,

Adonis Drummer

0 0

[8] Comentário enviado por adonisdrummer em 18/07/2013 - 16:54h

Krum, outra pergunta.

Tenho alguns Ip's que são liberados acesso total no meu squid3.

Ai eu setando a regra de bloqueio geral no IPTABLES na qual vc citou, os ip´s que estao liberados pelo squid vai navegar, ou tenho que colocar os Ip's liberados novamente na regra.?

Abs,

Adonis

1 0

[9] Comentário enviado por krum em 19/07/2013 - 16:34h

Tem que colocar o ip no iptables, quanto no squid.

0 0

[10] Comentário enviado por adonisdrummer em 23/07/2013 - 08:43h

Ok, obrigado!!!

0 0

[11] Comentário enviado por adonisdrummer em 01/08/2013 - 16:50h

Krum,

Amigao, desculpa a demora mais fiz da maneira como vc me falou ai coloquei as regras do ip's liberado, ate ai blza, só que todo o trafego HTTPS da regra geral nao funciona mais.


E agora?

0 0

[12] Comentário enviado por krum em 01/08/2013 - 16:53h

Me mande uma analogia da sua rede fazendo favor, e o trafego https parou depois da regra iptables ou squid ?

0 0

[13] Comentário enviado por adonisdrummer em 01/08/2013 - 17:01h

Dps do Iptables.

Vou te mandar o meu arquivo rc.local

0 0

[14] Comentário enviado por pessotti5 em 02/08/2013 - 09:46h

Muito Obrigado, sua dica foi a única que deu certo e não depende de gambiarra. Apenas um comentário, enquanto eu tentava entender o script, acho que tem um detalhe. Veja se confere: Ele loga o acesso pela string e depois ele lê os acessos e imediatamente bloquei o ip que tem aquela string correto? Ele faz isso 2 vezes, uma para lan e outra para wan. Veja:


iptables -A FORWARD -i eth0 -d 192.168.1.0/24 -m string --algo bm --string "facebook.com" -j LOG --log-prefix " acesso facebook: " --log-level alert #LOG DE ACESSO
>>ESTA LINHA>> iptables -A FORWARD -i eth0 -d 192.168.1.0/24 -m string --algo bm --string "facebook.com" -j LOG --log-prefix " acesso twitter: " --log-level alert #LOG DE ACESSO
iptables -A FORWARD -i eth0 -d 192.168.1.0/24 -m string --algo bm --string "facebook.com" -j DROP #BLOQUEIA GERAL
iptables -A FORWARD -i eth0 -d 192.168.1.0/24 -m string --algo bm --string "twitter.com" -j DROP #BLOQUEIA GERAL

Você tem duas linhas logando acesso ao facebook e nenhuma logando o twitter.com. A linha em destaque não deveria ser:
iptables -A FORWARD -i eth0 -d 192.168.1.0/24 -m string --algo bm --string "twitter.com" -j LOG --log-prefix " acesso twitter: " --log-level alert #LOG DE ACESSO

Outra pergunta: você realmente viu necessidade de bloquear o que "volta" pela wan também, ou é apenas pra ficar caprichado?

Mais uma vez obrigado, e desculpe o incomodo, estou aprendendo e tenho curiosidade.

Valeu.

0 0

[15] Comentário enviado por adonisdrummer em 02/08/2013 - 11:21h

Krum, conforme prometido segue abaixo meu arquivo.




GNU nano 2.2.4 Arquivo: rc.local

#! /bin/sh
### BEGIN INIT INFO
# Provides: rc.local
# Required-Start: $remote_fs $syslog $all
# Required-Stop:
# Default-Start: 2 3 4 5
# Default-Stop:
# Short-Description: Run /etc/rc.local if it exist
### END INIT INFO


PATH=/sbin:/usr/sbin:/bin:/usr/bin

. /lib/init/vars.sh
. /lib/lsb/init-functions

#regras do squid transparente

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
modprobe iptable_nat
iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128
#iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p tcp --dport 443 -j REDIRECT --to-port 3128

#fim de regras do squid transparente

#Libera Https - sites especificos abaixo - Ip que acessam#

########################SERVIDOR##############################################

iptables -A FORWARD -i eth0 -s 192.168.0.2 -m string --algo bm --string "facebook.com" -j ACCEPT #IP LIBERADO
iptables -A FORWARD -i eth1 -d 192.168.0.2 -m string --algo bm --string "facebook.com" -j ACCEPT #IP LIBERADO
iptables -A FORWARD -i eth0 -s 192.168.0.2 -m string --algo bm --string "youtube" -j ACCEPT #IP LIBERADO
iptables -A FORWARD -i eth1 -d 192.168.0.2 -m string --algo bm --string "youtube" -j ACCEPT #IP LIBERADO

############################ SUPORTE ######################################

iptables -A FORWARD -i eth0 -s 192.168.0.71 -m string --algo bm --string "facebook.com" -j ACCEPT #IP LIBERADO
iptables -A FORWARD -i eth1 -d 192.168.0.71 -m string --algo bm --string "facebook.com" -j ACCEPT #IP LIBERADO
iptables -A FORWARD -i eth0 -s 192.168.0.71 -m string --algo bm --string "youtube" -j ACCEPT #IP LIBERADO
iptables -A FORWARD -i eth1 -d 192.168.0.71 -m string --algo bm --string "youtube" -j ACCEPT #IP LIBERADO


###################### Bloqueia Sites para os demais #################################

iptables -A FORWARD -i eth0 -m string --algo bm --string "facebook.com" -j DROP
iptables -A FORWARD -i eth1 -d 192.168.0.0/24 -m string --algo bm --string "facebook.com" -j DROP
iptables -A FORWARD -i eth0 -m string --algo bm --string "youtube.com" -j DROP
iptables -A FORWARD -i eth1 -d 192.168.0.0/24 -m string --algo bm --string "youtube.com" -j DROP

1 0

[16] Comentário enviado por adonisdrummer em 02/08/2013 - 11:45h

Krum, outro detalhe.

A regra é funcional, porém eu tenho que colocar o proxy para que as estações que entram na regra de bloqueio geral funcione os demais sites que navegam em HTTPS, exceto o que está na lista de bloqueio.

O que pode ser?

Uso Proxy Transparente.

0 0

[17] Comentário enviado por thiagomedeiros em 21/08/2013 - 09:07h

Bom dia Krum!

sou usuario inciante do Linux, tenho uma rede em que preciso bloquear o acesso ao facebook e tentei utilizar a regra que voce indicou, mas quando coloco a regra no iptables, ele retorna um erro:

'iptables v1.4.4: invalid mask `243' specified'

a regra utilizada foi essa

iptables -I FORWARD -i eth0 -m string --algo bm --string "facebook.com" -j DROP
iptables -I FORWARD -i eth0 -m string --algo bm --string "twitter.com" -j DROP
iptables -I FORWARD -i eth1 -d 192.168.10.2/243 -m string --algo bm --string "facebook.com" -j DROP
iptables -I FORWARD -i eth1 -d 192.168.10.2/243 -m string --algo bm --string "twitter.com" -j DROP

onde 2/243 é o rang do ip.

voce poderia me ajudar?


desde já agradeço!!

Thiago Medeiros

0 0

[18] Comentário enviado por lester_guimaraes em 02/09/2013 - 11:13h

bom dia, mesmo lendo os comentários ainda tenho dúvidas. No meu local de trabalho tenho implementado a seguinte regra:

iptables -I FORWARD -m string --algo bm --string "instagram.com" -j DROP (utilizo apenas essa regra no rc.local)

o facebook fica bloqueado para a rede local (eth1) e apenas o servidor de internet tem acesso ao site, mas ao tentar adicionar a mesma regra a mesma regra para outros serviços como instagram/twitter, os sites estão passando.

Outra dúvida que tenho é quando é adicionado o entereço Ip na regra, esse endereço é o da placa da rede local(eth1)? Obrigado

0 0

[19] Comentário enviado por krum em 17/09/2013 - 11:12h

thiagomedeiros,deve ter algum erro na seu calculo de rede da uma olhada aqui http://www.subnet-calculator.com/

0 0

[20] Comentário enviado por krum em 17/09/2013 - 11:14h

lester_guimaraes isso mesmo, e a rede local eth1, faz a regra de ida e de volta.

0 0

[21] Comentário enviado por lester_guimaraes em 17/09/2013 - 12:02h

Na minha rede local estou usando classe A no seguinte paddrão: 10.10.10.1 endereço do servidor e nat atribuindo dhcp de 10.10.10.10 - 10.10.10.200
###############ARQUIVO DE CONFIGURAÇÃO###############

subnet 10.10.10.0 netmask 255.255.255.0 {
range 10.10.10.10 10.10.10.200;
option subnet-mask 255.255.255.0;
option routers 10.10.10.1;

option domain-name-servers 10.10.10.34,10.1.1.2,10.1.1.100;
option broadcast-address 10.10.10.255;


No caso a minha range deveria ir de 1 - 126, Correto?

0 0

[22] Comentário enviado por lester_guimaraes em 17/09/2013 - 12:08h

ops, até 254
Na verdade,gostaria de uma ajuda :D Qualé o valor e onde devo alterar? Obrigado pela paciência Krum

0 0

[23] Comentário enviado por krum em 25/09/2013 - 13:45h

lester_guimaraes você quer colocar as regras acima de acordo com a sua rede ? a faixa de ip e tal ?

Não entendi muito bem sua duvida amigo, se poder ser mais especifico.


se você pode perceber você usa mascara 255.255.255.0 /24 então. que no caso vai até 254

Qual seu ip ou faixa externa ?

0 0

[24] Comentário enviado por darlanh em 21/02/2014 - 11:09h

Na minha rede esta bloqueado o facebook e outros sites, existe um porem... quando é acessado pelo mozilla firefox, conseguem acessar o facebook, com outros navegadores nao tem acesso... nao entendo o porque, saberia me responder?

regras no iptables:

-A FORWARD -p tcp -m tcp --dport 443 -m string --string "youtube.com" --algo bm --to 65535 -j DROP
-A FORWARD -p tcp -m tcp --dport 443 -m string --string "orkut.com" --algo bm -- to 65535 -j DROP
-A FORWARD -p tcp -m tcp --dport 443 -m string --string "facebook.com" --algo bm --to 65535 -j DROP

att
Darlan Heberle

0 0

[25] Comentário enviado por krum em 21/02/2014 - 12:06h

Olá darlanh, mais no caso você não usa as regras como citei né.

Tenta o seguinte

iptables -I FORWARD -i eth0 -d 192.168.1.0/24 -p tcp --dport 443 -m string --algo bm --string "facebook.com" -j DROP
iptables -I FORWARD -i eth0 -d 192.168.1.0/24 -p tcp --dport 443 -m string --algo bm --string "youtube.com" -j DROP
iptables -I FORWARD -i eth0 -d 192.168.1.0/24 -p tcp --dport 443 -m string --algo bm --string "orkut.com" -j DROP
iptables -I FORWARD -i eth1 -p tcp --dport 443 -m string --algo bm --string "facebook.com" -j DROP
iptables -I FORWARD -i eth1 -p tcp --dport 443 -m string --algo bm --string "youtube.com" -j DROP
iptables -I FORWARD -i eth1 -p tcp --dport 443 -m string --algo bm --string "orkut.com" -j DROP


Qualquer coisa só postar o resutado.

1 0

[26] Comentário enviado por gelcimarf em 10/06/2014 - 16:39h

ola, fiquei em duvida sobre a eth que devo colocar na regras de bloqueio. sendo que a eth0 é a minha wan rede "externa" e eht1 e a lan ou "seja rede local"

neste caso a minha rede é 192.168.2.0/24.

0 0

[27] Comentário enviado por krum em 24/06/2014 - 15:26h

Está maneira ai são as corretas eth0 externa e eth1 interna. tem que fazer nas 2 redes, entrada e saida.

0 0

[28] Comentário enviado por wtsouza em 16/07/2014 - 08:46h

como faço pra colocar nesse script para acessar o facebook só no horário de almoço ???

0 0

[29] Comentário enviado por janduy em 01/08/2014 - 01:31h

Muito boa as regras, funcionou muito bem!

0 0

[30] Comentário enviado por krum em 26/09/2014 - 09:28h

wtsouza para regra por horario de almoço pode ser assim:

horario liberado das 12:00 - 13:00

iptables -A FORWARD -i eth1 -s 192.168.0.10 -m string --algo bm --string "facebook.com" -j ACCEPT #LIBERADO
iptables -A FORWARD -i eth1 -m string --algo bm --string "facebook.com" -j LOG --log-prefix " acesso facebook: " --log-level alert #LOG
iptables -A FORWARD -i eth1 -m string --algo bm --string "facebook.com" -m time --timestart 00:01 --timestop 12:00 --kerneltz -j DROP #BLOQUEIO
iptables -A FORWARD -i eth1 -m string --algo bm --string "facebook.com" -m time --timestart 13:00 --timestop 23:59 --kerneltz -j DROP #BLOQUEIO

iptables -A FORWARD -i eth0 -d 192.168.0.10 -m string --algo bm --string "facebook.com" -j ACCEPT #LIBERADO
iptables -A FORWARD -i eth0 -d 192.168.0.0/24 -m string --algo bm --string "facebook.com" -j LOG --log-prefix " acesso facebook: " --log-level alert #LOG
iptables -A FORWARD -i eth0 -d 192.168.0.0/24 -m string --algo bm --string "facebook.com" -m time --timestart 00:01 --timestop 12:00 --kerneltz -j DROP #BLOQUEIO
iptables -A FORWARD -i eth0 -d 192.168.0.0/24 -m string --algo bm --string "facebook.com" -m time --timestart 13:30 --timestop 23:59 --kerneltz -j DROP #BLOQUEIO

0 0

[31] Comentário enviado por viniciusmathias em 11/01/2015 - 12:54h


Ola gostei das suas dicas mas estou com uma duvida, eu preciso implantar na empresa para bloquear o facebook e youtube e assim como o de cima liberar no almoço, mas o mais importante aluns ips, eu ou mac eu preciso que tenham acesso total.
No meu caso eth0 é a minha lá na faixa de IP 192.168.6.x e eth1 e eth2 são os dois links.
Então como eu boquearia para toda a rede e depois liberaria para a lista de ips possuem acesso permitido ? Agradeço a ajuda.

0 0

[32] Comentário enviado por adilsonmenechini em 10/02/2016 - 10:35h

Bom galera

Eu uso essa no iptables

################# BLOQUEIO 443 ##################
for ips in `cat /etc/squid3/regras/IPLivres`; do
for deny in `cat /etc/squid3/regras/IPBLOQFW`; do
$ipt -A FORWARD -i eth1 -s $ips -m string --algo bm --string $deny -j ACCEPT
$ipt -A FORWARD -i eth0 -d $ips -m string --algo bm --string $deny -j ACCEPT
$ipt -A FORWARD -i eth0 -d 192.168.10.0/24 -m string --algo bm --string $deny -j DROP
$ipt -I FORWARD -i eth1 -m string --algo bm --string $deny -j DROP
done
done


Lista de ip sem bloqueio /etc/squid3/regras/IPLivres
Lista de sites para bloqueio /etc/squid3/regras/IPBLOQFW, no arquivo precisa ser colocado o " " exemplo "facebook.com"

eth0 - WAN
eth1 - LAN

0 0

[33] Comentário enviado por yazors em 18/03/2016 - 09:07h



Coloquei as regras como descrito, mas mesmo assim o pessoal ainda tem acesso.

0 0

[34] Comentário enviado por rjdiniz em 20/07/2016 - 08:34h

Show de bola! funciona mesmo....

0 0

[35] Comentário enviado por guilhermediasfj em 23/09/2016 - 14:46h

HELP. O que essa regra faz? LOG --log-prefix " acesso facebook: " --log-level alert #LOG DE ACESSO
Eu testei aqui mas a regra do youtube bloqueia o google também! como faço pra resolver.

0 0

[36] Comentário enviado por janduy em 23/09/2016 - 15:18h

Boa tarde amigo, acredito que este link vai tirar suas duvidas de "--log-prefix" http://www.informit.com/articles/article.aspx?p=421057&seqNum=4

Referente ao bloqueio do "google" fique atento a ordem das regras, possivelmente é isso.

Att,

Janduy Euclides

0 0

[37] Comentário enviado por renanroel em 19/01/2017 - 16:38h

Aqui resolvemos assim, bloqueando na rede geral:

#Bloquear HTTPs
#--------------------------------
iptables -t filter -A FORWARD -p tcp --dport 443 -m string --algo bm --string "facebook.com" -j DROP
iptables -t filter -A FORWARD -p tcp --dport 443 -m string --algo bm --string "youtube.com" -j DROP
iptables -t filter -A FORWARD -p tcp --dport 443 -m string --algo bm --string "twitter.com" -j DROP


Espero ter ajudado.

0 0

[38] Comentário enviado por ciruss1608 em 23/03/2018 - 18:46h

Hola que tal, estimados compañeros, yo aplique esto y no bloqueo las paginas:

iptables -t filter -A FORWARD -p tcp --dport 443 -m string --algo bm --string "facebook.com" -j DROP
iptables -t filter -A FORWARD -p tcp --dport 443 -m string --algo bm --string "youtube.com" -j DROP
iptables -t filter -A FORWARD -p tcp --dport 443 -m string --algo bm --string "twitter.com" -j DROP

por otra parte aplique esto:
iptables -I FORWARD -p tcp --dport 443 -m string --string 'facebook' --algo bm -j DROP
iptables -I FORWARD -p tcp --dport 843 -m string --string 'facebook' --algo bm -j DROP
iptables -I FORWARD -p tcp --dport 443 -m string --string 'youtube' --algo bm -j DROP
iptables -I FORWARD -p tcp --dport 443 -m string --string 'youtube' --algo bm -j DROP

y tuve éxito, sin embargo ahora como bloque todo el segmento de red, necesito darle permisos sobre esta misma red a usuarios específicos, por ejemplo mi ips que deseo dar permiso son 192.168.20.5 su mascara 255.255.255.128 considero que esta una "mask bit 25". pido ayuda para ver quien puede o de ser posible mejorar la manera en que restrinjo las paginas.

por favor si alguien puede apoyarme y si les ayuda mi contribución. Gracias

0 0