Bloquear tudo e liberado ip especifico por iptables

tiagoeariane
(usa CentOS)

Enviado em 01/09/2017 - 11:04h

ainda está bloqueando tudo, ontem estava normal mais hoje já está tudo travado.

tiagoeariane
(usa CentOS)

Enviado em 01/09/2017 - 11:42h

não está indo, somente está liberando o ip 192.168.1.230 e o 192.168.1.242, o restante está bloqueando todos.
segue as configurações

#Limpa
iptables -t mangle -X
iptables -t mangle -F

#Libera os hosts
iptables -t mangle -A PREROUTING -p tcp -m iprange --src-range 192.168.1.230-192.168.1.250 -m string --algo bm --string "facebook" -j ACCEPT
iptables -t mangle -A PREROUTING -p tcp -m iprange --src-range 192.168.1.230-192.168.1.250 -m string --algo bm --string "twitter" -j ACCEPT
iptables -t mangle -A PREROUTING -p tcp -m iprange --src-range 192.168.1.230-192.168.1.250 -m string --algo bm --string "instagram" -j ACCEPT

#Bloqueia demais
iptables -t mangle -A PREROUTING -p tcp -m string --algo bm --string "facebook" -j DROP
iptables -t mangle -A PREROUTING -p tcp -m string --algo bm --string "twitter" -j DROP
iptables -t mangle -A PREROUTING -p tcp -m string --algo bm --string "instagram" -j DROP

tiagoeariane
(usa CentOS)

Enviado em 01/09/2017 - 12:26h

Precisando de ajuda!

LSSilva
(usa Outra)

Enviado em 01/09/2017 - 15:19h

Poste a saída do comando:

iptables -t mangle -nL

e do:

iptables -t nat -nL

tiagoeariane
(usa CentOS)

Enviado em 06/09/2017 - 09:19h

Consegui fazer dessa maneira

# SITES BLOQUEADOS
iptables -t filter -I FORWARD -p tcp --dport 443 -m string --algo bm --string "facebook.com" -j DROP
#IPS LIBERADOS

#FACEBOOK
iptables -t filter -I FORWARD -p tcp --dport 443 -m iprange --src-range 192.168.1.230-192.168.1.250 -m string --algo bm --string "facebook.com" -j ACCEPT

funcionou corretamente, está até bloqueando aplicativo do facebook, não deixando ele atualizar.

tiagoeariane
(usa CentOS)

Enviado em 06/09/2017 - 09:21h

Preciso agora criar log de tudo que passa pelo bfw, eu não uso squid, então preciso que seja monitorado todo site que seja acessado via porta 443 e criar logs que informe o ip e o site acessado via iptables. alguem consegue me ajudar?

LSSilva
(usa Outra)

Enviado em 06/09/2017 - 11:29h

Cara, como foi minha primeira resposta à sua requisição:

Dependendo da política do seu firewall, há duas formas de fazer:
-> Accept:
# Libera para ip especifico
iptables -A FORWARD -s "ip que quero liberar" -m string --algo bm --string "facebook.com" -j ACCEPT
# Bloqueia restante
iptables -A FORWARD -m string --algo bm --string "facebook.com" -j DROP
-> Drop:
iptables -A FORWARD -s "ip que quero liberar" -m string --algo bm --string "facebook.com" -j ACCEPT

Sua política deve estar em Accept, se não tiver alterado.

Do modo que estava fazendo, ele estava bloqueando tudo e não liberava pros hosts depois. Tem a ver com o modo que ele lê as regras no seu script.


Beleza!
Você ignorou e veio falando sobre tabela mangle. Segui sua lógica e te auxiliei nos critérios que precisava (existem outros critérios que me levaram à isso, não foi completamente idio.ta de minha parte), no fim você acabou chegando à mesma conclusão que havia lhe apresentado inicialmente.
Não quero ser o cara que você terá raiva aqui (afinal já gastei um tempinho tentando te ajudar), porém você precisa estudar um pouco mais o que tá tentando fazer, isso não é avançado, porém também não é simples. É preciso valorizar o mínimo conhecimento alheio.