Liberar facebook apenas para o chefe (com facebook bloqueado via https para os demais) [RESOLVIDO] [Squid/Iptables]

1. Liberar facebook apenas para o chefe (com facebook bloqueado via https para os demais) [RESOLVIDO]

Enviado em 25/10/2012 - 20:12h

Olá!

Tenho um proxy squid (transparente)+ iptables instalado aqui na empresa e consegui bloquear o facebook via https pela seguinte regra:
iptables -I FORWARD -m string --algo bm --string "facebook.com" -j DROP

O problema é que agora eu preciso liberar o acesso do facebook apenas para o chefe, mas não funciona! Já tentei várias regras no iptables e nada. Alguém dá alguma luz?

2. Re: Liberar facebook apenas para o chefe (com facebook bloqueado via https para os demais) [RESOLVIDO]

Melhor resposta

Enviado em 25/10/2012 - 21:21h

cslima escreveu:

andrecanhadas escreveu:

Vi sua pergunta na minha dica e realmente a parte onde libera para alguns dificilmente funciona até falei isso nos comentarios. veja se isto funciona:
http://kdn2.info/2010/11/block-facebook-com-with-iptables/

Pois é. Será que não tem jeito mesmo?

Amanhã vou tentar esse script... Só me preocupo com o seguinte: a mudança constante dos ip's do facebook. No que aparecer um ip novo, o bloqueio já não funciona mais. Mas valeu a dica, vou tentar.

Se alguém tiver mais sugestões, por favor...

Bom juntei uma ideia de um post que vc até já perguntou:

Vamos la... No squid tenho duas acls:



acl facebook url_regex -i facebook.com

acl chefe src 192.168.1.2

http_access deny facebook !chefe

o ! se refere a uma excussão então bloquei para todos menos para o IP do chefe.

no firewall:



#Primeiro tiro o chefe da regra com o MAQUERADE

iptables -t nat -I POSTROUTING -s 192.168.1.2 -m string --algo bm --string "facebook.com" -j MASQUERADE

# se tiver mais de um IP Duplique a regra  com -s 192.168.1.x (Outro IP)

# depois bloqueio para o resto

iptables -I FORWARD -m string --algo bm --string "facebook.com" -j DROP

Aqui no meu ambiente de testes funcionou apenas marcando o proxy no navegador (squid3 Transparente # http_port 3128 intercept)

Vou postar no final da minha dica para ajudar outros.

3. Re: Liberar facebook apenas para o chefe (com facebook bloqueado via https para os demais) [RESOLVIDO]

Enviado em 25/10/2012 - 20:18h

Tentou fazer a mesma regra com o adicional "-s ip" acima da citada?

4. Re: Liberar facebook apenas para o chefe (com facebook bloqueado via https para os demais) [RESOLVIDO]

Enviado em 25/10/2012 - 20:29h

sim... Não sei se fiz certo, mas coloquei assim:
iptables -I FORWARD -s 192.168.30.75 -m string --algo bm --string "facebook.com" -j ACCEPT

E não funcionou.

Meu iptables é bem simples, e está assim:

# Bloqueia pings e protege contra IP spoofing e pacotes inválidos
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter
iptables -A INPUT -m state --state INVALID -j DROP #Compartilha Conexão modprobe iptable_nat
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE echo 1 > /proc/sys/net/ipv4/ip_forward

#Compartilha Conexão
modprobe iptable_nat
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward

#Redireciona para o squid
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

#Filtro básico anti-facebook, pra evitar que os espertinhos usem httpS para enganar o squid
iptables -I FORWARD -m string --algo bm --string "facebook.com" -j DROP
iptables -I FORWARD -d pt-br.facebook.com -p tcp --dport 443 -j DROP

Eu também tentei outras regras encontradas na internet, mas nada deu certo... O maximo que consegui foi abrir a página do facebook no ip do chefe, mas na hora de logar, carrega, carrega e não entra... Também experimentei tirar a última linha, mas seguiu do mesmo jeito. O que será que está havendo?

5. Re: Liberar facebook apenas para o chefe (com facebook bloqueado via https para os demais) [RESOLVIDO]

Enviado em 25/10/2012 - 20:51h

Vi sua pergunta na minha dica e realmente a parte onde libera para alguns dificilmente funciona até falei isso nos comentarios. veja se isto funciona:
http://kdn2.info/2010/11/block-facebook-com-with-iptables/

6. Re: Liberar facebook apenas para o chefe (com facebook bloqueado via https para os demais) [RESOLVIDO]

Enviado em 25/10/2012 - 21:03h

andrecanhadas escreveu:

Vi sua pergunta na minha dica e realmente a parte onde libera para alguns dificilmente funciona até falei isso nos comentarios. veja se isto funciona:
http://kdn2.info/2010/11/block-facebook-com-with-iptables/

Pois é. Será que não tem jeito mesmo?

Amanhã vou tentar esse script... Só me preocupo com o seguinte: a mudança constante dos ip's do facebook. No que aparecer um ip novo, o bloqueio já não funciona mais. Mas valeu a dica, vou tentar.

Se alguém tiver mais sugestões, por favor...

7. Re: Liberar facebook apenas para o chefe (com facebook bloqueado via https para os demais) [RESOLVIDO]

Enviado em 25/10/2012 - 22:23h

andrecanhadas, essa sua dica aí parece muito boa! Deu até vontade de ir agora mesmo lá na empresa testar! hehe

Vou testar amanhã e depois posto aqui o resultado.

8. Re: Liberar facebook apenas para o chefe (com facebook bloqueado via https para os demais) [RESOLVIDO]

Enviado em 26/10/2012 - 00:30h

Pow! Que chefe bundão... Bloqueiando o Facebook pra galera e pra ele (ou se for você o chefe, hehehe) fica liberado!

9. Re: Liberar facebook apenas para o chefe (com facebook bloqueado via https para os demais) [RESOLVIDO]

Enviado em 26/10/2012 - 00:44h

haha, não sou o chefe...

Contando as horas pra testar a dica do andrecanhadas... =]

10. Re: Liberar facebook apenas para o chefe (com facebook bloqueado via https para os demais) [RESOLVIDO]

Enviado em 26/10/2012 - 10:47h

Crie uma excessão:

iptables -A FORWARD -m string --algo bm --string "facbebook.com" ! -s IP_DO_CHEFE -j DROP

11. Re: Liberar facebook apenas para o chefe (com facebook bloqueado via https para os demais) [RESOLVIDO]

Enviado em 26/10/2012 - 17:44h

andrecanhadas escreveu:
no firewall:



#Primeiro tiro o chefe da regra com o MAQUERADE

iptables -t nat -I POSTROUTING -s 192.168.1.2 -m string --algo bm --string "facebook.com" -j MASQUERADE

# se tiver mais de um IP Duplique a regra  com -s 192.168.1.x (Outro IP)

# depois bloqueio para o resto

iptables -I FORWARD -m string --algo bm --string "facebook.com" -j DROP

Aqui no meu ambiente de testes funcionou apenas marcando o proxy no navegador (squid3 Transparente # http_port 3128 intercept)

Vou postar no final da minha dica para ajudar outros.

Cara, deu certo! Agradeço de coração! xD

Agradeço também aos outros que responderam, Valeu!

12. Re: Liberar facebook apenas para o chefe (com facebook bloqueado via https para os demais) [RESOLVIDO]

Enviado em 06/12/2012 - 11:33h

cara aki as vezes funcina otra hora para! nao to entendendo !

Liberar facebook apenas para o chefe (com facebook bloqueado via https para os demais) [RESOLVIDO]

Responder tópico