Liberar facebook apenas para o chefe (com facebook bloqueado via https para os demais) [RESOLVIDO]

cslima
(usa Ubuntu)

Enviado em 25/10/2012 - 20:12h

Olá!

Tenho um proxy squid (transparente)+ iptables instalado aqui na empresa e consegui bloquear o facebook via https pela seguinte regra:
iptables -I FORWARD -m string --algo bm --string "facebook.com" -j DROP

O problema é que agora eu preciso liberar o acesso do facebook apenas para o chefe, mas não funciona! Já tentei várias regras no iptables e nada. Alguém dá alguma luz?

eduardo
(usa Linux Mint)

Enviado em 25/10/2012 - 20:18h

Tentou fazer a mesma regra com o adicional "-s ip" acima da citada?

cslima
(usa Ubuntu)

Enviado em 25/10/2012 - 20:29h

sim... Não sei se fiz certo, mas coloquei assim:
iptables -I FORWARD -s 192.168.30.75 -m string --algo bm --string "facebook.com" -j ACCEPT

E não funcionou.

Meu iptables é bem simples, e está assim:

# Bloqueia pings e protege contra IP spoofing e pacotes inválidos
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter
iptables -A INPUT -m state --state INVALID -j DROP #Compartilha Conexão modprobe iptable_nat
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE echo 1 > /proc/sys/net/ipv4/ip_forward

#Compartilha Conexão
modprobe iptable_nat
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward

#Redireciona para o squid
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

#Filtro básico anti-facebook, pra evitar que os espertinhos usem httpS para enganar o squid
iptables -I FORWARD -m string --algo bm --string "facebook.com" -j DROP
iptables -I FORWARD -d pt-br.facebook.com -p tcp --dport 443 -j DROP

Eu também tentei outras regras encontradas na internet, mas nada deu certo... O maximo que consegui foi abrir a página do facebook no ip do chefe, mas na hora de logar, carrega, carrega e não entra... Também experimentei tirar a última linha, mas seguiu do mesmo jeito. O que será que está havendo?

andrecanhadas
(usa Debian)

Enviado em 25/10/2012 - 20:51h

Vi sua pergunta na minha dica e realmente a parte onde libera para alguns dificilmente funciona até falei isso nos comentarios. veja se isto funciona:
http://kdn2.info/2010/11/block-facebook-com-with-iptables/

cslima
(usa Ubuntu)

Enviado em 25/10/2012 - 21:03h

Pois é. Será que não tem jeito mesmo?

Amanhã vou tentar esse script... Só me preocupo com o seguinte: a mudança constante dos ip's do facebook. No que aparecer um ip novo, o bloqueio já não funciona mais. Mas valeu a dica, vou tentar.

Se alguém tiver mais sugestões, por favor...

cslima
(usa Ubuntu)

Enviado em 25/10/2012 - 22:23h

andrecanhadas, essa sua dica aí parece muito boa! Deu até vontade de ir agora mesmo lá na empresa testar! hehe

Vou testar amanhã e depois posto aqui o resultado.

vatrinux
(usa Outra)

Enviado em 26/10/2012 - 00:30h

Pow! Que chefe bundão... Bloqueiando o Facebook pra galera e pra ele (ou se for você o chefe, hehehe) fica liberado!

cslima
(usa Ubuntu)

Enviado em 26/10/2012 - 00:44h

haha, não sou o chefe...

Contando as horas pra testar a dica do andrecanhadas... =]

phrich
(usa Slackware)

Enviado em 26/10/2012 - 10:47h

Crie uma excessão:

iptables -A FORWARD -m string --algo bm --string "facbebook.com" ! -s IP_DO_CHEFE -j DROP

cslima
(usa Ubuntu)

Enviado em 26/10/2012 - 17:44h

Cara, deu certo! Agradeço de coração! xD

Agradeço também aos outros que responderam, Valeu!

ronaz_d12
(usa Ubuntu)

Enviado em 06/12/2012 - 11:33h

cara aki as vezes funcina otra hora para! nao to entendendo !