Liberar facebook apenas para o chefe (com facebook bloqueado via https para os demais) [RESOLVIDO]

ronaz_d12, o que exatamente que não funciona direito? O bloqueio, a liberação para o "chefe" ou ambos? Se possível seja mais específico que fica mais fácil ajudar...

Desulpe ambos!


Pois as vezs funciona e depois acessa novamente ai tenho q i la tira a aregra executa depois implanta a regra e nem sempre volta a nao acessa - estava vendo problema com cache do squid ele pode ta liberando isso.

sera isso mesmo?

fazendo mais testes aqui os ip do chefe nao liberam

modprobe ipt_string

iptables -F

iptables -P INPUT DROP

iptables -P FORWARD DROP

iptables -P OUTPUT ACCEPT

iptables -A INPUT -i lo -j ACCEPT

#SQUID
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

#Liberando porta 3128
iptables -A INPUT -i eth1 -p tcp --dport 3128 -j ACCEPT

#libetando ssh externa
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

#Garante que os pacotes voltem
iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

#Libera HTTPS
iptables -A FORWARD -p tcp --dport 443 -j ACCEPT


#libera para administradores o facebook
iptables -t nat -I POSTROUTING -s 192.168.1.11 -m string --algo bm --string "facebook.com" -j MASQUERADE
iptables -t nat -I POSTROUTING -s 192.168.1.12 -m string --algo bm --string "facebook.com" -j MASQUERADE

#depois bloqueio para o resto
iptables -I FORWARD -m string --algo bm --string "facebook.com" -j DROP

#Liberando DNS "Se seu DNS for externo"
iptables -A FORWARD -i eth1 -p udp -m udp --dport 53 -j ACCEPT
iptables -A FORWARD -i eth0 -p udp -m udp --sport 53 -m state --state ESTABLISHED,RELATED -j ACCEPT

#Libera msn
iptables -A FORWARD -p tcp --dport 1863 -j ACCEPT
iptables -A FORWARD -p udp --dport 1863 -j ACCEPT

#Garante que os pacotes voltem
iptables -t filter -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

Amigo, tente colocar a regra que libera o facebook para os administradores e aquela que bloqueia o facebook pra todos ANTES da que libera o HTTPS e verifique se estabiliza...

Tentei tb e nada tentando acha outra saida mas ainda ta complicado!

Tá estranho mesmo... Você setou no navegador as configurações do proxy? E por falar nisso, como está o seu squid? Transparente ou autenticado?

Transparente!

Pelos teste que fiz esta maneira de liberar o IP do chefe só funciona estando o proxy marcado no navegador.

A regra deve estar no squid tambem liberada para o IP:

acl bigboss src 192.168.1.13
http_access allow bigboss

Abaixo coloque as outras regras de bloqueio para o restante.

Para funciona perfeitamente tem que coloca estas regra POSTROUTING do MASQUERADE DA rede primeiro, e depois a regra do facebook como mostra:


#1
iptables -t nat -A POSTROUTING -s 10.0.0.0/255.0.0.0 -o eth0 -j MASQUERADE &&
echo 1 > /proc/sys/net/ipv4/ip_forward &&




#2
#Primeiro tiro o chefe da regra com o MAQUERADE
iptables -t nat -I POSTROUTING -s 192.168.1.2 -m string --algo bm --string "facebook.com" -j MASQUERADE
# se tiver mais de um IP Duplique a regra com -s 192.168.1.x (Outro IP)
# depois bloqueio para o resto
iptables -I FORWARD -m string --algo bm --string "facebook.com" -j DROP


Se fazer o primeiro #2 e depois #1 as regra do facebook irá só bloqueiar e não vai liberar o chefe. blz

Fala galera, também uso esta regra pra bloquear o face aqui, mas me deparei com uma situação:
Tenho que liberar para uma range de endereços. Visto que colocar uma regra de liberação para cada ip poluiria muito meu firewall tentei montar tal regra mas até agora sem sucesso.

Alguma sugestão?

Agradeço.

Andrecanhadas, mas pq usar o POSTROUTING e MASQUERADE ?

POSTOURINT é pq a regra vai ser executada depois do FORWARD é isso ? Mas não deveria ser antes (PREROUTING) ?

e o MASQUERADE para que serve neste caso...

Não entendi a regra.

obrigado

o postrouting indica que tudo que tentar sair daquele IP com direção ao facebook ele vai usar o MASQUERADE ou seja quem vai navegar é o proxy e não o usuário.