Liberar facebook apenas para o chefe (com facebook bloqueado via https para os demais) [RESOLVIDO]

cslima
(usa Ubuntu)

Enviado em 06/12/2012 - 12:02h

ronaz_d12, o que exatamente que não funciona direito? O bloqueio, a liberação para o "chefe" ou ambos? Se possível seja mais específico que fica mais fácil ajudar...

ronaz_d12
(usa Ubuntu)

Enviado em 06/12/2012 - 14:11h

Desulpe ambos!


Pois as vezs funciona e depois acessa novamente ai tenho q i la tira a aregra executa depois implanta a regra e nem sempre volta a nao acessa - estava vendo problema com cache do squid ele pode ta liberando isso.

sera isso mesmo?

fazendo mais testes aqui os ip do chefe nao liberam

ronaz_d12
(usa Ubuntu)

Enviado em 06/12/2012 - 14:40h

modprobe ipt_string

iptables -F

iptables -P INPUT DROP

iptables -P FORWARD DROP

iptables -P OUTPUT ACCEPT

iptables -A INPUT -i lo -j ACCEPT

#SQUID
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

#Liberando porta 3128
iptables -A INPUT -i eth1 -p tcp --dport 3128 -j ACCEPT

#libetando ssh externa
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

#Garante que os pacotes voltem
iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

#Libera HTTPS
iptables -A FORWARD -p tcp --dport 443 -j ACCEPT


#libera para administradores o facebook
iptables -t nat -I POSTROUTING -s 192.168.1.11 -m string --algo bm --string "facebook.com" -j MASQUERADE
iptables -t nat -I POSTROUTING -s 192.168.1.12 -m string --algo bm --string "facebook.com" -j MASQUERADE

#depois bloqueio para o resto
iptables -I FORWARD -m string --algo bm --string "facebook.com" -j DROP

#Liberando DNS "Se seu DNS for externo"
iptables -A FORWARD -i eth1 -p udp -m udp --dport 53 -j ACCEPT
iptables -A FORWARD -i eth0 -p udp -m udp --sport 53 -m state --state ESTABLISHED,RELATED -j ACCEPT

#Libera msn
iptables -A FORWARD -p tcp --dport 1863 -j ACCEPT
iptables -A FORWARD -p udp --dport 1863 -j ACCEPT

#Garante que os pacotes voltem
iptables -t filter -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

cslima
(usa Ubuntu)

Enviado em 07/12/2012 - 14:06h

Amigo, tente colocar a regra que libera o facebook para os administradores e aquela que bloqueia o facebook pra todos ANTES da que libera o HTTPS e verifique se estabiliza...

ronaz_d12
(usa Ubuntu)

Enviado em 07/12/2012 - 15:07h

Tentei tb e nada tentando acha outra saida mas ainda ta complicado!

cslima
(usa Ubuntu)

Enviado em 07/12/2012 - 15:48h

Tá estranho mesmo... Você setou no navegador as configurações do proxy? E por falar nisso, como está o seu squid? Transparente ou autenticado?

ronaz_d12
(usa Ubuntu)

Enviado em 07/12/2012 - 17:00h

Transparente!

andrecanhadas
(usa Debian)

Enviado em 07/12/2012 - 17:50h

Pelos teste que fiz esta maneira de liberar o IP do chefe só funciona estando o proxy marcado no navegador.

A regra deve estar no squid tambem liberada para o IP:

acl bigboss src 192.168.1.13
http_access allow bigboss

Abaixo coloque as outras regras de bloqueio para o restante.

anjodanoite
(usa Debian)

Enviado em 16/01/2013 - 15:17h

Para funciona perfeitamente tem que coloca estas regra POSTROUTING do MASQUERADE DA rede primeiro, e depois a regra do facebook como mostra:


#1
iptables -t nat -A POSTROUTING -s 10.0.0.0/255.0.0.0 -o eth0 -j MASQUERADE &&
echo 1 > /proc/sys/net/ipv4/ip_forward &&




#2
#Primeiro tiro o chefe da regra com o MAQUERADE
iptables -t nat -I POSTROUTING -s 192.168.1.2 -m string --algo bm --string "facebook.com" -j MASQUERADE
# se tiver mais de um IP Duplique a regra com -s 192.168.1.x (Outro IP)
# depois bloqueio para o resto
iptables -I FORWARD -m string --algo bm --string "facebook.com" -j DROP


Se fazer o primeiro #2 e depois #1 as regra do facebook irá só bloqueiar e não vai liberar o chefe. blz

mrjeday
(usa Debian)

Enviado em 13/03/2013 - 10:23h

Fala galera, também uso esta regra pra bloquear o face aqui, mas me deparei com uma situação:
Tenho que liberar para uma range de endereços. Visto que colocar uma regra de liberação para cada ip poluiria muito meu firewall tentei montar tal regra mas até agora sem sucesso.

Alguma sugestão?

Agradeço.

removido
(usa Nenhuma)

Enviado em 13/03/2013 - 10:28h

Andrecanhadas, mas pq usar o POSTROUTING e MASQUERADE ?

POSTOURINT é pq a regra vai ser executada depois do FORWARD é isso ? Mas não deveria ser antes (PREROUTING) ?

e o MASQUERADE para que serve neste caso...

Não entendi a regra.

obrigado

andrecanhadas
(usa Debian)

Enviado em 13/03/2013 - 11:12h

o postrouting indica que tudo que tentar sair daquele IP com direção ao facebook ele vai usar o MASQUERADE ou seja quem vai navegar é o proxy e não o usuário.