Enviado em 16/03/2016 - 10:06h
Prezados, possuo um servidor Proxy/Firewall e estava funcionando perfeitamente, porém solicitaram que eu efetuasse alguns bloqueios de sites para várias pessoas, com excessão dos gerentes/diretoria, sites como facebook, youtube etc deveriam ser bloqueados, pois bem, como o Squid não bloqueia nada em HTTPS, pesquisei algumas regras e tentei efetuar o bloqueio, eu já tinha algumas máquinas que o Iptables encaminhava diretamente para a porta 80, sem passar pelo proxy, porém após a instalação das regras de bloqueio mesmo as máquinas liberadas nas portas 80 não acessam tais sites. Abaixo segue minha regra do Iptables.#!/bin/bash
#
# /etc/etc/init.d/iptables.conf
#
# Limpa e inicializa os modulos
#******************************
#
iptables -F
iptables -t nat -F
iptables -t mangle -F
modprobe iptable_nat
#
iptables -t filter -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -t filter -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
# Proxy transparente (Redireciona para o squid)
#********************************************************
iptables -t nat -A PREROUTING -i eth2 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -A FORWARD -i ppp+ -o eth2 -j ACCEPT
iptables -A FORWARD -i eth2 -o ppp+ -j ACCEPT
# Compartilha Internet
#********************************************************
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
# Libera maquina do proxy
iptables -t nat -I PREROUTING -s 10.42.43.2 -p tcp --dport 80 -j ACCEPT
iptables -t nat -I PREROUTING -s 10.42.43.3 -p tcp --dport 80 -j ACCEPT
iptables -t nat -I PREROUTING -s 10.42.43.7 -p tcp --dport 80 -j ACCEPT
iptables -t nat -I PREROUTING -s 10.42.43.8 -p tcp --dport 80 -j ACCEPT
iptables -t nat -I PREROUTING -s 10.42.43.11 -p tcp --dport 80 -j ACCEPT
iptables -t nat -I PREROUTING -s 10.42.43.91 -p tcp --dport 80 -j ACCEPT
iptables -t nat -I PREROUTING -s 10.42.43.92 -p tcp --dport 80 -j ACCEPT
iptables -t nat -I PREROUTING -s 10.42.43.93 -p tcp --dport 80 -j ACCEPT
iptables -t nat -I PREROUTING -s 10.42.43.94 -p tcp --dport 80 -j ACCEPT
iptables -t nat -I PREROUTING -s 10.42.43.160 -p tcp --dport 80 -j ACCEPT
iptables -t nat -I PREROUTING -s 10.42.43.197 -p tcp --dport 80 -j ACCEPT
iptables -t nat -I PREROUTING -s 10.42.43.188 -p tcp --dport 80 -j ACCEPT
iptables -t nat -I PREROUTING -s 10.42.43.213 -p tcp --dport 80 -j ACCEPT
iptables -t nat -I PREROUTING -s 10.42.43.216 -p tcp --dport 80 -j ACCEPT
iptables -t nat -I PREROUTING -s 10.42.43.224 -p tcp --dport 80 -j ACCEPT
iptables -t nat -I PREROUTING -s 10.42.43.217 -p tcp --dport 80 -j ACCEPT
iptables -t nat -I PREROUTING -s 10.42.43.218 -p tcp --dport 80 -j ACCEPT
# Bloqueando Sites HTTPS
#iptables -I FORWARD -p tcp --dport 443 -m string --algo bm --string "facebook.com" -j DROP
#iptables -I FORWARD -p tcp --sport 443 -m string --algo bm --string "facebook.com" -j DROP
#iptables -I FORWARD -p tcp --dport 443 -m string --algo bm --string "twitter.com" -j DROP
#iptables -I FORWARD -p tcp --sport 443 -m string --algo bm --string "twitter.com" -j DROP
#iptables -I FORWARD -p tcp --dport 443 -m string --algo bm --string "instagram.com" -j DROP
#iptables -I FORWARD -p tcp --sport 443 -m string --algo bm --string "instagram.com" -j DROP
#iptables -I FORWARD -p tcp --dport 443 -m string --algo bm --string "www.youtube.com" -j DROP
#iptables -I FORWARD -p tcp --sport 443 -m string --algo bm --string "www.youtube.com" -j DROP
#iptables -I FORWARD -p tcp --dport 443 -m string --algo bm --string "netflix.com" -j DROP
#iptables -I FORWARD -p tcp --sport 443 -m string --algo bm --string "netflix.com" -j DROP
#iptables -I FORWARD -p tcp --dport 443 -m string --algo bm --string "spotify.com" -j DROP
#iptables -I FORWARD -p tcp --sport 443 -m string --algo bm --string "spotify.com" -j DROP
#iptables -I FORWARD -p tcp --dport 443 -m string --algo bm --string "vagalume.com.br" -j DROP
#iptables -I FORWARD -p tcp --sport 443 -m string --algo bm --string "vagalume.com.br" -j DROP
# Redirecionamento de Portas
iptables -I FORWARD -p tcp -i ppp0 --dport 3389 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -i ppp0 --dport 3389 -j DNAT --to-destination 10.42.43.3:3389
iptables -I FORWARD -p tcp -i ppp0 --dport 8080 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -i ppp0 --dport 8080 -j DNAT --to-destination 10.42.43.3:8080
iptables -I FORWARD -p tcp -i ppp0 --dport 9090 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -i ppp0 --dport 9090 -j DNAT --to-destination 10.42.43.3:9090
iptables -I FORWARD -p tcp -i ppp0 --dport 28000 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -i ppp0 --dport 28000 -j DNAT --to-destination 10.42.43.3:28000
iptables -I FORWARD -p tcp -i ppp0 --dport 28001 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -i ppp0 --dport 28001 -j DNAT --to-destination 10.42.43.3:28001
#############################
echo "Regras do Iptables Reiniciadas"
Atenção a quem posta conteúdo de dicas, scripts e tal (6)
O mínimo que você precisa saber sobre o terminal (parte 2)
O mínimo que você precisa saber sobre o terminal (parte 1)
Como iniciar uma máquina virtual do VirtualBox automaticamente no boot do LUbuntu 18 LTS
Os navegadores "leves" que de leves não tem nada
Liberte-se: Crie um Servidor Proxy na Nuvem para Acessar Conteúdos Bloqueados
Fedora Kinoite 40 — Instalação de drivers NVIDIA e Xorg
Deixando o Opensuse Tumbleweed com KDE bonitão
Estrutura de recuo PHP/Apache para não acessarem arquivos pela URI (barra de endereços)
Escanear a rede com NBTSCAN para descobrir IPs e nomes de computadores
Como instalar ou remover ambientes gráficos facilmente no openSUSE
Internet caindo no Big Linux (6)
Problemas com acesso a Pasta Comparilhada em Rede (0)