Script de bloqueio https (facebook)

Olá boa noite,

É um assunto meio que batido mas sem exito. O que acontece, um dos amigos aqui do fórum conseguiu que esse script abaixco bloqueie conexões https do facebook, nos casos de proxy transparent. Porém pude observar que alguns minutos depois, perde a conexão. Eu listo no iptables e somente a parte do "FOR" que se perde.

Segue abaixo:

FACEBOOK_ALLOW="192.168.1.12 192.168.1.14 192.168.1.111"
iptables -N FACEBOOK

iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range 66.220.144.0-66.220.159.255 --dport 443 -j FACEBOOK
iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range 69.63.176.0-69.63.191.255 --dport 443 -j FACEBOOK
iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range 204.15.20.0-204.15.23.255 --dport 443 -j FACEBOOK
iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range 66.220.144.0-66.220.159.255 --dport 80 -j FACEBOOK
iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range 69.63.176.0-69.63.191.255 --dport 80 -j FACEBOOK
iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range 204.15.20.0-204.15.23.255 --dport 80 -j FACEBOOK

## FACEBOOK ALLOW
for face in $FACEBOOK_ALLOW; do
iptables -A FACEBOOK -s $face -j ACCEPT
done
iptables -A FACEBOOK -j REJECT

a parte do ## FACEBOOK ALLOW para baixo não esta gravando.
Como posso salvar essas configs?

Abs.

Deixa eu entender melhor: como assim "perde a conexão"? Pelo q entendi, quem perde a conexão são os IP's liberados, correto?

Outra coisa q ficou meio vaga: "não está gravando" o q? As regras no momento da execução ou perde as regras quando reinicia a máquina?

Explique melhor para eu t ajudar.

Fala ai renatão!!!

Então vamos lá,

Visualiza essa regra toda acima.... ok!

No ato, no momento que eu digito a regra, fica OK realmente a conexão https do face NÃO ENTRA!!

Porém se passando uns 10-15 minutos, volta a entrar do nada, isso sem reiniciar o proxy.

ai fui checar as configurações no iptables e constatei que a parte dos ips continuam, e somente a parte de condição do (FOR) ou seja, do (PARA) que não ta gravando. Ai eu digito só a parte do FOR novamente, ai volta a bloquear.

Eu digitando o bloco abaixo, volta a bloquear momentaneamente:

## FACEBOOK ALLOW
for face in $FACEBOOK_ALLOW; do
iptables -A FACEBOOK -s $face -j ACCEPT
done
iptables -A FACEBOOK -j REJECT

Depois,passando-se alguns minutos, mesma coisa, se perde automaticamente....

Sacou?

Voou postar minha lógica do iptables:

cd /etc/init.d
vi regras
e digito a seguinte linha:
# iptables-restore < /etc/network/iptables.regras
mudo as permissões do arquivo criado no init.d com:
# chmod 700 regras
e coloco na inicialização o arquivo criado no init.d com o comando
# update-rc.d regras defaults
pronto da proxima vez que inicializar o sistema as regras serão restauradas.

Logo, a cada regra que eu adicionar no iptables eu digito :

iptables-save > /etc/network/iptables.regras
dps dou um update-rc.d regras defaults

Abs.

Vc tem certeza q a faixa d IP's do facebook é essa mencionada nas regras? Será q não existem mais faixas a serem bloqueadas? Como disse, essa forma d gerenciar bloqueios é falha, justamente por causa das faixas d IP, q são muito dinâmicas. O certo é t proxy manual configurado no navegador, pois ae vc consegue bloquear o domínio facebook.com sem problemas.

Hmm entendi, o que vc quer dizer é mudar do proxy transparent para o que precisa configurar no browser nas estações né?

Qual é a forma fácil de eu fazer isso para teste?

O que é preciso desfazer?

Abs.

Vc retira o "transparent" da linha "http_port 3128" e remova o redirecionamento da porta 80 pra 3128 no iptables (iptables -t nat -A POSTROUTING ...). Depois vc configura manualmente o proxy no navegador e faça os testes.

Ok, farei os testes!

Renato aproveitando o gancho do tópico, o que acontece:

Eu PRATICAMENTE estou pensando em mudar de transparent para o autenticado em cada pc no browser, por causa do facebook.

Não encontrei nenhuma regra que fique, infelizmente!

Eu tenho o caso do orkut por exemplo. O orkut com protocolo http o bloqueio é normal do dansguardian, e se o cara digitar https AUTOMATICAMENTE é feito um redirecionamento para http, ou seja, o cara volta pra http.

Não tem como eu fazer isso no facebook?

Abs.

Pode ser uma regra do dansguardian q possa estar fazendo isso, mas eu nunca vi na prática. Se souber d alguma coisa, passe ae.

Funciona maravilha,

Porém...... não fui eu que implementei, to tentando descobrir aonde implementaram isso aqui....

Amigo

Tenta implementar esta regra no seu iptables..... eu uso esta regra para bloquear o youtube.com


/usr/sbin/iptables -I FORWARD -s $SUA_REDE_INTERNA/24_OU_IP_QUE_VC_qR_BLOQUEAR -m string --string facebook.com --algo kmp -j DROP


Depois me fala se deu certo

Passou cara.

Coloquei da seguinte forma:

iptables -I FORWARD -s $192.168.0.0/24 -m string --string facebook.com --algo kmp -j DROP

tá fd!

Tenta dropar o ip do facebook (69.171.229.11)

/usr/sbin/iptables -I FORWARD -s SEU_IP -d 69.171.229.11 -j ACCEPT


obs:

Você tem que se atentar na sequencia que vc esta montando as regras....


Pois as vezes vc não esta conseguindo bloquear pois alguma outra regra deve estar liberando antes.