iptables / liberar porta 443 para determinados sites

vzanchettin
(usa Debian)

Enviado em 23/07/2009 - 17:46h

Cara vc precisa fazer um prerouting como se fosse liberar o site do squid... EX:

"iptables -A PREROUTING -t nat -p tcp --dport 443 -s $rede_local -d mail.google.com -j ACCEPT"

Cara acho que vai resolver o teu problema...

andre_ramos
(usa openSUSE)

Enviado em 27/07/2009 - 11:30h

Kara eu fiz o bloqueio do ultrasurf pelo squid
utilizei as seguintes regras:

acl ultrasurf dstdom_regex -i ([0-9]{1,3}\.[0-9]{1,3}.\[0-9]{1,3}\.[0-9]{1,3}($:.+|/))

http_access deny CONNECT ultrasurf

fiz isso e deu certo

removido
(usa Nenhuma)

Enviado em 29/08/2009 - 12:16h

Fera faz o seguinte, cria uma regra la no squid, mesmo sendo transparente, cria uma regra como se fosse para bloqueio de sistes, mas ao invez de vc colocar deny vc muda e deixa allow, ae adiciona os sites q quer liberar, capichi, fiz aqui e funfo 100%, qualquer coisa posta ae !

titobossini
(usa CentOS)

Enviado em 18/04/2012 - 10:50h

bom dia, estou com um pequeno problema.

Tenho um servidor com duas placas de rede
eth0 - 172.30.115.100 (pega linda internet)
eth1 - 172.30.115.55 (rede local)
Com proxy squid rodando normalmente,
preciso liberar o acesso ao outlook para rede local (gmail usandl ssl)e a porta 35001 para um equipamento q manda leitura para internet.

desde já agradeço

Neo_X
(usa CentOS)

Enviado em 09/01/2013 - 18:03h

Alguém resolveu?

wba_amaral
(usa Kurumin)

Enviado em 17/02/2014 - 11:51h

Olá,

Aqui fiz com o módulo de filtro de strings do iptables:

iptables -A FORWARD  -m string --algo bm --string "musica"     -m limit --limit 1/h   -j LOG --log-prefix "FECHARSTRING : musica-online "

iptables -A FORWARD  -m string --algo bm --string "musica"    -j DROP



 

Esse módulo e muito bruto, funciona com várias combinações, vale lembrar que é conveniente liberar tudo que se tem que liberar, por exemplo máquinas da diretoria endereços de trabalho porque quanto passar por essa regra e estiver negando vai realmente fechar. A ordem de desempate em caso de duas regras idênticas, ou seja, uma que nega outra que libera é sempre a ordem em que ela esta na fila.

Esta regra irá atender a pacotes gerados fora do servidor, caso queira pegar também pacotes gerados dentro deve-se utilizar a chain OUTPUT.

Quanto ao squid podemos bloquear a reprodução de midas assim:

###trecho do squid.conf

#nesse arquivo cadastre o endereço mac um por linha 

#no formato:

## 00:1a:92:8a:f5:a0 

acl mac_liberado arp "/etc/squid3/regras/mac-liberado.conf"



######Fechando Vídeo/Áudio Streaming##############



acl media rep_mime_type video/flv video/x-flv

acl media rep_mime_type -i ^video/

acl media rep_mime_type -i ^video\/

#acl media rep_mime_type ^application/x-shockwave-flash

acl media rep_mime_type ^application/vnd.ms.wms-hdr.asfv1

acl media rep_mime_type ^application/x-fcs

acl media rep_mime_type ^application/x-mms-framed

acl media rep_mime_type ^video/x-ms-asf

acl media rep_mime_type ^audio/mpeg

acl media rep_mime_type ^audio/x-scpls

acl media rep_mime_type ^video/x-flv

acl media rep_mime_type ^video/mpeg4

acl media rep_mime_type ms-hdr

acl media rep_mime_type x-fcs

acl mediapr urlpath_regex \.flv(\?.*)?$

acl mediapr urlpath_regex -i \.(avi|mp4|mov|m4v|mkv|flv)(\?.*)?$

acl mediapr urlpath_regex -i \.(mpg|mpeg|avi|mov|flv|wmv|mkv|rmvb)(\?.*)?$



#############################

#Aplicação de acls

#primeiro libera todos que deverão ter acesso

http_access allow mediapr mac_liberado

http_reply_access allow media mac_liberado



#Agora Fecha

http_access deny mediapr

http_reply_access deny media





 

======================

Valeu, obrigado a todos que até aqui tem se preocupado em manter a informação livre.

Muitíssimo obrigado.

WBA