Bloquear Sites e Palavras Chave com IPTABLES! [RESOLVIDO]

fixxctba
(usa Ubuntu)

Enviado em 14/10/2011 - 15:47h

Olá Pessoal do Fórum,

Instalei na empresa que trabalho o Ubuntu 11.
Fiz o compartilhamento da internet da seguinte maneira:

#############

modprobe ip_tables
modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

#############

Beleza, até aí tudo certo. Conexão compartilhada com a rede numa boa.
Agora vem a minha dúvida, eu gostaria de bloquear alguns sites e algumas palavras-chaves porém com o IPTABLES pois quando eu coloco o SQUID eu tenho que colocar nos navegadores aquele bendito apontamento para a porta 3128.

Alguém poderia me dar dois exemplos de bloqueio com o IPTABLES que funcionem de verdade?

1 para website?
1 para palavra-chave?


Atenciosamente,

Philip

n4t4n
(usa Arch Linux)

Enviado em 14/10/2011 - 16:04h

Se o problema é só esse (colocar os benditos apontamentos pra 3128) você pode usar proxy transparente, e faz um bloqueio bem versátil com squidguard ou dansguardian.

fixxctba
(usa Ubuntu)

Enviado em 14/10/2011 - 16:24h

Certo, eu li muito sobre isso também. Porém tem um outro problema, na verdade não sei se isso gera problema, preciso de uma opinião pois estou meio "fraco" no linux mexi muito na época do Conectiva quando lançou.

Eu tenho também apontado pelo IPTABLES duas máquinas de cameras geovision uma está na porta 80 e a outra na 81. Isto poderá influenciar negativamente a instalação do Squid e o Dansguardian?

Atenciosamente,

Philip

n4t4n
(usa Arch Linux)

Enviado em 16/10/2011 - 10:14h

Veja, eu acredito que não, já que você está conseguindo usar a internet nessa configuração atual e não está conflitando com as câmeras.

O que o proxy transparente faz é redirecionar todas as requisições vindas para o servidor na porta 80 para a 3128 que é a padrão do squid.

Caso dê problema você pode mudar as portas usadas pelas câmeras, já que a porta 80 é usada para navegação, mas como eu disse, se não está conflitando então não haverá problemas.

Só uma curiosidade. Você está redirecionando todas as requisições vindas para o servidor na porta 80 para uma das câmeras é isso? Porque se for você não deveria estar conseguindo navegar.
A regra do iptables está nesse mesmo servidor de internet?

joabes
(usa Slackware)

Enviado em 16/10/2011 - 10:40h

Conforme informado.

Coloca um proxy transparente, ai tu cria uma regra para redirecionar as portas das câmeras.

Tenho a mesma topologia que você informa em vários clientes, todas funcionais sem inconvenientes.

Att
Joabes

fixxctba
(usa Ubuntu)

Enviado em 16/10/2011 - 16:57h

Vejam foi desta forma que eu fiz o compartilhamento usando o IPTABLES. Se eu aplicar estas portas ao SQUID eu vou ter acesso tanto as cameras quanto ao HTTP?

Com o proxy transparente do SQUID eu não preciso ter que colocar as configurações nos browsers das máquinas certo? Continuo usando o GATEWAY e o DNS na placa de rede certo?

###Compartilhamento Internet###

modprobe ip_tables
modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

###Compartilhamento Cameras 192.168.1.21:81###

iptables -t nat -A PREROUTING -d SERVIDOR -p tcp -m tcp --dport 81 -j DNAT --to-destination 192.168.1.21:3551
iptables -t nat -A PREROUTING -d SERVIDOR -p tcp -m tcp --dport 3551 -j DNAT --to-destination 192.168.1.21:3551
iptables -t nat -A PREROUTING -d SERVIDOR -p tcp -m tcp --dport 4551 -j DNAT --to-destination 192.168.1.21:4551
iptables -t nat -A PREROUTING -d SERVIDOR -p tcp -m tcp --dport 5551 -j DNAT --to-destination 192.168.1.21:5551
iptables -t nat -A PREROUTING -d SERVIDOR -p tcp -m tcp --dport 6551 -j DNAT --to-destination 192.168.1.21:6551

iptables -t nat -A POSTROUTING -d 192.168.1.21 -s 0/0 -p tcp --dport 81 -j SNAT --to SERVIDOR
iptables -t nat -A POSTROUTING -d 192.168.1.21 -s 0/0 -p tcp --dport 3551 -j SNAT --to SERVIDOR
iptables -t nat -A POSTROUTING -d 192.168.1.21 -s 0/0 -p tcp --dport 4551 -j SNAT --to SERVIDOR
iptables -t nat -A POSTROUTING -d 192.168.1.21 -s 0/0 -p tcp --dport 5551 -j SNAT --to SERVIDOR
iptables -t nat -A POSTROUTING -d 192.168.1.21 -s 0/0 -p tcp --dport 6551 -j SNAT --to SERVIDOR

iptables -A FORWARD -p tcp --dport 81 -j ACCEPT
iptables -A FORWARD -p tcp --dport 3551 -j ACCEPT
iptables -A FORWARD -p tcp --dport 4551 -j ACCEPT
iptables -A FORWARD -p tcp --dport 5551 -j ACCEPT
iptables -A FORWARD -p tcp --dport 6551 -j ACCEPT

###Compartilhamento Cameras 192.168.1.12:80###

iptables -t nat -A PREROUTING -d SERVIDOR -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.1.12:80
iptables -t nat -A PREROUTING -d SERVIDOR -p tcp -m tcp --dport 3550 -j DNAT --to-destination 192.168.1.12:3550
iptables -t nat -A PREROUTING -d SERVIDOR -p tcp -m tcp --dport 3650 -j DNAT --to-destination 192.168.1.12:3650
iptables -t nat -A PREROUTING -d SERVIDOR -p tcp -m tcp --dport 4550 -j DNAT --to-destination 192.168.1.12:4550
iptables -t nat -A PREROUTING -d SERVIDOR -p tcp -m tcp --dport 5550 -j DNAT --to-destination 192.168.1.12:5550
iptables -t nat -A PREROUTING -d SERVIDOR -p tcp -m tcp --dport 6550 -j DNAT --to-destination 192.168.1.12:6550

iptables -t nat -A POSTROUTING -d 192.168.1.12 -s 0/0 -p tcp --dport 80 -j SNAT --to SERVIDOR
iptables -t nat -A POSTROUTING -d 192.168.1.12 -s 0/0 -p tcp --dport 3550 -j SNAT --to SERVIDOR
iptables -t nat -A POSTROUTING -d 192.168.1.12 -s 0/0 -p tcp --dport 3650 -j SNAT --to SERVIDOR
iptables -t nat -A POSTROUTING -d 192.168.1.12 -s 0/0 -p tcp --dport 4550 -j SNAT --to SERVIDOR
iptables -t nat -A POSTROUTING -d 192.168.1.12 -s 0/0 -p tcp --dport 5550 -j SNAT --to SERVIDOR
iptables -t nat -A POSTROUTING -d 192.168.1.12 -s 0/0 -p tcp --dport 6550 -j SNAT --to SERVIDOR

iptables -A FORWARD -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -p tcp --dport 3550 -j ACCEPT
iptables -A FORWARD -p tcp --dport 3650 -j ACCEPT
iptables -A FORWARD -p tcp --dport 4550 -j ACCEPT
iptables -A FORWARD -p tcp --dport 5550 -j ACCEPT
iptables -A FORWARD -p tcp --dport 6550 -j ACCEPT

n4t4n
(usa Arch Linux)

Enviado em 17/10/2011 - 12:33h

Não, você está redirecionando todo o tráfego que chega ao seu SERVIDOR na porta 80 para o endereço 192.168.1.12, porta 80.

Você pode mudar isso dando outra porta para a câmera no seu servidor ficando assim

iptables -t nat -A PREROUTING -d SERVIDOR -p tcp -m tcp --dport 82 -j DNAT --to-destination 192.168.1.12:80



Isso mesmo. Qualquer tráfego chegando na porta 80 do SERVIDOR será redirecionado para a 3128 que é a porta que o Squid trabalha por padrão.


Como está conseguindo navegar com essa configuração? Pois o tráfego está sendo redirecionado para a câmera.
Está conseguindo acessar as câmeras?

Tenho pra mim que a variável SERVIDOR deve ser informada com um $ antes: $SERVIDOR

fixxctba
(usa Ubuntu)

Enviado em 17/10/2011 - 13:03h

Deu certo as configurações. Obrigado pela ajuda de todos.
Consegui direcionar as câmeras e estou usando o Squid como bloqueador de sites, palavras e etc.

Atenciosamente,

Philip