Liberar sites https no iptables

arasouza
(usa Debian)

Enviado em 11/07/2012 - 14:20h

Amigos, decidi bloquear totalmente a porta 443 (https0, pois estou tendo problemas serissimos com proxyes para burlar os bloqueios. o bloqueio funcionou perfeitamente só que antes de fazer esta pergunta procurei exaustivamente aqui mesmo no viva o linux, e na net como liberar os sites de bancos, hotmail, gmail e etc mantendo o bloqueio do resto, porém não estou conseguindo o bloqueio da 443 é:


$iptables -A FORWARD -p tcp -s 0/0 --sport 443 -d 10.0.0.0/8 -j DROP
$iptables -A FORWARD -p tcp -s 10.0.0.0/8 -d 0/0 --dport 443 -j DROP
(funciona perfeitamente)

tentei liberar com as regras abaixo mas não está funcionando.. preciso mesmo de ajudaaaaaa!!! agradeço a todos que se dispuserem a isso.

$iptables -A INPUT -s 10.0.0.0/8 -p tcp -d 200.201.168.59 -j ACCEPT
$iptables -A OUTPUT -s 10.0.0.0/8 -p tcp -d 200.201.168.59 -j ACCEPT
$iptables -A FORWARD -s 10.0.0.0/8 -p tcp -d 200.201.168.59 -j ACCEPT
$iptables -t nat -A PREROUTING -i IF_INTERNA -s 10.0.0.0/8 -p tcp -d 200.201.168.59 --dport 80 -j ACCEPT
$iptables -t nat -A PREROUTING -i IF_INTERNA -s 10.0.0.0/8 -p tcp -d 200.201.168.59 --dport 443 -j ACCEPT
$iptables -t nat -A POSTROUTING -p tcp -d 200.201.168.59 -j MASQUERADE

johnnyb
(usa Fedora)

Enviado em 11/07/2012 - 19:44h

Bom amigo vamos refazer essa parte do seu firewall
porque se nao vai fica muito extenso o seu script

intao coloque dessa maneira

(/etc/squid/list/lib.txt ----crie um arquivo txt onde vc achar melhor e depois altere o endereço abaixo )


### Sites https Liberados ###
iptables -A FORWARD -p tcp --dport 443 -j DROP
for URL in `grep -v "^#" /etc/squid/list/lib.txt`; do
iptables -I FORWARD -d $URL -p tcp --dport 443 -j ACCEPT
done
echo "Liberando Sites Para Porta 443........................[ OK ]"


### no arquivo lib vc vai adicionar um ip por linha dessa maneira
gmail.com
74.125.234.0/24
74.125.45.0/24
74.125.139.0/24
74.125.234.0/24
74.125.234.0/24
br.yahoo.com
209.191.92.0/24
23.62.45.0/24
98.139.241.0/24

para descubrir os ips basta vc pega o nome do site e dar um comando tipo ping google.com
ele vai te retorna um ip ex 20.146.87.417 ai vc subistiui o 417 por 0/24 pois as vezes os sites usam mais de um ip em determinados serviços eu estou tentando liberar o hotmail.com assim que eu conseguir eu posto pra vc aqui pois ele e muito dificil pois tem varios links :) tenta ai e vai postando que eu vo te ajudando blz

saitam
(usa Slackware)

Enviado em 11/07/2012 - 20:27h

Bom, deve estar usando proxy transparente no squid e estão burlando o proxy com https://facebook.com né...
Então, não é recomendado bloquear porta 443 via iptables, pois isso resultaria outros fatores, por exemplo sites de e-mail, bancos deixaria de acessar, e também é preciso atualizar a lista de IPs do Facebook que troca direto.

Qual a forma mais eficaz de evitar burlar o proxy?
Configure para proxy autenticado.
E nas regras IPtables inicia as chains INPUT,OUTPUT,FORWARD em DROP, e libere apenas as portas dos serviços necessários na sua rede.

PS: Tem possibilidade de integrar no AD ou Samba PDC para otimizar, ou seja, logou na máquina já faz autenticação no proxy.

Segue os passos como configurar proxy autenticado no Squid: http://mundodacomputacaointegral.blogspot.com.br/2011/12/configurando-servidor-proxy-autenticado.htm...

arasouza
(usa Debian)

Enviado em 12/07/2012 - 12:30h

Ok, Saitan, irei da uma pesquisada, pois aqui devido a quantidade de notebooks fica um pouco dificil para o proxy autenticado, irei tentar a opção acima e qualquer coisa eu posto aqui.

arasouza
(usa Debian)

Enviado em 12/07/2012 - 12:31h

Ok Jonny achei interessante a obsevação que vc fez, vou fazer o teste e posto aqui agradeço a atenção de vcs..

johnnyb
(usa Fedora)

Enviado em 12/07/2012 - 17:23h

intao teste a regra e de um alo aqui pois to quase conseguindo liberar o hotmail sem o messenger :D
assim que eu conseguir posto aqui pra você

arasouza
(usa Debian)

Enviado em 19/07/2012 - 17:35h

Jonnyb, o erro persiste ele tenta abrir o site mas consegue, retorna isso no navegador:

"O servidor accounts.google.com demorou muito para responder"

Fiz direitinho como ta no posto as regras do iptable, mas não deu certo.. vc tem alguma dica???