Bloqueio por string do iptables [Squid/Iptables]

1. Bloqueio por string do iptables

Enviado em 26/08/2016 - 07:57h

Bom dia amigos,
Comecei a implementar um servidor do BFW aqui no trabalho e com isso algumas regras de bloqueio transparente pelo IPTABLES e outras com o DansGuardian.
Se os usuários digitarem as URL: http://youtube.com e https://youtube.com direto no navegador o acesso é bloqueado e até então estava funcionando bem, mas de repente percebi que os usuários estavam conseguindo acessar o Youtube através do Google pelo Firefox.
Se eles pesquisam o vídeo no google ele abre e executa normalmente (notei que isso acontece de forma intermitente, hora o bloqueio funciona e hora não, sem qualquer alteração nas regras do iptables).
Alguém sabe me dizer o motivo? Tem alguma solução?

Segue como estão as regras do IPTABLES:

# BLOQUEIO DO YOUTUBE #

iptables -t filter -I FORWARD -p tcp --dport 443 -m string --algo bm --string "youtube.com" -j DROP



# BLOQUEIO DO YAHOO MAIL #

iptables -t filter -I FORWARD -p tcp --dport 443 -m string --algo bm --string "login.yahoo.com" -j DROP

iptables -t filter -I FORWARD -p tcp --dport 443 -m string --algo bm --string "mail.yahoo.com" -j DROP



# BLOQUEIO DO OUTLOOK MAIL #

iptables -t filter -I FORWARD -p tcp --dport 443 -m string --algo bm --string "login.live.com" -j DROP

iptables -t filter -I FORWARD -p tcp --dport 443 -m string --algo bm --string "mail.live.com" -j DROP



# BLOQUEIO DO GMAIL #

iptables -t filter -I FORWARD -p tcp --dport 443 -m string --algo bm --string "mail.google.com" -j DROP



# BLOQUEIO DO FACEBOOK #

iptables -t filter -I FORWARD -p tcp --dport 443 -m string --algo bm --string "facebook.com" -j DROP



# BLOQUEIO DO TWITTER #

iptables -t filter -I FORWARD -p tcp --dport 443 -m string --algo bm --string "twitter.com" -j DROP



# BLOQUEIO DO INSTAGRAM #

iptables -t filter -I FORWARD -p tcp --dport 443 -m string --algo bm --string "instagram.com" -j DROP



# BLOQUEIO DO IG MAIL #

iptables -t filter -I FORWARD -p tcp --dport 443 -m string --algo bm --string "login.ig.com.br" -j DROP



# BLOQUEIO DO BOL MAIL #

iptables -t filter -I FORWARD -p tcp --dport 443 -m string --algo bm --string "bmail.uol.com.br" -j DROP





##### LIBERAR #####



iptables -t filter -I FORWARD -p tcp --dport 443 -m iprange --src-range 192.168.0.160-192.168.0.162 -m string --algo bm --string "facebook.com" -j ACCEPT

iptables -t filter -I FORWARD -p tcp --sport 443 -m iprange --src-range 192.168.0.160-192.168.0.162 -m string --algo bm --string "facebook.com" -j ACCEPT



iptables -t filter -I FORWARD -p tcp --dport 443 -m iprange --src-range 192.168.0.160-192.168.0.162 -m string --algo bm --string "mail.google.com" -j ACCEPT

iptables -t filter -I FORWARD -p tcp --sport 443 -m iprange --src-range 192.168.0.160-192.168.0.162 -m string --algo bm --string "mail.google.com" -j ACCEPT



iptables -t filter -I FORWARD -p tcp --dport 443 -m iprange --src-range 192.168.0.160-192.168.0.162 -m string --algo bm --string "youtube.com" -j ACCEPT

iptables -t filter -I FORWARD -p tcp --sport 443 -m iprange --src-range 192.168.0.160-192.168.0.162 -m string --algo bm --string "youtube.com" -j ACCEPT



iptables -t filter -I FORWARD -p tcp --dport 443 -m iprange --src-range 192.168.0.160-192.168.0.162 -m string --algo bm --string "login.live.com" -j ACCEPT

iptables -t filter -I FORWARD -p tcp --sport 443 -m iprange --src-range 192.168.0.160-192.168.0.162 -m string --algo bm --string "login.live.com" -j ACCEPT



iptables -t filter -I FORWARD -p tcp --dport 443 -m iprange --src-range 192.168.0.160-192.168.0.162 -m string --algo bm --string "mail.live.com" -j ACCEPT

iptables -t filter -I FORWARD -p tcp --sport 443 -m iprange --src-range 192.168.0.160-192.168.0.162 -m string --algo bm --string "mail.live.com" -j ACCEPT

*Com relação as regras acima, já fiz o teste de retirar todas as liberações e o problema persiste.

2. IPv6?

Enviado em 18/07/2017 - 13:16h

Tenta desabilitar o IPv6 na estação cliente.

3. Re: Bloqueio por string do iptables

Enviado em 18/07/2017 - 16:07h

Nas regras de bloqueio do youtube coloque também a url "googlevideo.com", que é onde o google está armazenando os arquivos de mídia relacionados ao youtube.

------------------------------------------------------------------------------------------------------
http://www.gnu.org/philosophy/free-software-even-more-important.pt-br.html

4. Re: Bloqueio por string do iptables

Enviado em 18/07/2017 - 17:58h

https://www.vivaolinux.com.br/topico/Squid-Iptables/Bloquear-o-youtube-sem-bloquear-o-google-1

https://www.vivaolinux.com.br/topico/Squid-Iptables/Como-Bloquear-o-Youtube

https://www.vivaolinux.com.br/topico/Squid-Iptables/Bloquear-o-Youtube-sem-bloquear-GMAIL-e-Google?p...

Acima são referências, mas no teu código acredito que se você bloquear também na chain OUPUT terá sucesso.
O grande problema de bloquear youtube pelo Iptables é que o Google muda seguidamente seus servidores.
A melhor forma de bloquear com segurança é utilizando um proxy (Squid).

Bloqueio por string do iptables

Responder tópico