Acesso toal ao ip do Chefe- ja tentei tudo aqui.

viniciuscomics
(usa Debian)

Enviado em 31/05/2013 - 20:54h

Bom eu uso o Squid transparente, preciso liberar o ip do chefe, porem consigo em partes, os sites que eu faço o bloqueio por HTTPS, eu não consigo acessar. eu bloqueio os sites por https da seguinte forma:
iptables -I FORWARD -m string --algo bm --string "facebook.com" -j DROP

e dou acesso total para o ip do chefe da seguinte forma:
iptables -t nat -A POSTROUTING -s 10.54.0.10 -j MASQUERADE
iptables -t nat -A PREROUTING -i eth1 -s ! 10.54.0.10 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A POSTROUTING -s 10.54.0.0 -j MASQUERADE
iptables -t nat -A PREROUTING -i eth1 -s 10.54.0.10 -j ACCEPT
iptables -t filter -A FORWARD -s 10.54.0.10 -j ACCEPT
iptables -t filter -A FORWARD -d 10.54.0.10 -j ACCEPT
iptables -t filter -A INPUT -s 10.54.0.10 -j ACCEPT

Quando eu tiro essa regra, iptables -I FORWARD -m string --algo bm --string "facebook.com" -j DROP, o chefe acessa, mas os usuarios consegue acessar por https o facebook não sei o que fazer.

Buckminster
(usa Debian)

Enviado em 01/06/2013 - 07:50h

Coloque estas regras logo ACIMA da regra do facebook, assim:

iptables -I FORWARD 1 -s ip_do_querido_chefe -j ACCEPT
iptables -I FORWARD 2 -d ip_do_querido_chefe -j ACCEPT
iptables -I FORWARD 3 -m string --algo bm --string "facebook.com" -j DROP

Quando usar -I é bom numerar as regras, porque o -I sem número coloca a regra no topo da chain especificada (no caso a FORWARD), então a última colocada fica sendo a primeira.
Quando usar -I é só numerar as regras que daí você não se perde.

iptables -t nat -A POSTROUTING -s 10.54.0.10 -j MASQUERADE << se estas 5 regras são do IP do chefe, pode apagar ou comentar elas.
iptables -t nat -A PREROUTING -i eth1 -s 10.54.0.10 -j ACCEPT
iptables -t filter -A FORWARD -s 10.54.0.10 -j ACCEPT
iptables -t filter -A FORWARD -d 10.54.0.10 -j ACCEPT
iptables -t filter -A INPUT -s 10.54.0.10 -j ACCEPT


E estas regras:
iptables -t nat -A PREROUTING -i eth1 -s ! 10.54.0.10 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A POSTROUTING -s 10.54.0.0 -j MASQUERADE

deixe assim:
iptables -t nat -A PREROUTING -i ethx -p tcp --dport 80 -j REDIRECT --to-port 3128 << aqui vai a placa da rede interna.
iptables -t nat -A POSTROUTING -o ethx -j MASQUERADE << aqui vai a placa de rede de entrada da Internet.

ficando assim:

iptables -I FORWARD 1 -s ip_do_querido_chefe -j ACCEPT
iptables -I FORWARD 2 -d ip_do_querido_chefe -j ACCEPT
iptables -I FORWARD 3 -m string --algo bm --string "facebook.com" -j DROP
iptables -t nat -A PREROUTING -i ethx -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A POSTROUTING -o ethx -j MASQUERADE << esta regra aqui somente se coloca ela se o IP da placa de rede estiver dinâmico (automático).
Se o IP da placa de rede em questão (placa de entrada da Internet) estiver fixo, coloque esta regra no lugar:
iptables -t nat -A POSTROUTING -o ethx -j SNAT --to-source ip_da_placa_de_rede

viniciuscomics
(usa Debian)

Enviado em 01/06/2013 - 20:38h

Vou testar logo mais dou um feedback ! Mas agradeço desde ja.

viniciuscomics
(usa Debian)

Enviado em 01/06/2013 - 21:22h

Cara não funcionou, ta bloqueando tudo, as regras que eu usava só não acessava os sites que eu bloqueava por https , como facebook e twitter. mas o resto o ip do chefe acessava.

Buckminster
(usa Debian)

Enviado em 01/06/2013 - 22:18h

Posta aqui o script do Iptables e o squid.conf.

viniciuscomics
(usa Debian)

Enviado em 02/06/2013 - 10:21h

http_port 3128 transparent
visible_hostname Firewall
error_directory /usr/share/squid/errors/Portuguese/
Página 14cache_mem 64 MB
maximum_object_size_in_memory 64 KB
maximum_object_size 512 MB
minimum_object_size 0 KB
cache_swap_low 50
cache_swap_high 70
cache_dir ufs /var/spool/squid 2048 16 256
cache_access_log /var/log/squid/access.log
#cache_store_log /var/log/squid/store.log
#cache_swap_log /var/log/squid/cache_swap.log
refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 22 995 993 465
acl Safe_ports port 21 80 138 139 443 563 70 210 280 488 59 777 901 1025-65535
acl purge method PURGE
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
# Validação da rede local
acl redelocal src 10.78.2.0/24
# Bloqueio de sites por dominio
#acl sites url_regex -i "/etc/squid/bloqueados/sites"
#http_access deny sites
#acl [*****] url_regex -i "/etc/squid/bloqueados/[*****]"
#http_access deny [*****]
# Bloqueio de arquivos por extensão
#acl extensao urlpath_regex -i "/etc/squid/bloqueados/extensao"
#http_access deny extensao

iptables .

#!/bin/bash
echo Inicializando regras do firewall
sleep 0
IF_WAN=eth1 # INTERFACE DE SAIDA PARA INTERNET
LAN=192.168.0.0/24 # ENDEREÇO PARA REDE LOCAL LAN
# LIMPA REGRAS DO FIREWALL
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -F
iptables -t nat -F
echo "nameserver 10.78.2.253" > /etc/resolv.conf
echo "nameserver 8.8.8.8" >> /etc/resolv.conf
echo "nameserver 8.8.4.4" >> /etc/resolv.conf
Página 16# ATIVA O SISTEMA DE ROTEAMENTO DE PACOTES
echo 1 > /proc/sys/net/ipv4/ip_forward
# ATIVA O MODO DE MASQUERADE
iptables -t nat -A POSTROUTING -o $IF_WAN -j MASQUERADE #
Mascaramento de rede
# FORÇA A NAVEGACAO PELA PORTA 3128
iptables -t nat -A PREROUTING -p tcp -m tcp --dport 80 -s $LAN -j REDIRECT
--to 3128 # Forca navegacao na 3128
#iptables -t nat -A PREROUTING -p tcp -s $LAN --dport 1863 -j DROP

eduardo
(usa Linux Mint)

Enviado em 03/06/2013 - 08:05h

Cara, teu problema é que as regras do IP do Chefe estão abaixo do bloqueio do Facebook. O Iptables olha de cima para baixo, e tanto da sua forma quanto a dica do João, a regra do Facebook vem antes. Experimente dar o comando "iptables -L -n" no terminal e você verá.

Para resolver, existem duas formas. Vocês estão se embananando com as opções "-I" e "-A". O -I adiciona a regra no topo da lista. O -A adiciona a regra no fim da lista. Sendo assim, ou tu adiciona as regras com -A, seguindo a ordem "regras do chefe" e depois "bloqueio do Facebook", ou tu a adiciona as regras com -I, seguindo a ordem "bloqueio do Facebook" e depois "regras do chefe".
Dessa forma, o resultado do iptables -L -n será que as regras do chefe estarão acima do bloqueio do facebook.

Espero ter ajudado.

viniciuscomics
(usa Debian)

Enviado em 03/06/2013 - 15:31h

Então eu fiz isso com o -I as regras estavam no topo,e vinha seguido do bloqueio do facebook e mesmo assim não funcionou, agora com o -A o bloqueio do face ficou acima e as regras de acesso total do chefe ficou abaixo, vou testar com o -A , e o bloqueio do facebook abaixo das regras do chefe.

Buckminster
(usa Debian)

Enviado em 03/06/2013 - 18:28h

No Iptables você está colocando todas as políticas padrões como ACCEPT, assim ele não bloqueia nada. Deixe assim:

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

e vá fazendo as liberações e bloqueios depois.


No Squid:

acl Safe_ports port 21 80 138 139 443 563 70 210 280 488 59 777 901 1025-65535
Essa regra acima é aconselhável não colocar mais do que cinco portas por ACL Safe_ports. O ideal é uma ACL por porta.

http_access allow manager localhost

esta acl acima, deixe ela assim:

http_access deny manager

e acrescente essas três ACLs abaixo por último; você não estava liberando a rede local.

http_access allow redelocal << essa acl libera a rede local
http_access allow localhost << essa acl libera o localhost
http_access deny all << essa acl nega tudo que não consta nas regras acima dela.


Lembra que tanto o Squid como o Iptables leem as regras de cima para baixo. Se houver conflito entre duas regras, vale a que vem por primeiro.

http://www.vivaolinux.com.br/artigo/Squid-Entendendo-um-pouco-as-configuracoes/

http://www.vivaolinux.com.br/artigo/Manual-do-IPtables-Comentarios-e-sugestoes-de-regras/