Como bloquear o gmail por iptables??? [RESOLVIDO]

1. Como bloquear o gmail por iptables??? [RESOLVIDO]

kbecaobh
(usa Debian)

Enviado em 22/08/2013 - 17:06h

Olá a todos.

Estou tendo problemas na empresa, pois a mesma não permite abrir e-mail pessoal...
No squid já foi configurado, e está funcionando,
aliás, está bloqueando o hotmail, yahoo,etc,etc...Mas o gmail somente via browser, pois o pessoal descobriu como configurar a conta do GMAIL no Thunderbird, e eu não consigo bloquear o mesmo...

Desde já, agradeço a ajuda de todos.

0 0

Quote

2. Re: Como bloquear o gmail por iptables??? [RESOLVIDO]

saitam
(usa Slackware)

Enviado em 22/08/2013 - 19:19h

No squid.conf cria uma ACL gmail apontando mail.google.com e depois nega essa acl criada.



acl gmail dstdom_regex mail.google.com

http_access deny gmail

E no Iptables



iptables -I INPUT -s mail.google.com -j DROP

iptables -A OUTPUT -d mail.google.com -j DROP

iptables -I FORWARD -s 0/0 -d mail.google.com -j DROP

Pronto, os sites de bancos continuam acessando, mas e-mail do GMAIL serão bloqueados.

http://mundodacomputacaointegral.blogspot.com.br/2011/12/configurando-servidor-proxy-autenticado.htm...

0 0

Quote

3. Re: Como bloquear o gmail por iptables??? [RESOLVIDO]

andrecanhadas
(usa Debian)

Enviado em 22/08/2013 - 21:00h

saitam escreveu:

No squid.conf cria uma ACL gmail apontando mail.google.com e depois nega essa acl criada.



acl gmail dstdom_regex mail.google.com

http_access deny gmail

E no Iptables



iptables -I INPUT -s mail.google.com -j DROP

iptables -A OUTPUT -d mail.google.com -j DROP

iptables -I FORWARD -s 0/0 -d mail.google.com -j DROP

Pronto, os sites de bancos continuam acessando, mas e-mail do GMAIL serão bloqueados.

http://mundodacomputacaointegral.blogspot.com.br/2011/12/configurando-servidor-proxy-autenticado.htm...

Saitam as regras do iptables vão funcionar momentaneamente pois o gmail tem centenas de servidores e o bloqueio do iptables só bloquearia o que o mail.google.com resolveu o dns na hora que rodar os comando assim como não funciona bloquear o facebook por url

Duas soluções possiveis:

1 - Bloqueio geral das portas de e-mail



iptables -I FORWARD -p tcp --dport 993 -j DROP

iptables -I FORWARD -p tcp --dport 995 -j DROP

iptables -I FORWARD -p tcp --dport 587 -j DROP

iptables -I FORWARD -p tcp --dport 465 -j DROP

iptables -I FORWARD -p tcp --dport 110 -j DROP

Isso bloqueia outros emails também de outros domínios, e também também seria bloqueado o servidor de emails da empresa e precisaria da regra:



iptables -A FORWARD -p tcp -d imaps.meudominio.com.br --dport 993 -j ACCEPT

iptables -A FORWARD -p tcp -d pops.meudominio.com.br --dport 995 -j ACCEPT

iptables -A FORWARD -p tcp -d smtp.meudominio.com.br --dport 587 -j ACCEPT

iptables -A FORWARD -p tcp -d smtp.meudominio.com.br --dport 465 -j ACCEPT

iptables -A FORWARD -p tcp -d pop.meudominio.com.br --dport 110 -j ACCEPT

2 opção bloquear os IPs
Por coincidência tenho uma lista de vários IPs do Gmail que fui salvando mas para o Inverso pois minha politica é drop pra tudo menos as portas e destinos que podem ser acessados incluindo emails via outlook ou similar
Segue a lista: (Salve como um arquivo e indique como fiz na regra abaixo /etc/squid3/gmail.txt)



74.125.137.108

173.194.68.109

173.194.74.108

173.194.76.109

173.194.75.109

173.194.75.108

74.125.131.109

173.194.78.108

173.194.66.109

173.194.78.109

173.194.69.108

74.125.134.108

74.125.140.109

173.194.68.108

74.125.224.245

173.194.77.108

173.194.76.108

74.125.130.109

74.125.130.108

Pode descobrir outros com ping para smtp.gmail.com ou imap.gmail.com
No firewall adicione a regra:



IPS=`cat /etc/squid3/gmail.txt`

for i in $IPS;do 

iptables -I FORWARD -p tcp -d $i --dport 993 -j DROP

iptables -I FORWARD -p tcp -d $i --dport 995 -j DROP

iptables -I FORWARD -p tcp -d $i --dport 587 -j DROP

iptables -I FORWARD -p tcp -d $i --dport 465 -j DROP

done

A segunda bloqueia as portas apenas para o gmail

0 0

Quote

4. Re: Como bloquear o gmail por iptables??? [RESOLVIDO]

kbecaobh
(usa Debian)

Enviado em 23/08/2013 - 09:27h

Bom dia!

Ok...
Realmente tentar bloquear o gmail é osso...
Tenho uma lista aqui em torno de 16 IPS, e cada vez que bloqueia um, aparece outro..tá f***...

André, realmente prefiro bloquear todas as portas, assim não garanto somente para o gmail, como os demais...mas tenho um problema...Existe conta de e-mail externa, como que faço para liberar esta porta somente para o servidor no tal ip xxx.xxx.xx.xx?

0 0

Quote

5. Re: Como bloquear o gmail por iptables??? [RESOLVIDO]

andrecanhadas
(usa Debian)

Enviado em 23/08/2013 - 09:53h

andrecanhadas escreveu:

Um dos ranges que reponde pelo IP que testei neste momento por exemplo:



ping smtp.uol.com.br



64 bytes from 200-147-35-206-206.static.uol.com.br (200.147.35.206): icmp_seq=1 ttl=246 time=3.03 ms

Se executar um whois para este IP te mostra todo o range a que ele pertence:



whois 200.147.35.206



# vai trazer varias informações inclusive o range

[code]

inetrev:     200.147.0/17

Com isso se criar a regra com -d 200.147.0/17



# libero saida para qualquer servidor do uol que usa este range na porta 110

iptables -A FORWARD -p tcp -d 200.147.0/17 --dport 110 -j ACCEPT

# libero saida para qualquer servidor do uol que usa este range em qualquer porta

iptables -A FORWARD -p tcp -d 200.147.0/17 -j ACCEPT

Esqueci de fechar alguma tag
segue:

Um dos ranges que reponde pelo IP que testei neste momento por exemplo:



ping smtp.uol.com.br

 

64 bytes from 200-147-35-206-206.static.uol.com.br (200.147.35.206): icmp_seq=1 ttl=246 time=3.03 ms

Se executar um whois para este IP te mostra todo o range a que ele pertence:



whois 200.147.35.206 

# vai trazer varias informações inclusive o range

inetrev:     200.147.0/17

Com isso se criar a regra com -d 200.147.0/17



# libero saida para qualquer servidor do uol que usa este range na porta 110

iptables -A FORWARD -p tcp -d 200.147.0/17 --dport 110 -j ACCEPT

# libero saida para qualquer servidor do uol que usa este range em qualquer porta

iptables -A FORWARD -p tcp -d 200.147.0/17 -j ACCEPT

0 0

Quote

6. Re: Como bloquear o gmail por iptables??? [RESOLVIDO]

andrecanhadas
(usa Debian)

Enviado em 23/08/2013 - 09:57h

kbecaobh escreveu:

Bom dia!

Ok...
Realmente tentar bloquear o gmail é osso...
Tenho uma lista aqui em torno de 16 IPS, e cada vez que bloqueia um, aparece outro..tá f***...

André, realmente prefiro bloquear todas as portas, assim não garanto somente para o gmail, como os demais...mas tenho um problema...Existe conta de e-mail externa, como que faço para liberar esta porta somente para o servidor no tal ip xxx.xxx.xx.xx?

Veja os IP no caso de liberar um servidor com vários ips como yahoo hotmail etc... vai te dar mais trabalho, á passei a forma na postagem anterior:

*Isso bloqueia outros emails também de outros domínios, e também também seria bloqueado o servidor de emails da empresa e precisaria da regra:



iptables -A FORWARD -p tcp -d imaps.meudominio.com.br --dport 993 -j ACCEPT

iptables -A FORWARD -p tcp -d pops.meudominio.com.br --dport 995 -j ACCEPT

iptables -A FORWARD -p tcp -d smtp.meudominio.com.br --dport 587 -j ACCEPT

iptables -A FORWARD -p tcp -d smtp.meudominio.com.br --dport 465 -j ACCEPT

iptables -A FORWARD -p tcp -d pop.meudominio.com.br --dport 110 -j ACCEPT

Basta criar uma para cada respectivo servidor e porta que deseja liberar por exemplo:



iptables -A FORWARD -p tcp -d pop.sao.terra.com.br --dport 110 -j ACCEPT

iptables -A FORWARD -p tcp -d smtp.sao.terra.com.br --dport 587 -j ACCEPT

Com essas regras acima libero o pop3 e envio smtp para os servidores do terra as regras ficam mais seguras e passiveis de falhas se testar por varias vezes um ping para o nome do servidor pop e smtp pois podem haver outros e como já disse acima só vai liberar o que o firewall resolveu a url no momento em que o script foi rodado.

A ordem deve ser bloqueio o que não quero e abaixo libero o que quero.

0 0

Quote

7. Re: Como bloquear o gmail por iptables??? [RESOLVIDO]

leonardoortiz
(usa CentOS)

Enviado em 25/08/2013 - 04:53h

Faça esse teste:
iptables -A INPUT -p tcp -m string --algo bm --string gmail -g drop
iptables -A FORWARD -p tcp -m string --algo bm --string gmail -g drop

Outra opção é habilitar o SSL no seu squid e fazer o bloquei por ele mesmo, para isso tem tutorias aqui no VoL mesmo.

0 0

Quote

8. Re: Como bloquear o gmail por iptables??? [RESOLVIDO]

callaveraz
(usa Debian)

Enviado em 20/11/2013 - 10:13h

Aqui precisei liberar o gmail em determinados horários.

Pra quem se interessar:

#Liberar GMAIL por horario
#Refeitorio
iptables -I FORWARD -s IP_estação_ou_roteador -d $i -m time --timestart 09:00 --timestop 10:00 -j ACCEPT
iptables -I FORWARD -s IP_estação_ou_roteador -d $i -m time --timestart 11:00 --timestop 13:30 -j ACCEPT
iptables -I FORWARD -s IP_estação_ou_roteador -d $i -m time --timestart 15:00 --timestop 16:00 -j ACCEPT

E para algumas maquinas administrativas da rede independente do horario

#LIBERANDO GMAIL PARA ALGUNS IPs NA REDE

iptables -I FORWARD -s IP_estação -d $i -j ACCEPT #TI

Obs. Essa regra é a mesma para o facebook.

Alguem tem algum script que faça o ping no endereço diariamente, entenda se no arquivo txt onde estão os ips dos servidores ja existe o IP e se não existir adicionar ele?

Um abraço.

0 0

Quote