Iptables + facebook [Squid/Iptables]

willsazon · 2013-04-02T09:49:56-03:00

Olá bom dia a todos, eu tive um problema com facebook por questões da porta https. Os usuários estavam utilizando dessa questão para burlar o proxy. Então pesquisando aqui no forum encontrei um script para bloquear o facebook. achei nesse http://www.vivaolinux.com.br/topico/Squid-Iptables/Bloquear-facebook o scritp abaixo. Ele funciona muito bem. Segue o script e lembrando que precisamos criar os arquivos e indica-los no script sua localização: #/bin/bash #LIMPAR ARQUIVO ip_facebook echo "" > ip_facebook #CAPTURAR IP DO FACEBOOK host www.facebook.com >> /root/host_facebook ## EXPRESSÃO REFULAR PARA CAPTURAR SOMENTE OS IPS DO ARQUIVO host_facebook sed -n 's/$[0-9]\{1,3\}\.$\{3\}[0-9]\{1,3\}/\nip&\n/gp' /root/host_facebook | grep ip | sed 's/ip//'| sort | uniq >> /root/ip_facebook ## REGRA DE CONDIÇÃO PARA BLOCK DOS IPS for ip in $(cat /root/ip_facebook); do iptables -I FORWARD -s $ip -j DROP; iptables -I INPUT -s $ip -j DROP; done Agora so tem uma questão. Preciso liberar 3 maquinas para acessar o facebook e nao estou conseguindo. Alguém tem alguma idéia de como posso colocar uma regra de liberaçao antes do bloqueio. Como liberar de acordo como ip da maquina?

25. Re: Iptables + facebook

Enviado em 04/04/2013 - 17:53h

Comenta essa regra do Squid que bloqueia o facebook. Reinicia o Squid e reinicia o firewall e testa.
É preciso ter cuidado com regras que bloqueiam por palavras na url. O Squid irá bloquear todo e qualquer site que tenha as palavras determinadas, ou seja, todo e qualquer site que tenha na url aquela sequência determinada de caracteres.
Por exemplo, se você colocar simplesmente a letra 'w' dentro do arquivo de bloqueio, o Squid irá bloquear todos os sites que tenham a letra 'w' no endereço de url.

26. Re: Iptables + facebook

Enviado em 05/04/2013 - 14:46h

Buckminster escreveu:

Comenta essa regra do Squid que bloqueia o facebook. Reinicia o Squid e reinicia o firewall e testa.
É preciso ter cuidado com regras que bloqueiam por palavras na url. O Squid irá bloquear todo e qualquer site que tenha as palavras determinadas, ou seja, todo e qualquer site que tenha na url aquela sequência determinada de caracteres.
Por exemplo, se você colocar simplesmente a letra 'w' dentro do arquivo de bloqueio, o Squid irá bloquear todos os sites que tenham a letra 'w' no endereço de url.

E mano, ta dificil aqui viu.

Tirei facebook de dentro das regras do squid.

Reiniciei o squid, reiniciei o iptables, reiniciei ate mesmo o servidor e nada.

:(

27. Re: Iptables + facebook

Enviado em 10/04/2013 - 10:11h

tenta dar excessao para o ip que vc deseja que passe fora da regra, tipo assim:

iptables -I FORWARD -m string --algo bm --string "facebook.com" -s !192.168.1.20 -j DROP

ou se forem mais ips

ALLOW_THIS_IP="/etc/ipliberado" (dentro do arquivo vc coloca os ips que deseja liberar)
iptables -I FORWARD -m string --algo bm --string "facebook.com" -s !"$ALLOW_THIS_IP" -j DROP

28. Re: Iptables + facebook

Enviado em 10/04/2013 - 10:44h

rafadebian escreveu:

tenta dar excessao para o ip que vc deseja que passe fora da regra, tipo assim:

iptables -I FORWARD -m string --algo bm --string "facebook.com" -s !192.168.1.20 -j DROP

ou se forem mais ips

ALLOW_THIS_IP="/etc/ipliberado" (dentro do arquivo vc coloca os ips que deseja liberar)
iptables -I FORWARD -m string --algo bm --string "facebook.com" -s !"$ALLOW_THIS_IP" -j DROP

Vou tentar e lhe posto o resultado depois.

29. Re: Iptables + facebook

Enviado em 10/04/2013 - 14:52h

Cara insira estas regras no seu firewall:

# FECHANDO RANGES COM DOMINIOS HTTPS
RANGES_HTTPS_NEGADOS=`awk -F'/' '!/#/{s=(s)?s" "$NF:$NF}END{print s}' /etc/squid/https-negados`
iptables -N RANGES_HTTPS_NEGADOS
for https_deny in $RANGES_HTTPS_NEGADOS; do
iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range $https_deny --dport 443 -j RANGES_HTTPS_NEGADOS
iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range $https_deny --dport 80 -j RANGES_HTTPS_NEGADOS
done
# LIBERAR RANGES HTTPS BLOQUEADOS PARA LISTA DE IPS AUTORIZADOS.
IPS_ALLOW=`awk -F'/' '!/#/{s=(s)?s" "$NF:$NF}END{print s}' /etc/squid/liberados-https-negados`
for DEP in $IPS_ALLOW; do
iptables -I RANGES_HTTPS_NEGADOS -s $DEP -j ACCEPT
done
iptables -A RANGES_HTTPS_NEGADOS -j DROP

Depois cria os Arquivos /etc/squid/https-negados

insere a range de Ips que deseja bloquear, por exemplo:

/etc/squid/https-negados
# Range Google acounts
74.125.0.0-74.125.255.255

# Range do Facebook
69.171.224.0-69.171.255.255
173.252.64.0-173.252.127.255
31.13.64.0-31.13.127.255
31.13.24.0-31.13.31.255
74.119.76.0-74.119.79.255
69.63.176.0-69.63.191.255
69.171.224.0-69.171.255.255
66.220.144.0-66.220.159.255
204.15.20.0-204.15.23.255
173.252.64.0-173.252.127.255

Depois Cria o arquivo /etc/squid/liberados-https-negados

e insira os IPs que deseja liberar o acesso as ranges que bloqueou.
exemplo:
/etc/squid/liberados-https-negados
# IP fulano
192.168.0.10

# IP Ciclano
192.168.0.11

# IP Beltrano
192.168.0.12

Vlw, qualquer coisa prende o grito!

30. Re: Iptables + facebook

Enviado em 12/04/2013 - 08:53h

darlan.picetti escreveu:

Cara insira estas regras no seu firewall:

# FECHANDO RANGES COM DOMINIOS HTTPS
RANGES_HTTPS_NEGADOS=`awk -F'/' '!/#/{s=(s)?s" "$NF:$NF}END{print s}' /etc/squid/https-negados`
iptables -N RANGES_HTTPS_NEGADOS
for https_deny in $RANGES_HTTPS_NEGADOS; do
iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range $https_deny --dport 443 -j RANGES_HTTPS_NEGADOS
iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range $https_deny --dport 80 -j RANGES_HTTPS_NEGADOS
done
# LIBERAR RANGES HTTPS BLOQUEADOS PARA LISTA DE IPS AUTORIZADOS.
IPS_ALLOW=`awk -F'/' '!/#/{s=(s)?s" "$NF:$NF}END{print s}' /etc/squid/liberados-https-negados`
for DEP in $IPS_ALLOW; do
iptables -I RANGES_HTTPS_NEGADOS -s $DEP -j ACCEPT
done
iptables -A RANGES_HTTPS_NEGADOS -j DROP

Depois cria os Arquivos /etc/squid/https-negados

insere a range de Ips que deseja bloquear, por exemplo:

/etc/squid/https-negados
# Range Google acounts
74.125.0.0-74.125.255.255

# Range do Facebook
69.171.224.0-69.171.255.255
173.252.64.0-173.252.127.255
31.13.64.0-31.13.127.255
31.13.24.0-31.13.31.255
74.119.76.0-74.119.79.255
69.63.176.0-69.63.191.255
69.171.224.0-69.171.255.255
66.220.144.0-66.220.159.255
204.15.20.0-204.15.23.255
173.252.64.0-173.252.127.255

Depois Cria o arquivo /etc/squid/liberados-https-negados

e insira os IPs que deseja liberar o acesso as ranges que bloqueou.
exemplo:
/etc/squid/liberados-https-negados
# IP fulano
192.168.0.10

# IP Ciclano
192.168.0.11

# IP Beltrano
192.168.0.12

Vlw, qualquer coisa prende o grito!

olá amigo assim eu ja tentei e nao deu certo.

tenta dar excessao para o ip que vc deseja que passe fora da regra, tipo assim:

iptables -I FORWARD -m string --algo bm --string "facebook.com" -s !192.168.1.20 -j DROP

ou se forem mais ips

ALLOW_THIS_IP="/etc/ipliberado" (dentro do arquivo vc coloca os ips que deseja liberar)
iptables -I FORWARD -m string --algo bm --string "facebook.com" -s !"$ALLOW_THIS_IP" -j DROP

Amigo assim o iptables apresente um erro.

iptables -I FORWARD -m string --algo bm --string "facebook.com" -s chmod 775 intranet/.168.1.27 -j DROP

Bad argument `775'

31. Re: Iptables + facebook

Enviado em 12/04/2013 - 09:08h

bom eu fiz assim

meu script

# cat /root/list.txt



31.13.24.0/21

31.13.64.0/18

66.220.144.0/20

69.63.176.0/20

69.171.224.0/19

74.119.76.0/22

103.4.96.0/22

173.252.64.0/18

204.15.20.0/22

#cat /root/firewall.sh



#!/bin/bash



REDE_INTERNA="10.0.0.0/8"





iptables -F

iptables -X

iptables -t nat -F

iptables -t nat -X

iptables -t mangle -F

iptables -t mangle -X

iptables -P INPUT ACCEPT

iptables -P OUTPUT ACCEPT

iptables -P FORWARD ACCEPT





modprobe iptable_nat

echo "1" > /proc/sys/net/ipv4/ip_forward

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE



iptables -N FACEBOOK

iptables -I FORWARD -s $REDE_INTERNA -j FACEBOOK

for face in `cat /root/list.txt`;do



 

#LIBERANDO FACEBOOK PARA ALGUMAS MASQUINAS POR MAC NA REDE

iptables -A FACEBOOK -d $face -j REJECT

iptables -I FORWARD -m mac --mac-source 00:26:18:F7:84:E0 -d $face -j ACCEPT



done



iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

espero que ajude

32. RESOLVIDO

Enviado em 12/04/2013 - 17:45h

Passei exatamente por isso, o que me ajudou foi:

http://www.vivaolinux.com.br/dica/Bloquear-Facebook-HTTPS-liberando-apenas-alguns-usuarios

Espero que te ajude também.

Abs

Alex

Iptables + facebook

Responder tópico