Iptables não resolve url's

daniel_4fun
(usa Debian)

Enviado em 16/03/2012 - 11:09h

Bom dia galera do VOL.
tenho um servidoor rodando Iptables+Squid+Dhcp+Bind9+Samba, meu problema é no iptables, tenho a seguinte regra,

# Liberando Sites Seguros
for https in `cat /etc/squid/libera_seguros`
do
$IPT -A OUTPUT -d $https -p tcp --dport 443 -j ACCEPT
$IPT -A FORWARD -d $https -p tcp --dport 443 -j ACCEPT
$IPT -A INPUT -s $https -p tcp --dport 443 -j ACCEPT;
done

#
dentro do arquivo mencionado, tenho uma lista com Ips do sites de desejo liberar o acesso, pois logo em seguida tenho esta regra abaixo:

# HTTPS Negando Protocolo de Transferencia de Hypertext Seguro
$IPT -A FORWARD -o $INET -p tcp --dport 443 -j REJECT

##
o iptables nao consegue resolver se eu colocar la no arquivo por exemplo:

login.live.com

apresenta o seguinte erro:

iptables v1.4.2: host/network `login.com.br' not found
...

alguem tem uma dica ?
Obrigado desde já!

renato_pacheco
(usa Debian)

Enviado em 16/03/2012 - 11:17h

Vc tem q usar o squid pra isso (é mais apropriado), pois, nativamente, o iptables não consegue bloquear a conexão via string. É possível fazer com q o iptables aceite isso (via match string), mas, como disse, não é apropriado. O gerenciamento via iptables é ruim, pois não foi feito para ser modificado com frequência.

saitam
(usa Slackware)

Enviado em 16/03/2012 - 11:40h

Exatamente como o colega Renato comentou acima, deve utilizar o Squid para restringir acessos os sites indesejados.

E outra para complementar, jamais libere as portas 80 e 443 no FORWARD e sim no OUTPUT, ou seja, as regras iptables do script deve ser iniciadas tudo DROP em INPUT, OUTPUT, FORWARD, e liberas apenas os serviços necessários para sua rede.

NÃO é recomendado também ter o serviço Samba no mesmo servidor gateway(fw+proxy).

daniel_4fun
(usa Debian)

Enviado em 16/03/2012 - 13:15h

Ok, mas até onde eu sei, o squid nao trabalha na porta 443, meus bloqueios comuns (http) são feitos no squid, exceto os flamingerados "https", só consigo fazer no fw, outra, se eu fizer o samba em uma maquina separada, vou ter que liberar as portas la fw ainda assim?
Obrg!

renato_pacheco
(usa Debian)

Enviado em 16/03/2012 - 13:43h

Vc está redondamente enganado. O squid trabalha, sim, com outras portas. A diferença está no tipo d emprego do proxy (autenticado ou transparente). Se for transparente, ae sim, vc tem razão, pois há o redirecionamento da porta 80 pro squid. Quando é autenticado, todas as portas q o aplicativo utilizar, o squid irá pegar (navegador utiliza porta 80, 443, 21 etc.).

daniel_4fun
(usa Debian)

Enviado em 16/03/2012 - 13:50h

Entendo Renato, mas uso ele de forma transparente, antes de usar o debian como servidor, cheguei a utilizar o Fedora 15, e o iptables respondia as url's perfeitamente, não sei o que pode ser, talvez a versão do iptables?

renato_pacheco
(usa Debian)

Enviado em 16/03/2012 - 13:51h

Provavelmente. Tente usar a match string (-m --string) q pode funcionar. Olhe mais no manual do iptables...

daniel_4fun
(usa Debian)

Enviado em 16/03/2012 - 13:59h

como eu deveria implementar na regra?

# Liberando Sites Seguros
for https in `cat /etc/squid/libera_seguros`
do
$IPT -A OUTPUT -d $https -p tcp --dport 443 -j ACCEPT
$IPT -A FORWARD -d $https -p tcp --dport 443 -j ACCEPT
$IPT -A INPUT -s $https -p tcp --dport 443 -j ACCEPT;
done

renato_pacheco
(usa Debian)

Enviado em 16/03/2012 - 14:02h

Libere dessa forma:

# Liberando Sites Seguros

for https in `cat /etc/squid/libera_seguros`

do

$IPT -A OUTPUT -m string --string $https -p tcp --dport 443 -j ACCEPT

$IPT -A INPUT -m string --string $https -p tcp --dport 443 -j ACCEPT

$IPT -A FORWARD -m string --string $https -p tcp --dport 443 -j ACCEPT

done

 

saitam
(usa Slackware)

Enviado em 16/03/2012 - 14:07h

IPT -A FORWARD -m string --string $https -p tcp --dport 443 -j ACCEPT

Eu não libero porta 443 no FORWARD.

Dessa forma, os clientes irão acessar https://facebook.com de boa!

Como fazer ?
Configurar proxy autenticado no Squid e iniciar as chains INPUT,OUTPUT,FORWARD em DROP, e liberando apenas os serviços necessários, jamais liberar porta 80 e 443 no FORWARD, pois o Ultrasuf e TOR utilizam essas portas...

daniel_4fun
(usa Debian)

Enviado em 16/03/2012 - 14:13h

Mas não acontece isso saitam, pois essa regra só esta valendo para os ips que eu colocar no arquivo citado, sites de banco e etc,qualquer ip que nao estiver na lista será negado, assim também tenho uma regra similar para a porta 80, antes da regra que joga todo o trafego da mesma para a porta 3128, assim posso liberar por ex conectividade social.

daniel_4fun
(usa Debian)

Enviado em 16/03/2012 - 15:02h

Try `iptables -h' or 'iptables --help' for more information.
iptables v1.4.2: STRING match: You must specify `--algo'
Try `iptables -h' or 'iptables --help' for more information.
iptables v1.4.2: STRING match: You must specify `--algo'
Try `iptables -h' or 'iptables --help' for more information.
iptables v1.4.2: STRING match: You must specify `--algo'
Try `iptables -h' or 'iptables --help' for more information.

apresentou esse erro =/