Bloquear ip de site https

klscosta
(usa Ubuntu)

Enviado em 10/01/2011 - 11:20h

bom dia, sou iniciante no linux e estou trabalhando com o ipcop V.1.4.21. Trabalho em uma rede com 33 computadores onde há bloqueio parcial, não total, estou con dificuldades para bloquear alguns sites onde suas urls contém "https", e não posso bloquear a porta 443 devido alguns acessos necessários, sendo assim com o proxy transparente o site não é filtarado e bloqueado pelo firewall, fiquei sabendo que a melhor opção seria fazer o bloqueio por IPTABLES via shell, mas não sei como realizar estes procedimentos. Se possível alguem me ajudar com um tuto sobre o assunto ficarei mutio agradecido.

alan-souza
(usa Slackware)

Enviado em 10/01/2011 - 12:40h

Tente isto aqui amigo:
http://tinyurl.com/28rossa

klscosta
(usa Ubuntu)

Enviado em 10/01/2011 - 12:59h

não deu certo para oq eu preciso fazer...
mensagem
""root@fwasipag:/sbin # iptables -A FORWARD -d imo.im -p tcp --drop 443 -j DROP
iptables v1.3.5: Unknown arg `--drop'
Try `iptables -h' or 'iptables --help' for more information.""

ainda não consegui resolver o problema.

klscosta
(usa Ubuntu)

Enviado em 10/01/2011 - 13:01h

Estou precisando bloquear este ip (64.13.161.61) atravez do iptables, se alguem puder me ajudar ficarei muito grato.

alan-souza
(usa Slackware)

Enviado em 10/01/2011 - 13:15h

Se for só para bloquear:
iptables -A FORWARD -s (IP) -j DROP

alan-souza
(usa Slackware)

Enviado em 10/01/2011 - 13:18h

Outra coisa:

iptables -A FORWARD -d imo.im -p tcp --drop 443 -j DROP

Você colocou --drop não seria --dport?

davirodrigues
(usa Debian)

Enviado em 10/01/2011 - 14:12h

klscosta, repare que na linha de comando que você utilizou a palavra esta errada, "drop", quando teria que ser "dport", ficaria como no exemplo asseguir:
iptables -A FORWARD -d imo.im -s 0/0 -p tcp --dport 443 -j DROP
iptables -A FORWARD -s imo.im -d 0/0 -p tcp --sport 443 -j DROP

Opção 01: Pelo que eu entendi o seu iptables esta como de "fábrica", ou seja vc nunca mexeu então a política de segurança deve estar ACCEPT para o FORWARD, as regras acima com certeza irão funcionar, a menos que tenha outra regra que faço a liberação, resumindo ponha as suas regras aqui para analizarmos.

Opção 02: Colocar a politica de segurança do teu "IPTABLES" para DROP, se não tiver então não vai funcionar, para definir a política como DROP segue o comando: "iptables -P FORWARD DROP". Outro detalhe, essa política bloqueia tudo que passa pelo seu gateway, então tem que ver qual regra ja existe no seu iptables, se não vai bloquear a rede interna, daí você vai adicionando as regras de liberação, gradativamente, na minha opnião é a melhor solução mais tome cuidado.

klscosta
(usa Ubuntu)

Enviado em 11/01/2011 - 10:32h

Bom dia...
Agradeço pelas dicas, realizei os procedimentos indicados as linhas de comando foram válidas porém não eficaz. Ainda não consegui bloquear o site "https://imo.im" devido a política do firewall liberal todos os acessos "https" pela porta 443. Tentei as linhas de comando tanto pela url quanto pelo ip do site e nenhum resultado positivo. Solicito ajuda para a solução do problema. Obrigado!!!!

klscosta
(usa Ubuntu)

Enviado em 11/01/2011 - 10:34h

davirodrigues
Por qual linha de comando identifico as regras para poder enviá-las pra vcs......Desde já agradeço.

davirodrigues
(usa Debian)

Enviado em 11/01/2011 - 14:43h

Faz o seguinte, digital no terminal assim:

#iptables -L -nv

Daí vc nos manda o resultado

# depois vc digita assim:

#iptables -L -t nat -nv

E posta tbm o resultado

klscosta
(usa Ubuntu)

Enviado em 12/01/2011 - 13:02h

#iptables -L -nv
Chain BADTCP (2 references)
pkts bytes target prot opt in out source destination
0 0 PSCAN tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x3F/0x29
0 0 PSCAN tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x3F/0x00
0 0 PSCAN tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x3F/0x01
0 0 PSCAN tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x06
0 0 PSCAN tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x03/0x03
2437 1026K NEWNOTSYN tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:!0x17/0x02 state NEW

Chain BOT_FORWARD (1 references)
pkts bytes target prot opt in out source destination

Chain BOT_INPUT (1 references)
pkts bytes target prot opt in out source destination

Chain CUSTOMFORWARD (1 references)
pkts bytes target prot opt in out source destination
695K 221M BOT_FORWARD all -- * * 0.0.0.0/0 0.0.0.0/0

Chain CUSTOMINPUT (1 references)
pkts bytes target prot opt in out source destination
5214K 3703M BOT_INPUT all -- * * 0.0.0.0/0 0.0.0.0/0

Chain CUSTOMOUTPUT (1 references)
pkts bytes target prot opt in out source destination

Chain DHCPBLUEINPUT (1 references)
pkts bytes target prot opt in out source destination

Chain DMZHOLES (0 references)
pkts bytes target prot opt in out source destination

Chain GUIINPUT (1 references)
pkts bytes target prot opt in out source destination
38 1254 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 8

Chain INPUT (policy DROP 833 packets, 61638 bytes)
pkts bytes target prot opt in out source destination
5216K 3704M ipac~o all -- * * 0.0.0.0/0 0.0.0.0/0
5216K 3704M BADTCP all -- * * 0.0.0.0/0 0.0.0.0/0
5214K 3703M CUSTOMINPUT all -- * * 0.0.0.0/0 0.0.0.0/0
5214K 3703M GUIINPUT all -- * * 0.0.0.0/0 0.0.0.0/0
4983K 3687M ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
231K 16M IPSECVIRTUAL all -- * * 0.0.0.0/0 0.0.0.0/0
231K 16M OPENSSLVIRTUAL all -- * * 0.0.0.0/0 0.0.0.0/0
18872 842K ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0 state NEW
0 0 DROP all -- * * 127.0.0.0/8 0.0.0.0/0 state NEW
0 0 DROP all -- * * 0.0.0.0/0 127.0.0.0/8 state NEW
211K 15M ACCEPT !icmp -- eth0 * 0.0.0.0/0 0.0.0.0/0 state NEW
833 61638 DHCPBLUEINPUT all -- * * 0.0.0.0/0 0.0.0.0/0
833 61638 IPSECPHYSICAL all -- * * 0.0.0.0/0 0.0.0.0/0
833 61638 OPENSSLPHYSICAL all -- * * 0.0.0.0/0 0.0.0.0/0
833 61638 WIRELESSINPUT all -- * * 0.0.0.0/0 0.0.0.0/0 state NEW
833 61638 REDINPUT all -- * * 0.0.0.0/0 0.0.0.0/0
833 61638 XTACCESS all -- * * 0.0.0.0/0 0.0.0.0/0 state NEW
677 50131 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 10/min burst 5 LOG flags 0 level 4 prefix `INPUT '

Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
696K 221M ipac~fi all -- * * 0.0.0.0/0 0.0.0.0/0
696K 221M ipac~fo all -- * * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT tcp -- * * 10.70.2.0/24 200.201.0.0/16 tcp spts:1024:65535
561 130K ACCEPT all -- * * 10.1.1.238 0.0.0.0/0
0 0 ACCEPT all -- * * 10.1.1.238 10.70.2.0/24
0 0 ACCEPT tcp -- * * 10.70.2.0/24 200.201.0.0/16 tcp spts:1024:65535
0 0 ACCEPT all -- * * 10.1.1.238 0.0.0.0/0
0 0 ACCEPT all -- * * 10.1.1.238 10.70.2.0/24
695K 221M BADTCP all -- * * 0.0.0.0/0 0.0.0.0/0
82972 3982K TCPMSS tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x02 TCPMSS clamp to PMTU
695K 221M CUSTOMFORWARD all -- * * 0.0.0.0/0 0.0.0.0/0
432K 203M ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
263K 19M IPSECVIRTUAL all -- * * 0.0.0.0/0 0.0.0.0/0
263K 19M OPENSSLVIRTUAL all -- * * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0 state NEW
0 0 DROP all -- * * 127.0.0.0/8 0.0.0.0/0 state NEW
0 0 DROP all -- * * 0.0.0.0/0 127.0.0.0/8 state NEW
263K 19M ACCEPT all -- eth0 * 0.0.0.0/0 0.0.0.0/0 state NEW
13 624 WIRELESSFORWARD all -- * * 0.0.0.0/0 0.0.0.0/0 state NEW
13 624 REDFORWARD all -- * * 0.0.0.0/0 0.0.0.0/0
13 624 PORTFWACCESS all -- * * 0.0.0.0/0 0.0.0.0/0 state NEW
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 10/min burst 5 LOG flags 0 level 4 prefix `OUTPUT '
0 0 DROP all -- * * 64.13.161.61 0.0.0.0/0
0 0 DROP tcp -- * * 0.0.0.0/0 64.13.161.61 tcp dpt:443
0 0 DROP tcp -- * * 64.13.161.61 0.0.0.0/0 tcp dpt:443
0 0 DROP tcp -- * * 0.0.0.0/0 64.13.161.61 tcp dpt:443
0 0 DROP tcp -- * * 64.13.161.61 0.0.0.0/0 tcp dpt:443

Chain IPSECPHYSICAL (1 references)
pkts bytes target prot opt in out source destination

Chain IPSECVIRTUAL (2 references)
pkts bytes target prot opt in out source destination

Chain LOG_DROP (0 references)
pkts bytes target prot opt in out source destination
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 10/min burst 5 LOG flags 0 level 4
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0

Chain LOG_REJECT (0 references)
pkts bytes target prot opt in out source destination
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 10/min burst 5 LOG flags 0 level 4
0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable

Chain NEWNOTSYN (1 references)
pkts bytes target prot opt in out source destination
2279 991K LOG all -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 10/min burst 5 LOG flags 0 level 4 prefix `NEW not SYN? '
2437 1026K DROP all -- * * 0.0.0.0/0 0.0.0.0/0

Chain OPENSSLPHYSICAL (1 references)
pkts bytes target prot opt in out source destination

Chain OPENSSLVIRTUAL (2 references)
pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 6142K packets, 3693M bytes)
pkts bytes target prot opt in out source destination
6142K 3693M ipac~i all -- * * 0.0.0.0/0 0.0.0.0/0
6142K 3693M CUSTOMOUTPUT all -- * * 0.0.0.0/0 0.0.0.0/0

Chain PORTFWACCESS (1 references)
pkts bytes target prot opt in out source destination
5 240 ACCEPT tcp -- eth1 * 0.0.0.0/0 10.70.2.252 tcp dpt:515
8 384 ACCEPT tcp -- eth1 * 0.0.0.0/0 10.70.2.247 tcp dpt:515

Chain PSCAN (5 references)
pkts bytes target prot opt in out source destination
0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 10/min burst 5 LOG flags 0 level 4 prefix `TCP Scan? '
0 0 LOG udp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 10/min burst 5 LOG flags 0 level 4 prefix `UDP Scan? '
0 0 LOG icmp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 10/min burst 5 LOG flags 0 level 4 prefix `ICMP Scan? '
0 0 LOG all -f * * 0.0.0.0/0 0.0.0.0/0 limit: avg 10/min burst 5 LOG flags 0 level 4 prefix `FRAG Scan? '
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0

Chain REDFORWARD (1 references)
pkts bytes target prot opt in out source destination

Chain REDINPUT (1 references)
pkts bytes target prot opt in out source destination

Chain WIRELESSFORWARD (1 references)
pkts bytes target prot opt in out source destination

Chain WIRELESSINPUT (1 references)
pkts bytes target prot opt in out source destination

Chain XTACCESS (1 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT tcp -- eth1 * 0.0.0.0/0 10.70.1.2 tcp dpt:113
0 0 ACCEPT tcp -- eth1 * 10.1.4.0/24 10.70.1.2 tcp dpt:222
0 0 ACCEPT tcp -- eth1 * 10.1.4.0/24 10.70.1.2 tcp dpt:445
0 0 ACCEPT tcp -- eth1 * 10.70.2.14 10.70.1.2 tcp dpt:139

Chain ipac~fi (1 references)
pkts bytes target prot opt in out source destination
29 4106 all -- eth0 * 0.0.0.0/0 0.0.0.0/0
24 16753 all -- eth1 * 0.0.0.0/0 0.0.0.0/0

Chain ipac~fo (1 references)
pkts bytes target prot opt in out source destination
24 16753 all -- * eth0 0.0.0.0/0 0.0.0.0/0
29 4106 all -- * eth1 0.0.0.0/0 0.0.0.0/0

Chain ipac~i (1 references)
pkts bytes target prot opt in out source destination
88 125K all -- * eth0 0.0.0.0/0 0.0.0.0/0
63 2520 all -- * eth1 0.0.0.0/0 0.0.0.0/0

Chain ipac~o (1 references)
pkts bytes target prot opt in out source destination
53 2262 all -- eth0 * 0.0.0.0/0 0.0.0.0/0
94 137K all -- eth1 * 0.0.0.0/0 0.0.0.0/0

klscosta
(usa Ubuntu)

Enviado em 12/01/2011 - 13:04h

iptables -L -t nat -nv
Chain PREROUTING (policy ACCEPT 168K packets, 13M bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT tcp -- * * 10.70.2.0/24 200.201.0.0/16 tcp spts:1024:65535 dpt:80
181 8664 ACCEPT all -- * * 0.0.0.0/0 10.1.1.238
0 0 ACCEPT all -- * * 10.1.1.238 0.0.0.0/0
0 0 ACCEPT tcp -- * * 10.70.2.0/24 200.201.0.0/16 tcp spts:1024:65535 dpt:80
0 0 ACCEPT all -- * * 0.0.0.0/0 10.1.1.238
0 0 ACCEPT all -- * * 10.1.1.238 0.0.0.0/0
274K 19M CUSTOMPREROUTING all -- * * 0.0.0.0/0 0.0.0.0/0
274K 19M SQUID all -- * * 0.0.0.0/0 0.0.0.0/0
168K 13M PORTFW all -- * * 0.0.0.0/0 0.0.0.0/0

Chain POSTROUTING (policy ACCEPT 19326 packets, 936K bytes)
pkts bytes target prot opt in out source destination
313K 18M CUSTOMPOSTROUTING all -- * * 0.0.0.0/0 0.0.0.0/0
313K 18M REDNAT all -- * * 0.0.0.0/0 0.0.0.0/0
0 0 SNAT all -- * * 0.0.0.0/0 0.0.0.0/0 MARK match 0x1 to:10.70.2.1

Chain OUTPUT (policy ACCEPT 162K packets, 7853K bytes)
pkts bytes target prot opt in out source destination

Chain CUSTOMPOSTROUTING (1 references)
pkts bytes target prot opt in out source destination

Chain CUSTOMPREROUTING (1 references)
pkts bytes target prot opt in out source destination

Chain PORTFW (1 references)
pkts bytes target prot opt in out source destination
5 240 DNAT tcp -- * * 0.0.0.0/0 10.70.1.59 tcp dpt:515 to:10.70.2.252:515
8 384 DNAT tcp -- * * 0.0.0.0/0 10.70.1.232 tcp dpt:515 to:10.70.2.247:515

Chain REDNAT (1 references)
pkts bytes target prot opt in out source destination
294K 17M MASQUERADE all -- * eth1 0.0.0.0/0 0.0.0.0/0

Chain SQUID (1 references)
pkts bytes target prot opt in out source destination
0 0 RETURN tcp -- eth0 * 0.0.0.0/0 10.70.1.0/24 tcp dpt:80
43076 2088K REDIRECT tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 redir ports 800