BFW Firewall & Router

[cromatus]

Srs, eu peguei o seguinte scritp no forum:

Código: Selecionar todos

##############################
# HTTPS - Lista Branca
##############################
#Listagem dos HTTPS liberados para acesso
iptables -I FORWARD -p tcp --dport 443 -j DROP
for URL in `grep -v "^#" /etc/https.wl | grep -v "^$"`; do
  iptables -I FORWARD -p tcp --dport 443 -d $URL -j ACCEPT
done
##############################


E alterei para o seguinte caminho / arquivo:

Código: Selecionar todos

##############################
# HTTPS - Lista Branca
##############################
#Listagem dos HTTPS liberados para acesso
iptables -I FORWARD -p tcp --dport 443 -j DROP
for URL in `grep -v "^#" /etc/brazilfw/custom/https_liberados.txt | grep -v "^$"`; do
  iptables -I FORWARD -p tcp --dport 443 -d $URL -j ACCEPT
done
##############################


Bem, pelo que entendi esse script bloqueia todos os HTTPS liberando apenas os que estão em https_liberados.txt.......dentro do referido arquivo eu coloquei a exceção a regra da seguinte forma:

https://www.santandernet.com.br (não abre).

Mas infelizmente o script só funciona para bloquear todos os sites HTTPS, desconsiderando o que existe dentro do arquivo $URL.

Alguém poderia me ajudar informando onde está o erro.??....

Grato.

[andreluiz]

É mais confiável você colocar o bloco de ips do domínio. Você da um ping no site, pega o ip dele e consulta o CIDR em : www.lacnic.net (Brasil) ou www.arin.net/whois (Exterior).
No arquivo de lista branca você coloca desta forma: 200.220.176.0/20.

Código: Selecionar todos

inetnum:     200.220.176/20
aut-num:     AS28581
abuse-c:     LCP3
owner:       BANCO DO ESTADO DE SAO PAULO
ownerid:     061.411.633/0001-87
responsible: Responsável pela INTERNET BANESPA
country:     BR
owner-c:     LCP3
tech-c:      LCP3
inetrev:     200.220.187/24
nserver:     ns1.santander.com.br
nsstat:      20120502 AA
nslastaa:    20120502
nserver:     ns2.santander.com.br
nsstat:      20120502 NOT SYNC ZONE
nslastaa:    20120502
created:     20040804
changed:     20040804

Abaixo uma lista minha pronta:

Código: Selecionar todos

######### BANCOS #########
#BANCODOBRASIL
170.66.0.0/16
#BRADESCO
200.155.80.0/20
#ITAU
200.196.144.0/20
#CAIXA
200.201.160.0/20
#BANESTES
200.242.1.0/26
#HSBC
161.113.0.0/16


Obs: Com o Google é tenso, pois caso queira bloquear os serviços de chat dele tem que liberar ip por ip caso contrário o gmail para de funcionar...

[Lelouch]

Código: Selecionar todos

for URL in `grep -v "^#" /etc/brazilfw/custom/https_liberados.txt | grep -v "^$"`; do
    iptables -I FORWARD -p tcp --dport 443 -d $URL -j ACCEPT
done
iptables -I FORWARD -p tcp --dport 443 -j DROP

Sempre primeiro as excepções apos bloquear todo

[Guilherme Pires]

Eu utilizo da mesma maneira que o andreluiz citou, mas caso queira colocar somente a url, evite colocar o https://www., por exemplo:
santandernet.com.br
Não testei usando a url, aconselho a citar a range de ip do site...

[brunovescovi]

Bom dia, pessoal.

Código: Selecionar todos

for URL in `grep -v "^#" /etc/brazilfw/custom/https_liberados.txt | grep -v "^$"`; do
    iptables -I FORWARD -p tcp --dport 443 -d $URL -j ACCEPT
done
iptables -I FORWARD -p tcp --dport 443 -j DROP

Sempre primeiro as excepções apos bloquear todo

Nesse caso não, Lelouch. Porque ele está usando -I e não -A.
O -I insere a regras antes de todas, e o -A adiciona no final.

Sendo assim, ele tem que inserir antes de tudo o bloqueio geral de porta 443, e depois coloca as exceções com o -I antes do bloqueio.
Se ele usasse o -A, aí sim seria como você observou: primeiro as exceções e depois de tudo o bloqueio.

Um abraço.

[Lelouch]

Nesse caso não, Lelouch. Porque ele está usando -I e não -A.
O -I insere a regras antes de todas, e o -A adiciona no final.

Obrigado Bruno, anoche no me fijé, tal vez fue constumbre kkkk. tampoco lei todo el post.

Código: Selecionar todos

for URL in `grep -v "^#" /etc/brazilfw/custom/https_liberados.txt | grep -v "^$"`; do
    iptables -A FORWARD -p tcp --dport 443 -d $URL -j ACCEPT
done
iptables -A FORWARD -p tcp --dport 443 -j DROP

[Lelouch]

Eu utilizo da mesma maneira que o andreluiz citou, mas caso queira colocar somente a url, evite colocar o https://www., por exemplo:
santandernet.com.br
Não testei usando a url, aconselho a citar a range de ip do site...

Concordo con Guilherme Pires, segun la MAN de iptables NO es buena diea usar urls, siempre es mejor usar IPs.

...specifying any name to be resolved with a remote query such as DNS is a really bad idea.