BFW Firewall & Router

[michelcoutinho]

Boa tarde Pessoal,

Sou novo no fórum e após pesquisar inúmeros tópicos não consegui fazer o que eu pretendia. Instalei o BFW 3.x hoje e configurei facilmente tudo o que precisava até bater de frente com os bloqueios de sites https como facebook e orkut. Já tenho experiência com iptables, porém como nunca trabalhei com BFW não sei onde ficam os arquivos de configuração para setar os bloqueios.

Aguardo a ajuda da comunidade.

Abraços,

Michel Coutinho.

[baiev]

1 - Crie um Arquivo firewall.sh no diretório : /partition/custom/ .
(Por que nesse diretorio?: Porque nesse diretório as permissões dadas com chmod não são perdidas após o reboot)

2 - Adicione no arquivo /etc/brazilfw/custom/rc.local o comando chamando o seu arquivo firewall.sh para coloca-lo na inicialização;

3 - Dentro do seu arquivo /partition/custom/firewall.sh coloque esse codigo abaixo:

Código: Selecionar todos

#!/bin/sh
#Zera a tabela FORWARD
iptables -F FORWARD

#Recoloca regras padões FORWARD do BrazilFW contidas no /etc/rc.d/rc.firewall
iptables -A FORWARD -j DROPDNS
iptables -A FORWARD -m state --state INVALID -j DROP
iptables -A FORWARD -m state --state established,related -j ACCEPT
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

#Adiciona as regras personalizadas dentro do arquivo coloque um abaixo do outro
sites_https=`cat /etc/brazilfw/custom/sites_https | xargs | sed 's/\ /,/g'`
pcs_restritos=`cat /etc/brazilfw/custom/pcs_restritos | xargs | sed 's/\ /,/g'`
pcs_bloqueados=`cat /etc/brazilfw/custom/pcs_bloqueados | xargs | sed 's/\ /,/g'`

iptables -I FORWARD -s $pcs_restritos  -d $sites_https -j DROP
iptables -I FORWARD -s $pcs_bloqueados -j DROP

#Aqui você faz um bloqueio mais eficiente por string
iptables -I FORWARD -s $pcs_restritos -m string --algo bm --string "youtube.com" -j DROP
iptables -I FORWARD -s $pcs_restritos -m string --algo kmp --string "facebook.com" -j DROP
iptables -I FORWARD -s $pcs_restritos -m string --algo bm --string "twitter.com" -j DROP
iptables -I FORWARD -s $pcs_restritos -m string --algo bm --string "plus.google.com" -j DROP
iptables -I FORWARD -s $pcs_restritos -m string --algo bm --string "sexlog.com.br" -j DROP
#Esse ULOG não consegui usar
#iptables -A FORWARD -j ULOG --ulog-prefix "FORWARD BLOCK:"


4 - Crie um arquivo /etc/brazilfw/custom/sites_https dentro dele coloque os sites da seguinte forma:
youtube.com
facebook.com
plus.google.com

5 - Crie um arquivo /etc/brazilfw/custom/pcs_restritos dentro dele coloque os micros que acessam a net exceto os https da seguinte forma:
192.168.0.10
192.168.0.11
192.168.0.12

6 - Crie um arquivo /etc/brazilfw/custom/pcs_bloqueados dentro dele coloque os micros que não pode acessar de forma alguma da seguinte forma:
192.168.0.20
192.168.0.21
192.168.0.22

7 - Adicione uma regra no crond para atualizar os sites https que fazem rotatividades de ips e dominio dentro do dominio

8 - Depois de um comando para visualizar como ficaram as regras:

Código: Selecionar todos

iptables -L FORWARD

Esse comando ( | xargs | sed 's/\ /,/g'` ) faz que o conteudo dos arquivos fiquem em linha separados por virgula:
pcs_bloqueados ficará assim: "192.168.0.20,192.168.0.21,192.168.0.22", Assim o iptables aceita receber o conteudo da variavel certinho...

Um abraço espero ter ajudado....
Pessoal fiz uma pequena correção nessa linha (iptables -I FORWARD -s $pcs_restritos -d $sites_https -j DROP) antes estava invertido o -s com -d...
Corrigido

[michelcoutinho]

Valeu meu camarada, vou testar aqui e posto o resultado em seguida.

Abraços!

[baiev]

Só preste atenção por que as regras por string não ativam de imediato pode levar alguns segundos pra regra efetivar ainda mais se o cara ja estiver logado no https em testes já vi levar uns 30 segundos...

[michelcoutinho]

Pode deixar. Vou fazer testes na minha própria máquina, limpando o cache para ter certeza. Assim que obtiver resultados te falo, só falta isso pro Firewall ficar completo.

[baiev]

Acressente esse regra para dar uma melhorada:

Código: Selecionar todos

iptables -I FORWARD -s $pcs_restritos -m string --algo bm --string "akamaihd.com" -j DROP


Percebi que tudo que se faz dentro do facebook tem uma chamada pra esse Dominio, como o bloqueio por string consulta a palavra dentro do pacote assim com essa regra o firewall bloqueu bem mais rapido, já que o dominio facebook.com é acessado bem menos vezes que o dominio akamaihd.com que esta em todos os links dentro do facebook...

[jgama]

Não encontrei a pasta /partition/custom/ na versão 3.0.258.
Tenho que cria-la?

Abraço

[baiev]

Ela não existe mesmo, você tem que cria-la, com este comando:

Código: Selecionar todos

[brazilfw]/partition# mkdir custom


[pingeric]

No meu servidor não tem a pasta "custom" no diretório /partition, devo cria-la?

[baiev]

Ela não existe mesmo, você tem que cria-la, com este comando:

Código: Selecionar todos

[brazilfw]/partition# mkdir custom


Sim você deve cria-la assim como citei no post anterior...

[pingeric]

Desculpe, não tinha atualizado a página quando você falou :p

Fiz tudo como foi descrito no tópico e funcionou beleza! Só que ele ainda loga na página principal, só que caí toda hora e fica barrado no outro bloqueio

[baiev]

Poderia descrever melhor? funcionou ou não funcionou?
Nem sempre ele barra de primeira(se quando o cliente faz um acesso não contiver a palavra barrada pela string dentro do pacote não vai barrar, somente quando contiver a palavra dentro do pacote que o iptables vai barrar

[baiev]

Pessoal fiz uma pequena correção nessa linha (iptables -I FORWARD -s $pcs_restritos -d $sites_https -j DROP) antes estava invertido o -s com -d ...
Corrigido...

[baiev]

Michel Coutinho,
Se o seu problema foi resolvido clique no BOTÃO resolvido...

[felipesquall]

Me Desculpem a ignorancia, mas sou extremamente novato no Linux.

Como devo proceder para inserir a regra no rc.local que chame meu arquivo criado na pasta custom?

Att,

Felipe

[baiev]

Dentro da pasta(diretorio) "/etc/brazilfw/custom/" tem o arquivo rc.local
Edita ele assim:

Código: Selecionar todos

[brazilfw]/etc/brazilfw/custom# edit rc.local


Dentro dele escreve assim

Código: Selecionar todos

/partition/custom/meufirewall.sh


meufirewall.sh é o nome do arquivo que você criou...

Manda bala ai...

[Lelouch]

Algum saibe o que aconteseou com um addon que ja fazia esto?, Entendo que estaba em testes, mas... foi descontinuado?

[GEFSANTANA]

Algum saibe o que aconteseou com um addon que ja fazia esto?, Entendo que estaba em testes, mas... foi descontinuado?

Não foi a testes, pois o desenvolvedor sumiu e não encaminhou ao coordenador dos beta-testers as informações requeridas para inicialização dos testes e nem publicou no fórum Non-Certified Addons. Corrijam-me caso esteja equivocado.

[gleyson]

Adicione no arquivo /etc/brazilfw/custom/rc.local o comando chamando o seu arquivo firewall.sh para coloca-lo na inicialização;

qual o comando que utilizo para executar essa inicializacao do firewall.sh ?

[baiev]

Dentro dele escreve assim

Código: Selecionar todos

/partition/custom/firewall.sh


meufirewall.sh é o nome do arquivo que você criou...
Manda bala ai...

Escreve dentro do arquivo do jeito que está ali em cima...

[baiev]

E ai consegui Gleyson?

[gleyson]

blza ..consegui...

regra funcionando a 100%

obrigado,.

[Eduardo]

blza ..consegui...

regra funcionando a 100%

Caro Gleyson, leia as regras do fórum e encerre seu tópico conforme elas.
Link na minha assinatura.