BFW Firewall & Router

[mormegil]

Boa tarde!

segui as regras do Tópico : http://www.brazilfw.com.br/forum/viewtopic.php?f=10&t=82646
Mas mesmo assim não consegui bloquear.

As minhas Regras no RC.Local ficaram assim;

Código: Selecionar todos


sr/bin/./redir.pl

#Regras para bloquear Facebook https.
iptables -A FORWARD -p tcp -s 10.8.0.0/24 -d 66.220.144.0/20 --dport 443 -j REJECT
iptables -A FORWARD -p udp -s 10.8.0.0/24 -d 66.220.144.0/20 --dport 443 -j REJECT

#Regras para bloquear Hotmail https.
iptables -A FORWARD -p tcp -s 10.8.0.0/24 -d 65.52.0.0/14 --dport 443 -j REJECT
iptables -A FORWARD -p udp -s 10.8.0.0/24 -d 65.52.0.0/14 --dport 443 -j REJECT

#Regras para bloquear Twitter.
iptables -A FORWARD -p tcp -s 10.8.0.0/24 -d 199.59.148.0/22 --dport 443 -j REJECT
iptables -A FORWARD -p udp -s 10.8.0.0/24 -d 199.59.148.0/22 --dport 443 -j REJECT



Alguém pode me ajudar? Uso o BrazilFW 3.0.256 com Bloqueios pelo Redirector.

[diegocavalcante]

Caro amigo mormegil aqui as regras estão funcionando perfeitamente, mais vamos fazer um estudo de caso, uso a mesma versão do BFW que vc, com base nas suas informações percebo que há algo errado na sua regra, no que se refere a sua faixa de IP e sub-rede, a minha rede é 192.168.0.0/24, sendo que vc descreve a sua como 10.8.0.0/24 sendo que o 24 creio que não se refere a sua sub-rede, creio que vc deveria trocar o 10.8.0.0/24 por 10.8.0.0/8 pois a sua mascara de sub-rede deve ser 255.0.0.0 ou poste a mascara de sub-rede da sua rede para que eu possa calcular corretamente. caso ache complicado tentar identificar a sua sub-rede, teste o bloqueio apenas para 1 IP (PC) da sua rede e veja como se sai.

EX: supondo que vc queira bloquear os acessos em uma unica maquina de IP 10.8.0.11

#Regras para bloquear Facebook https.
iptables -A FORWARD -p tcp -s 10.8.0.11 -d 66.220.144.0/20 --dport 443 -j REJECT
iptables -A FORWARD -p udp -s 10.8.0.11 -d 66.220.144.0/20 --dport 443 -j REJECT

#Regras para bloquear Hotmail https.
iptables -A FORWARD -p tcp -s 10.8.0.11 -d 65.52.0.0/14 --dport 443 -j REJECT
iptables -A FORWARD -p udp -s 10.8.0.11 -d 65.52.0.0/14 --dport 443 -j REJECT

#Regras para bloquear Twitter.
iptables -A FORWARD -p tcp -s 10.8.0.11 -d 199.59.148.0/22 --dport 443 -j REJECT
iptables -A FORWARD -p udp -s 10.8.0.11 -d 199.59.148.0/22 --dport 443 -j REJECT

Poste os resultados... OBS: lembre-se que após as alterações vc deve fazer o backup e reiniciar o BFW, abraço...

[mormegil]

Caro amigo mormegil aqui as regras estão funcionando perfeitamente, mais vamos fazer um estudo de caso, uso a mesma versão do BFW que vc, com base nas suas informações percebo que há algo errado na sua regra, no que se refere a sua faixa de IP e sub-rede, a minha rede é 192.168.0.0/24, sendo que vc descreve a sua como 10.8.0.0/24 sendo que o 24 creio que não se refere a sua sub-rede, creio que vc deveria trocar o 10.8.0.0/24 por 10.8.0.0/8 pois a sua mascara de sub-rede deve ser 255.0.0.0 ou poste a mascara de sub-rede da sua rede para que eu possa calcular corretamente. caso ache complicado tentar identificar a sua sub-rede, teste o bloqueio apenas para 1 IP (PC) da sua rede e veja como se sai.

Caro diegocavalcante obrigado pela resposta!
Minha mascara de rede é 255.255.255.0
Hoje vou testar a regra para uma só maquina, caso tenho exito fica pesado carregar uma regra para cada IP?

diegocavalcante Funcionou em um só IP. Você tem alguma dica do que podo estar impossibilitando o funcionamento para toda a rede?

[Thiago]

Faça o que o Diego disse; Mude a mascara para /8
DAe pega toda a rede 10.0.0.0
Ex:10.0.0.0/8

[diegocavalcante]

Opa mormegil, estamos em 50% do caminho desejado, respondendo as suas respostas:

1° O squid é bem rapido na hora de ler as regras de iptables então ele vai ler tranquilamente as regras caso vc crie uma para cada pc da rede, a não ser que vc tenha uns 1000, ai pode demorar uns instantes a mais kkk.

2° com a faixa de IP atual que vc tem, vc deveria estar utilizando a mascara padrão 255.0.0.0 pois 255.255.255.0 geralmente é utilizado em redes classe C ex: 192.168.0.0 ou 192.168.1.0 ou 192.168.254.0 e assim por diante, sua faixa de IP é de classe A, a mesma que utilizo em um cliente aqui. vou dar um exemplo do cliente.

EX: faixa de ip e subrede padrão

IP DA REDE: 10.1.1.0
MASC SUB REDE: 255.0.0.0

este aqui seria o padrão certo. então na regra de iptables eu só adiciono a regra assim 10.1.1.0/8 e bloqueia toda a rede, na sua regra troque apenas o /24 por /8, faça isso e veja como se sai, poste resultados. abraço...

[Thiago]

Uma dica pra todos que não sabem e leiam esse tópico.
Não é porque temos uma rede na faixa 10.0.0.0 que obrigatoriamente ela será classe A, muitas vezes nos perdemos ou nos confundimos sobre esse assunto. Na teoria aprendemos sim que As faixas são divididas em 3, A, B, C. Porém podemos ter uma rede 192.168.0.0/8 , esta seria Classe A e teríamos 16777214 host... a mesma coisa seria para 10.0.0.0/8 = 16777214.
Podemos ainda ter uma rede 172.16.0.0/24 que nos daria 254 host. Tudo depende na verdade é da Mascara aplicada, não da nomenclatura da rede em si. No caso acima descrito a forma melhor de se adequar seria usando mascara /8, apesar de ser uma rede bem grande e pouco empregada no dia a dia, ja que podemos ramificar entre varias redes e sub redes em classes diferentes, e quanto maior o numero de redes menor será o numero de host para cada...
Abraços,

[mormegil]

Uma dica pra todos que não sabem e leiam esse tópico.
Não é porque temos uma rede na faixa 10.0.0.0 que obrigatoriamente ela será classe A, muitas vezes nos perdemos ou nos confundimos sobre esse assunto. Na teoria aprendemos sim que As faixas são divididas em 3, A, B, C. Porém podemos ter uma rede 192.168.0.0/8 , esta seria Classe A e teríamos 16777214 host... a mesma coisa seria para 10.0.0.0/8 = 16777214.
Podemos ainda ter uma rede 172.16.0.0/24 que nos daria 254 host. Tudo depende na verdade é da Mascara aplicada, não da nomenclatura da rede em si. No caso acima descrito a forma melhor de se adequar seria usando mascara /8, apesar de ser uma rede bem grande e pouco empregada no dia a dia, ja que podemos ramificar entre varias redes e sub redes em classes diferentes, e quanto maior o numero de redes menor será o numero de host para cada...
Abraços,

Thiago pode ser isso mesmo, por que esta rede é ligada por rotas a outras 14 redes de outras filiais. Eu só conheço 8 destas em 5 tem servidores Brazilfw, mas não tenho acesso a estrutura real da Rede toda, tratando como uma só rede já que todas as maquina se enxergam.

[mormegil]

Bom dia!
Presado Thiago funcionou quase tudo usando a mascara que você propôs.

tem apenas um contra tempo quando o usuário manda recarregar varias vezes acaba abrindo o facebook, isso ocorre só com ele!

[mormegil]

Bom dia!
Presado Thiago funcionou quase tudo usando a mascara que você propôs.

tem apenas um contra tempo quando o usuário manda recarregar varias vezes acaba abrindo o facebook, isso ocorre só com ele!

Bom dia!

Esta feito, fiz o bloqueio era apenas o IP do Facebook que mudou por isso tinha o acesso.

Agora esta com a seguinte faixa:

Código: Selecionar todos

#Regras para bloquear Facebook https.
iptables -A FORWARD -p tcp -s 10.0.0.0/8 -d 69.171.224.0/19 --dport 443 -j REJECT
iptables -A FORWARD -p udp -s 10.0.0.0/8 -d 69.171.224.0/19 --dport 443 -j REJECT


Obrigado a todos!