BFW Firewall & Router

[mag]

Ola,

Estou com uma falha no meu BFW 2.32 para esses sites HTTPS.

Percebi que é fácil burlar o servidor BrazilFw, estou usando a versão 2.32 com squid, porém quando o pessoal digita https://facebook.com ou https://twitter.com
o acesso é feito sem problemas como se não existisse Linux.
Pesquisei no fórum encontrei algumas dicas para bloquear o acesso o autor deu como resolvido porém aqui não funcionou:

http://www.brazilfw.com.br/forum/viewtopic.php?f=10&t=82646

Olhando as dicas desse tópico acima usei em regras personalisadas do firewall o seguinte:

#Bloqueia Facebook para rede inteira HTTPS
iptables -A FORWARD -p tcp -s 192.168.xxx.0/24 -d 66.220.144.0/20 --dport 443 -j REJECT
iptables -A FORWARD -p udp -s 192.168.xxx.0/24 -d 66.220.144.0/20 --dport 443 -j REJECT

e ainda continua acessando o facebook.
No topico o autor pede para usar o comando "dig twitter.com", tentei usar com o twitter ou com o facebook (dig facebook.com),
parece que não existe esse comando no BFW 2.32, onde acho algum addon para instalar esse comando ?
Os ip's do https://facebook.com 66.220.144.0/20 deve ter mudado para outro ip, mas como não consegui usar esse comando dig não sei, existe algum outro comando que faça a mesma pesquisa de ip ?

Eu gostaria de saber se tem como bloquear o HTTPS desses sites facebook ou twitter, ou qualquer outro, mesmo que seja na unha, um por um, isso não é problema, só é mais trabalho.
O importante é funcionar, porque senão funcionar aqui vai ficar complicado.

Agradeço desde já a ajuda de todos.

[acel.goncalves]

bom dia cara, é a primeira vez que que respondo alguem aqui no forun então so vou te fazer uma observação.
vou colocar 3 xxx onde vc pode não ter reparado, pois tenho a msm versão do bfw e aqui comigo funcionou perfeito. pois as vezes isso acontece comigo acabo não adeqaundo as regras do ip para minha rede ai não funciona o bloqueio ...rsrs!
#Bloqueia Facebook para rede inteira HTTPS
iptables -A FORWARD -p tcp -s 192.168.xxx.0/24 -d 66.220.144.0/20 --dport 443 -j REJECT
iptables -A FORWARD -p udp -s 192.168.xxx.0/24 -d 66.220.144.0/20 --dport 443 -j REJECT

espero ter ajudado

[mag]

Entao acel.conçalves,

eu até já corrigi o que eu tinha escrito no tópico, coloquei o xxx que você disse.
Mas eu tenho que colocar o xxx nas configurações do BFW para funcionar ? certeza ?

então ficaria assim:

#Bloqueia Facebook para rede inteira HTTPS
iptables -A FORWARD -p tcp -s 192.168.xxx.0/24 -d 66.220.144.0/20 --dport 443 -j REJECT
iptables -A FORWARD -p udp -s 192.168.xxx.0/24 -d 66.220.144.0/20 --dport 443 -j REJECT

é isso ?

porque to achando estranho eu colocar no BFW dessa forma.

[brluiz]

Mag Boa noite!

Vou tentar de ajudar, sou novo por aqui mas resolvi este problema da seguinte maneira!

1º Criei um arquivo contendo os ips do facebook
2º Crie e salve um script exemplo: facebook.sh e adicione as seguintes regras:

for end in `cat /etc/squid/facebook`
do
iptables -A OUTPUT -d $end -p tcp --dport 443 -j REJECT
iptables -A OUTPUT -d $end -p tcp --dport 445 -j REJECT
iptables -A FORWARD -d $end -p tcp --dport 443 -j REJECT
iptables -A FORWARD -d $end -p tcp --dport 445 -j REJECT
iptables -A INPUT -s $end -p tcp --dport 443 -j DROP
iptables -A INPUT -s $end -p tcp --dport 445 -j DROP
done

3º Executar o script pelo comando: sh /etc/squid/facebook.sh

OBS: Após algum tempo, pode ser que consiga abrir a página inicial, mas, ao logar já cai a conexão do usuário na hora.

Espero ter ajudado.

[acel.goncalves]

Bom dia a todos
Nas configuração simplificada de firewall,edit regras personalizadas eu coloquei isso, +ou- resolveu, o problema que o facebook usa um monte de ip, até eu descobrir todos vai demorar, gostaria de uma solução mais eficas, se vcs puderem me ajudar com uma solução mais simples eu vou agradece muito...

#Bloqueia Facebook para rede inteira HTTPS
iptables -A FORWARD -p udp -s 192.168.254.0/24 -d 66.220.144.0/20 --dport 443 -j REJECT
iptables -A FORWARD -p udp -s 192.168.254.0/24 -d 66.220.158.0/20 --dport 443 -j REJECT
iptables -A FORWARD -p udp -s 192.168.254.0/24 -d 69.171.229.0/20 --dport 443 -j REJECT
iptables -A FORWARD -p tcp -s 192.168.254.0/24 -d 66.220.144.0/20 --dport 443 -j REJECT
iptables -A FORWARD -p tcp -s 192.168.254.0/24 -d 66.220.158.0/20 --dport 443 -j REJECT
iptables -A FORWARD -p tcp -s 192.168.254.0/24 -d 69.171.229.0/20 --dport 443 -j REJECT
iptables -A FORWARD -p tcp -s 192.168.254.0/24 -d 69.63.189.0/20 --dport 443 -j REJECT

ou se tiver uma maneira que o https:// passace pelo squid seria muito bom, pq não preciso bloquiar pelo firewall e sim pelo squid.

[brluiz]

Acel, bom dia
Vou tentar de ajudar, sou novo por aqui mas resolvi este problema da seguinte maneira!
1º Criei um arquivo contendo os ips do facebook e adicione estes Ips

Código: Selecionar todos

]66.220.158.11
66.220.153.15
66.220.158.18
69.171.242.11
69.171.242.12
69.171.242.14
69.171.242.40
69.63.176.13
69.63.181.12
69.63.181.15
69.63.184.142
69.63.187.17
69.63.187.18
69.63.187.19
69.63.189.39
69.63.189.11
69.63.189.34
69.63.190.18
74.119.76.0/22
69.63.184.0/21
69.63.176.0/21
69.171.255.0/24
69.171.240.0/20
69.171.239.0/24
69.171.224.0/20
66.220.159.0/24
66.220.152.0/24
66.220.144.0/21
204.15.20.0/22

- Salve este aquivo em por exemplo /etc/squid

2º Crie e salve um script exemplo: em /etc/squid/facebook.sh e adicione as seguintes regras:

Código: Selecionar todos

for end in `cat /etc/squid/facebook`
do
iptables -A OUTPUT -d $end -p tcp --dport 443 -j REJECT
iptables -A OUTPUT -d $end -p tcp --dport 445 -j REJECT
iptables -A FORWARD -d $end -p tcp --dport 443 -j REJECT
iptables -A FORWARD -d $end -p tcp --dport 445 -j REJECT
iptables -A INPUT -s $end -p tcp --dport 443 -j DROP
iptables -A INPUT -s $end -p tcp --dport 445 -j DROP
done

3º Executar o script pelo comando: sh /etc/squid/facebook.sh

Você tem que adicionar a porta 445, pois também é uma porta segura.

O Squid, não filtra a porta 443 e 445, pois são portas seguras.

[Eduardo]

Luis,
Mas da uma editada nele usando a tag code ou files para ele ficar dentro das regras do fórum e mais claro e fácil de entender.

Grato.

[acel.goncalves]

boa noite brluiz, pelo que entendi eu crio o arquivo com o nome facebook com os ips que vc postou. Depois crio o aquivo facebook.sh e dou o camando via puty, acredito que deu certo, pois deu que a pagina não pode ser exibida do facebook.
um detalhe que o meu bfw é o 2.32.2. o caminho do meu squid é /usr/local/squid/etc, então tive que alterar o comando para o caminho certo e os aruivos tbm, fiz correto?
e se possivel minha regras de firewall estão corretas?

criei essa regra no firewall onde resolveu o meu problema de boquiar e desbloquiar o facebook.
#Bloqueia Facebook para rede inteira HTTPS
iptables -A FORWARD -p udp -s 192.168.254.0/24 -d 66.220.144.0/20 --dport 443 -j REJECT
iptables -A FORWARD -p udp -s 192.168.254.0/24 -d 66.220.158.0/20 --dport 443 -j REJECT
iptables -A FORWARD -p udp -s 192.168.254.0/24 -d 69.171.229.0/20 --dport 443 -j REJECT
iptables -A FORWARD -p tcp -s 192.168.254.0/24 -d 66.220.144.0/20 --dport 443 -j REJECT
iptables -A FORWARD -p tcp -s 192.168.254.0/24 -d 66.220.158.0/20 --dport 443 -j REJECT
iptables -A FORWARD -p tcp -s 192.168.254.0/24 -d 69.171.224.0/20 --dport 443 -j REJECT
iptables -A FORWARD -p tcp -s 192.168.254.0/24 -d 69.63.189.0/20 --dport 443 -j REJECT

#desbloquiar Facebook para ip especifico.
iptables -I FORWARD -s 192.168.254.131 -d 66.220.144.0/20 -j ACCEPT
iptables -I FORWARD -s 192.168.254.131 -d 66.220.158.0/20 -j ACCEPT
iptables -I FORWARD -s 192.168.254.131 -d 69.171.229.0/20 -j ACCEPT
iptables -I FORWARD -s 192.168.254.131 -d 66.220.144.0/20 -j ACCEPT
iptables -I FORWARD -s 192.168.254.131 -d 66.220.158.0/20 -j ACCEPT
iptables -I FORWARD -s 192.168.254.131 -d 69.171.224.0/20 -j ACCEPT
iptables -I FORWARD -s 192.168.254.131 -d 69.63.189.0/20 -j ACCEPT

se vc for adiministrador não consigo criar um topico estou com um problema que estou quebrando a cabeça pra resolve mais não é sobre squid e sim sobre loadbalance, se puder me ajuda a pode criar esse topico eu agradeço muito!
muito obrigado a todos que troca sabedorias dentro des escola de firewall.. rsrs

[Eduardo]

Acel, use a tag code por favor.