BFW Firewall & Router

[fabionoiola]

Bom dia Pessoal...

Estou com o seguinte problema, estou fazendo o bloqueio do facebook e do hotmail via iptables e está funcionando corretamente e todos os navegadores exceto no Internet Explorer

No Google Chrome e no Firefox essas regras funcionam que é uma beleza, mais algum funcionario descobriu que no internet explorer não bloqueia..

iptables -I FORWARD -s 192.168.0.50 -m string --algo bm --string "akamaihd.com" -j DROP
iptables -I FORWARD -s 192.168.0.62 -m string --algo bm --string "akamaihd.com" -j DROP
##Regras Facebook HTTPS (443)
iptables -t mangle -A PREROUTING -s 192.168.0.3 -p tcp -m string --algo kmp --string "facebook.com" -j DROP
iptables -t mangle -A PREROUTING -s 192.168.0.4 -p tcp -m string --algo kmp --string "facebook.com" -j DROP

o que tem de errado em minha regra???

Abraços.

[carlos_silvasantos]

Bom dia,

Tenta esta:

Código: Selecionar todos

iptables -I FORWARD -m string --algo bm --string "facebook.com" -j DROP
iptables -I OUTPUT -m string --algo bm --string "facebook.com" -j DROP

Quero ver ele acessar!

Limpa o cache do navegador, não esquece!

Att

[fabionoiola]

Bom dia,

Tenta esta:

Código: Selecionar todos

iptables -I FORWARD -m string --algo bm --string "facebook.com" -j DROP
iptables -I OUTPUT -m string --algo bm --string "facebook.com" -j DROP

Quero ver ele acessar!

Limpa o cache do navegador, não esquece!

Att

Boa Tarde Carlos...

a regra bloqueou tudo, ja resolve um parte dos meus problemas, agora veio outro..

não posso deixar o pc do chefe sem o facebook, e como faço para liberar o ip dele e de outras maquinas na rede?

tentei colocando o ip, mais nao funcionou..

Grato.

Desde já agradeço a atenção.

[carlos_silvasantos]

Não deve estar funcionando por causa do OUTPUT.

Faz o teste, comenta a regra do OUTPUT e tenta novamente. Deixando somente o FORWARD.

Verifica se vai funcionar o bloqueio geral e o desbloqueio só para aquele IP.

Outro detalhe: mesmo assim se não funcionar verifica a ordem das regras que você colocou. Se for no rc.local, se não me falha a memória é claro, primeiro você desbloqueia o IP desejado e depois bloqueia geral. Corrija-me se estiver errado.


Att

[almalves]

Não deve estar funcionando por causa do OUTPUT.

...

Att

Estou colando aqui, uma dica recebida se não estiver equivocado , pelo próprio Carlos_silvasantos.
Supondo que o ip dp PC do chefe seja 192.168.0.50

Código: Selecionar todos

#Liberando só a Maquina do Chefe
iptables -I FORWARD -m string -s 192.168.0.50 --algo bm --string "facebook.com" -j ACCEPT
 
#Bloqueando o Resto
iptables -I FORWARD -m string --algo bm --string "facebook.com" -j DROP
 



Detalhe: coloque no rc.local nessa ordem. Primeiro libera depois bloqueia.
Favor testar e nos diga se deu certo ou não, por favor.

[julian]

Como sou novato, onde eu incluo estas linhas (regras) para este bloqueio do facebook?

Em algum arquivo ou lá no gerenciador de de regras ACL no BFW que já tenho algumas acl apontando arquivos?

No aguardo.

Obg.

[carlos_silvasantos]

Outro detalhe: mesmo assim se não funcionar verifica a ordem das regras que você colocou. Se for no rc.local, se não me falha a memória é claro, primeiro você desbloqueia o IP desejado e depois bloqueia geral. Corrija-me se estiver errado.

A resposta da sua pergunta está acima nesse mesmo post.

Att

[almalves]

Como sou novato, onde eu incluo estas linhas (regras) para este bloqueio do facebook?

Em algum arquivo ou lá no gerenciador de de regras ACL no BFW que já tenho algumas acl apontando arquivos?

No aguardo.

Obg.

O arquivo rc.local está no caminho /etc/brazilfw/custom/ Pelo menos nessa versão 3.x que eu utilizo.

[julian]

ok, muito obrigado..vou fazer os testes.

[fabionoiola]

Carlos,

Aqui funcionou perfeitamente estou fazendo todos os testes possíveis e imaginarios...

fiz como você disse, primeiro liberei os ip's e logo depois bloqueei todo o resto...

Estou fazendo isso também com outros domínios que usam conexão segura, como o Hotmail.com

So estou enfrentando um probleminha, não consigo liberar o ip do chefe, nem alterando a ordem da regra...

Primeiro liberei os ips depois bloqueei tudo... só que o problema é que não libera nada...

[almalves]

Carlos,
......
Primeiro liberei os ips depois bloqueei tudo... só que o problema é que não libera nada...

Posta seu rc.local aqui , a versão do BFW que vc utiliza fvr.

[fabionoiola]

Carlos,
......
Primeiro liberei os ips depois bloqueei tudo... só que o problema é que não libera nada...

Posta seu rc.local aqui , a versão do BFW que vc utiliza fvr.

Segue as regras;

##Regras Facebook HTTPS (443)
#
iptables -I FORWARD -m string --algo bm --string "facebook.com" -j DROP
#
##Maquinas Liberadas Facebook
#
iptables -I FORWARD -m string -s 192.168.0.2 --algo bm --string "facebook.com" -j ACCEPT
iptables -I FORWARD -m string -s 192.168.0.7 --algo bm --string "facebook.com" -j ACCEPT
iptables -I FORWARD -m string -s 192.168.0.16 --algo bm --string "facebook.com" -j ACCEPT
iptables -I FORWARD -m string -s 192.168.0.17 --algo bm --string "facebook.com" -j ACCEPT
iptables -I FORWARD -m string -s 192.168.0.18 --algo bm --string "facebook.com" -j ACCEPT
iptables -I FORWARD -m string -s 192.168.0.19 --algo bm --string "facebook.com" -j ACCEPT
iptables -I FORWARD -m string -s 192.168.0.25 --algo bm --string "facebook.com" -j ACCEPT
iptables -I FORWARD -m string -s 192.168.0.31 --algo bm --string "facebook.com" -j ACCEPT
iptables -I FORWARD -m string -s 192.168.0.33 --algo bm --string "facebook.com" -j ACCEPT
iptables -I FORWARD -m string -s 192.168.0.35 --algo bm --string "facebook.com" -j ACCEPT
iptables -I FORWARD -m string -s 192.168.0.36 --algo bm --string "facebook.com" -j ACCEPT
iptables -I FORWARD -m string -s 192.168.0.37 --algo bm --string "facebook.com" -j ACCEPT
iptables -I FORWARD -m string -s 192.168.0.40 --algo bm --string "facebook.com" -j ACCEPT
iptables -I FORWARD -m string -s 192.168.0.253 --algo bm --string "facebook.com" -j ACCEPT
iptables -I FORWARD -m string -s 192.168.0.254 --algo bm --string "facebook.com" -j ACCEPT
#
##Regras Hotmail.com HTTPS (443)
#
iptables -I FORWARD -m string --algo bm --string "login.live.com" -j DROP
iptables -I FORWARD -m string --algo bm --string "mail.live.com" -j DROP
iptables -I FORWARD -m string --algo bm --string "live.com" -j DROP
#
##Maquinas Liberadas Hotmail
#
iptables -I FORWARD -m string -s 192.168.0.2 --algo bm --string "login.live.com" -j ACCEPT
iptables -I FORWARD -m string -s 192.168.0.7 --algo bm --string "login.live.com" -j ACCEPT
iptables -I FORWARD -m string -s 192.168.0.16 --algo bm --string "login.live.com" -j ACCEPT
iptables -I FORWARD -m string -s 192.168.0.17 --algo bm --string "login.live.com" -j ACCEPT
iptables -I FORWARD -m string -s 192.168.0.18 --algo bm --string "login.live.com" -j ACCEPT
iptables -I FORWARD -m string -s 192.168.0.19 --algo bm --string "login.live.com" -j ACCEPT
iptables -I FORWARD -m string -s 192.168.0.25 --algo bm --string "login.live.com" -j ACCEPT
iptables -I FORWARD -m string -s 192.168.0.31 --algo bm --string "login.live.com" -j ACCEPT
iptables -I FORWARD -m string -s 192.168.0.33 --algo bm --string "login.live.com" -j ACCEPT
iptables -I FORWARD -m string -s 192.168.0.35 --algo bm --string "login.live.com" -j ACCEPT
iptables -I FORWARD -m string -s 192.168.0.36 --algo bm --string "login.live.com" -j ACCEPT
iptables -I FORWARD -m string -s 192.168.0.37 --algo bm --string "login.live.com" -j ACCEPT
iptables -I FORWARD -m string -s 192.168.0.40 --algo bm --string "login.live.com" -j ACCEPT
iptables -I FORWARD -m string -s 192.168.0.253 --algo bm --string "login.live.com" -j ACCEPT
iptables -I FORWARD -m string -s 192.168.0.254 --algo bm --string "login.live.com" -j ACCEPT
#
iptables -I FORWARD -m string -s 192.168.0.2 --algo bm --string "mail.live.com" -j ACCEPT
iptables -I FORWARD -m string -s 192.168.0.7 --algo bm --string "mail.live.com" -j ACCEPT
iptables -I FORWARD -m string -s 192.168.0.16 --algo bm --string "mail.live.com" -j ACCEPT
iptables -I FORWARD -m string -s 192.168.0.17 --algo bm --string "mail.live.com" -j ACCEPT
iptables -I FORWARD -m string -s 192.168.0.18 --algo bm --string "mail.live.com" -j ACCEPT
iptables -I FORWARD -m string -s 192.168.0.19 --algo bm --string "mail.live.com" -j ACCEPT
iptables -I FORWARD -m string -s 192.168.0.25 --algo bm --string "mail.live.com" -j ACCEPT
iptables -I FORWARD -m string -s 192.168.0.31 --algo bm --string "mail.live.com" -j ACCEPT
iptables -I FORWARD -m string -s 192.168.0.33 --algo bm --string "mail.live.com" -j ACCEPT
iptables -I FORWARD -m string -s 192.168.0.35 --algo bm --string "mail.live.com" -j ACCEPT
iptables -I FORWARD -m string -s 192.168.0.36 --algo bm --string "mail.live.com" -j ACCEPT
iptables -I FORWARD -m string -s 192.168.0.37 --algo bm --string "mail.live.com" -j ACCEPT
iptables -I FORWARD -m string -s 192.168.0.40 --algo bm --string "mail.live.com" -j ACCEPT
iptables -I FORWARD -m string -s 192.168.0.253 --algo bm --string "mail.live.com" -j ACCEPT
iptables -I FORWARD -m string -s 192.168.0.254 --algo bm --string "mail.live.com" -j ACCEPT
#
iptables -I FORWARD -m string -s 192.168.0.2 --algo bm --string "live.com" -j ACCEPT
iptables -I FORWARD -m string -s 192.168.0.7 --algo bm --string "live.com" -j ACCEPT
iptables -I FORWARD -m string -s 192.168.0.16 --algo bm --string "live.com" -j ACCEPT
iptables -I FORWARD -m string -s 192.168.0.17 --algo bm --string "live.com" -j ACCEPT
iptables -I FORWARD -m string -s 192.168.0.18 --algo bm --string "live.com" -j ACCEPT
iptables -I FORWARD -m string -s 192.168.0.19 --algo bm --string "live.com" -j ACCEPT
iptables -I FORWARD -m string -s 192.168.0.25 --algo bm --string "live.com" -j ACCEPT
iptables -I FORWARD -m string -s 192.168.0.31 --algo bm --string "live.com" -j ACCEPT
iptables -I FORWARD -m string -s 192.168.0.33 --algo bm --string "live.com" -j ACCEPT
iptables -I FORWARD -m string -s 192.168.0.35 --algo bm --string "live.com" -j ACCEPT
iptables -I FORWARD -m string -s 192.168.0.36 --algo bm --string "live.com" -j ACCEPT
iptables -I FORWARD -m string -s 192.168.0.37 --algo bm --string "live.com" -j ACCEPT
iptables -I FORWARD -m string -s 192.168.0.40 --algo bm --string "live.com" -j ACCEPT
iptables -I FORWARD -m string -s 192.168.0.253 --algo bm --string "live.com" -j ACCEPT
iptables -I FORWARD -m string -s 192.168.0.254 --algo bm --string "live.com" -j ACCEPT


Uso o BFW 3.0.258 32bits

[carlos_silvasantos]

Fábio,

Faça esse teste para nós:

Código: Selecionar todos

#Desbloqueio do Facebook HTTPS para IP especifico
iptables -t mangle -A PREROUTING -s 192.168.0.2 -p tcp -m string --algo kmp --string "facebook.com" -j ACCEPT
#
#Bloqueio do Facebook HTTPS
iptables -t mangle -A PREROUTING -s 192.168.0.0/24 -p tcp -m string --algo kmp --string "facebook.com" -j DROP

Não esqueça de alterar o IP que pretende desbloquear. Tenta me retornar hoje o resultado do teste!

Att

[diogodog]

Testei aqui todas as regras as que funcionaram

Essa bloqueia tudo mesmo sem exeção

Código: Selecionar todos

iptables -I FORWARD -m string --algo bm --string "facebook.com" -j DROP
iptables -I OUTPUT -m string --algo bm --string "facebook.com" -j DROP

essa eu testei e bloquei todas menos o ip liberado

Código: Selecionar todos

#Desbloqueio do Facebook HTTPS para IP especifico
iptables -t mangle -A PREROUTING -s 192.168.0.2 -p tcp -m string --algo kmp --string "facebook.com" -j ACCEPT
#
#Bloqueio do Facebook HTTPS
iptables -t mangle -A PREROUTING -s 192.168.0.0/24 -p tcp -m string --algo kmp --string "facebook.com" -j DROP

[carlos_silvasantos]

Boa noite,

Funcionou a última regra que eu coloquei então diogo?


Att

[liberiojr]

Olá pessoal

Estou passando pra deixar a minha experiência com as regras postados por último pelo diogodog.

Realmente a regra funciona.

Ponto Positivo observado: Bloqueou todos os ips e liberou somente para os ips cadastrados. No meu caso liberei pra 3 ips.

Ponto Negativo: Fiz o teste com 4 navegadores. Internet Explorer, Chrome, Firefox e Opera.

- Não consegui acesso em 3 destes mas no Firefox entrou normalmente.

- Minha taxa de upload ficou altíssima após a aplicação da regra e reiniciação do sistema, voltando ao normal ao se retirar a regra e nova reiniciação.

Fico no aguardo para novos testes.

[fabionoiola]

Boa Tarde Senhores...

Até o momento as regras estão funcionando corretamente... não tive tempo ainda de testar em todos os navegadores, pelo menos no chrome e i.e esta bloqueando..

Muito obrigado pela ajuda...

e vou continuar postando aqui os testes...

abs

[almalves]

Boa Tarde Senhores...

Até o momento as regras estão funcionando corretamente... não tive tempo ainda de testar em todos os navegadores, pelo menos no chrome e i.e esta bloqueando..

Muito obrigado pela ajuda...

e vou continuar postando aqui os testes...

abs

Só pra constar, no rc.local que vc postou anteriormente tinha um DROP lá no inicio, sendo que a sequencia padrão é LIBERAR e depois BLOQUEAR.
então a "regra é clara" primeiro os ACCCEPT´s e por ultimo os DROP´S
Abs...

[fabionoiola]

eu fiz como a regra diz, primeiro libera depois bloqueia, tinha feito daquele geito para testar, pois nao estava liberando...

mais ate o momento esta normal...

Abs.

[almalves]

eu fiz como a regra diz, primeiro libera depois bloqueia, tinha feito daquele geito para testar, pois nao estava liberando...

mais ate o momento esta normal...

Abs.

Você poderia postar seus arquivos como ficou no final? na situação de que está 100% funcionando?
Também preciso da versão do BFW que vc utiliza, para realizar testes em laboratório fvr.

[fabionoiola]

Amanhã mesmo posto para vc o arquivo...

abs

[almalves]

Amanhã mesmo posto para vc o arquivo...

abs

Ok, Obrigado, vamos estudar bem essas regras para realizarmos a melhor configuração/eficiência. Inclusive para todos os browsers e plataformas.

[fabionoiola]

Segue as regras do jeitinho q está.

##Bloqueio por STRING
#
##Desbloqueio do Facebook HTTPS para IP especifico
#
iptables -t mangle -A PREROUTING -s 192.168.0.2 -p tcp -m string --algo kmp --string "facebook.com" -j ACCEPT
iptables -t mangle -A PREROUTING -s 192.168.0.7 -p tcp -m string --algo kmp --string "facebook.com" -j ACCEPT
iptables -t mangle -A PREROUTING -s 192.168.0.16 -p tcp -m string --algo kmp --string "facebook.com" -j ACCEPT
iptables -t mangle -A PREROUTING -s 192.168.0.17 -p tcp -m string --algo kmp --string "facebook.com" -j ACCEPT
iptables -t mangle -A PREROUTING -s 192.168.0.18 -p tcp -m string --algo kmp --string "facebook.com" -j ACCEPT
iptables -t mangle -A PREROUTING -s 192.168.0.19 -p tcp -m string --algo kmp --string "facebook.com" -j ACCEPT
iptables -t mangle -A PREROUTING -s 192.168.0.25 -p tcp -m string --algo kmp --string "facebook.com" -j ACCEPT
iptables -t mangle -A PREROUTING -s 192.168.0.31 -p tcp -m string --algo kmp --string "facebook.com" -j ACCEPT
iptables -t mangle -A PREROUTING -s 192.168.0.33 -p tcp -m string --algo kmp --string "facebook.com" -j ACCEPT
iptables -t mangle -A PREROUTING -s 192.168.0.35 -p tcp -m string --algo kmp --string "facebook.com" -j ACCEPT
iptables -t mangle -A PREROUTING -s 192.168.0.36 -p tcp -m string --algo kmp --string "facebook.com" -j ACCEPT
iptables -t mangle -A PREROUTING -s 192.168.0.37 -p tcp -m string --algo kmp --string "facebook.com" -j ACCEPT
iptables -t mangle -A PREROUTING -s 192.168.0.40 -p tcp -m string --algo kmp --string "facebook.com" -j ACCEPT
iptables -t mangle -A PREROUTING -s 192.168.0.253 -p tcp -m string --algo kmp --string "facebook.com" -j ACCEPT
iptables -t mangle -A PREROUTING -s 192.168.0.254 -p tcp -m string --algo kmp --string "facebook.com" -j ACCEPT
##Desbloqueio Hotmail HTTPS
iptables -t mangle -A PREROUTING -s 192.168.0.2 -p tcp -m string --algo kmp --string "mail.live.com" -j ACCEPT
iptables -t mangle -A PREROUTING -s 192.168.0.7 -p tcp -m string --algo kmp --string "mail.live.com" -j ACCEPT
iptables -t mangle -A PREROUTING -s 192.168.0.16 -p tcp -m string --algo kmp --string "mail.live.com" -j ACCEPT
iptables -t mangle -A PREROUTING -s 192.168.0.17 -p tcp -m string --algo kmp --string "mail.live.com" -j ACCEPT
iptables -t mangle -A PREROUTING -s 192.168.0.18 -p tcp -m string --algo kmp --string "mail.live.com" -j ACCEPT
iptables -t mangle -A PREROUTING -s 192.168.0.19 -p tcp -m string --algo kmp --string "mail.live.com" -j ACCEPT
iptables -t mangle -A PREROUTING -s 192.168.0.25 -p tcp -m string --algo kmp --string "mail.live.com" -j ACCEPT
iptables -t mangle -A PREROUTING -s 192.168.0.31 -p tcp -m string --algo kmp --string "mail.live.com" -j ACCEPT
iptables -t mangle -A PREROUTING -s 192.168.0.33 -p tcp -m string --algo kmp --string "mail.live.com" -j ACCEPT
iptables -t mangle -A PREROUTING -s 192.168.0.35 -p tcp -m string --algo kmp --string "mail.live.com" -j ACCEPT
iptables -t mangle -A PREROUTING -s 192.168.0.36 -p tcp -m string --algo kmp --string "mail.live.com" -j ACCEPT
iptables -t mangle -A PREROUTING -s 192.168.0.37 -p tcp -m string --algo kmp --string "mail.live.com" -j ACCEPT
iptables -t mangle -A PREROUTING -s 192.168.0.40 -p tcp -m string --algo kmp --string "mail.live.com" -j ACCEPT
iptables -t mangle -A PREROUTING -s 192.168.0.253 -p tcp -m string --algo kmp --string "mail.live.com" -j ACCEPT
iptables -t mangle -A PREROUTING -s 192.168.0.254 -p tcp -m string --algo kmp --string "mail.live.com" -j ACCEPT
#
iptables -t mangle -A PREROUTING -s 192.168.0.2 -p tcp -m string --algo kmp --string "login.live.com" -j ACCEPT
iptables -t mangle -A PREROUTING -s 192.168.0.7 -p tcp -m string --algo kmp --string "login.live.com" -j ACCEPT
iptables -t mangle -A PREROUTING -s 192.168.0.16 -p tcp -m string --algo kmp --string "login.live.com" -j ACCEPT
iptables -t mangle -A PREROUTING -s 192.168.0.17 -p tcp -m string --algo kmp --string "login.live.com" -j ACCEPT
iptables -t mangle -A PREROUTING -s 192.168.0.18 -p tcp -m string --algo kmp --string "login.live.com" -j ACCEPT
iptables -t mangle -A PREROUTING -s 192.168.0.19 -p tcp -m string --algo kmp --string "login.live.com" -j ACCEPT
iptables -t mangle -A PREROUTING -s 192.168.0.25 -p tcp -m string --algo kmp --string "login.live.com" -j ACCEPT
iptables -t mangle -A PREROUTING -s 192.168.0.31 -p tcp -m string --algo kmp --string "login.live.com" -j ACCEPT
iptables -t mangle -A PREROUTING -s 192.168.0.33 -p tcp -m string --algo kmp --string "login.live.com" -j ACCEPT
iptables -t mangle -A PREROUTING -s 192.168.0.35 -p tcp -m string --algo kmp --string "login.live.com" -j ACCEPT
iptables -t mangle -A PREROUTING -s 192.168.0.36 -p tcp -m string --algo kmp --string "login.live.com" -j ACCEPT
iptables -t mangle -A PREROUTING -s 192.168.0.37 -p tcp -m string --algo kmp --string "login.live.com" -j ACCEPT
iptables -t mangle -A PREROUTING -s 192.168.0.40 -p tcp -m string --algo kmp --string "login.live.com" -j ACCEPT
iptables -t mangle -A PREROUTING -s 192.168.0.253 -p tcp -m string --algo kmp --string "login.live.com" -j ACCEPT
iptables -t mangle -A PREROUTING -s 192.168.0.254 -p tcp -m string --algo kmp --string "login.live.com" -j ACCEPT
#
##Bloqueio do Facebook HTTPS
iptables -t mangle -A PREROUTING -s 192.168.0.0/24 -p tcp -m string --algo kmp --string "facebook.com" -j DROP
#
##Bloqueio Hotmail HTTPS
iptables -t mangle -A PREROUTING -s 192.168.0.0/24 -p tcp -m string --algo kmp --string "mail.live.com" -j DROP
#
iptables -t mangle -A PREROUTING -s 192.168.0.0/24 -p tcp -m string --algo kmp --string "login.live.com" -j DROP
#