apos muita busca e quebra de cabeça, cheguei ao seguinte caminha e, bh, funcional ao extremo
de referencia usei os seguintes topicos
usando script de achar ips
http://www.brazilfw.com.br/forum/viewtopic.php?f=10&t=85680#p307142
no rc local
http://www.vivaolinux.com.br/dica/iptables-Bloqueando-a-porta-443-e-liberando-apenas-para-sites-especificos
para pegar site do gmail
http://www.brazilfw.com.br/forum/viewtopic.php?f=10&t=86205
agora a "formula"
criar no /partition o dir whitelist
detro dele criar ippode.wl
, ippode.wl e ipsembloqueio.wl
no pode.wl, sao os site que voce deseja liberar para todos que nao esta liberados do 443
por exemplo do meu
- Código: Selecionar todos
#gmail####
mail.google.com
mail.gmail.com
accounts.google.com
gmail.com
googlemail.l.google.com
drive.google.com
accounts.google.com/b/0/AddMailService
accounts.google.com/ServiceLoginAuth
www.gmail.com
mail-attachment.googleusercontent.com
googleusercontent.com
www.googleusercontent.com
gstatic.com
#hotmail
mail.live.com
a.gfx.ms
account.live.com
accounts.live.com
accountservices.msn.com.nsatc.net
accountservices.passport.net
auth.gfx.ms
bay169.mail.live.com
bay174.mail.live.com
c.live.com
extended-validation-ssl.verisign.com
cid-817133e92b8216bb.users.storage.live.com
hotmail.com/default.aspx?wa=wsignin1.0.
h.live.com
hotmail.com
hotmail.com.br
outlook.com
live.com
login.live.com
login.live.com.nsatc.net
microsoft.com
microsoft.com.br
outlook.com
sc.imp.live.com
secure.shared.live.com
secure.wlxrs.com
security.live.com
signup.live.com
www.hotmail.com
www.hotmail.com.br
www.live.com
www.msn.com
www.outlook.com
signout.live.com
crl.microsoft.com
ctldl.windowsupdate.com
msftncsi.com
msn.com
services.msn.com/svcs/hotmail/httpmail.asp
services.msn.com
profile.live.com
e no ipsembloqueio.wl, so os ips da sua rede local que esta liberados por completo o 443
por exemplo
- Código: Selecionar todos
192.168.0.3
192.168.0.4
192.168.0.5
192.168.0.6
192.168.0.7
192.168.0.8
no rc local
- Código: Selecionar todos
##############################
# HTTPS - Lista Branca
##############################
#Listagem dos HTTPS liberados para acesso
iptables -I FORWARD -p tcp --dport 443 -j DROP
for URL in `grep -v "^#" /partition/whitelist/ippode.wl | grep -v "^$"`; do
iptables -I FORWARD -p tcp --dport 443 -d $URL -j ACCEPT
done
##############################
#Liberar Computadores:
#Libera a porta 443 para a lista designada em ipsembloqueio.wl - Lista de IPs liberados para uso do HTTPS
for IPS in `grep -v "^#" /partition/whitelist/ipsembloqueio.wl | grep -v "^$"`; do
iptables -I FORWARD -p tcp --dport 443 -s $IPS -j ACCEPT
done
##############################
no cron
- Código: Selecionar todos
5,10,15,20,25,40,45,50,55,1 * * * * sh /partition/whitelist/atualizar.sh #atualizar lista de ip
* 4 * * 0 sh /partition/whitelist/limpar.sh #limpar lista de ip
na pasta /partition/whitelist/
criar o arquivo atualizar.sh
e dentro dele
- Código: Selecionar todos
#!/bin/sh
caminho="/partition/whitelist/"
###############limpa os treco tudo
#rm -f ${caminho}ippode.wl
##rm -f ${caminho}limpar_restricao
#vai ficar assim
#dig +short www.f****.com >> ${caminho}ippode.wl
#enquanto le o arquivo executa a descoberta de ips
sort ${caminho}pode.wl | while read p; do
dig +short $p >> ${caminho}ippode.wl
done
#remover linha iguais, copiando e colando em cima do mesmo arquivo
sort ${caminho}ippode.wl | uniq >> ${caminho}tempippode ; rm -f ${caminho}ippode ; mv ${caminho}tempippode.wl ${caminho}ippode.wl
sed '/timed out/d' ${caminho}ippode.wl >> ${caminho}tempippode.wl ; rm -f ${caminho}ippode.wl ; mv ${caminho}tempippode.wl ${caminho}ippode.wl
criar tambem
tempippode
limpar.sh
e dentro dele
- Código: Selecionar todos
#!/bin/sh
caminho="/partition/whitelist/"
###############limpa os treco tudo
rm -f ${caminho}ippode
comigo esta perfeito
reboota e veja no que da!!
