BFW Firewall & Router

[cromatus]

Prezados,
Todos nós já sofremos para bloquear Facebook Https, nem o novo Addon Lockon funciona bem com bloqueio de facebook. Eu só consegui bloquear Facebook Https inserindo as regras de IPTABLES no arquivo rc.local. Feito com informações amplamente divulgadas neste forum. Agora estou com um impasse, necessito desbloquer o facebook no horário de almoço, segue a forma que bloqueei o face no rc.local

#Bloqueio do https://www.facebook.com (bloqueio geral)
iptables -A FORWARD -p tcp -s 192.168.150.0/24 -d 69.63.176.0/20 --dport 443 -j REJECT
iptables -A FORWARD -p udp -s 192.168.150.0/24 -d 69.63.176.0/20 --dport 443 -j REJECT
iptables -A FORWARD -p tcp -s 192.168.150.0/24 -d 69.63.0.0/16 --dport 443 -j REJECT
iptables -A FORWARD -p udp -s 192.168.150.0/24 -d 69.63.0.0/16 --dport 443 -j REJECT
iptables -A FORWARD -p tcp -s 192.168.150.0/24 -d 204.15.0.0/16 --dport 443 -j REJECT
iptables -A FORWARD -p udp -s 192.168.150.0/24 -d 204.15.0.0/16 --dport 443 -j REJECT
iptables -A FORWARD -p tcp -s 192.168.150.0/24 -d 31.13.64.0/18 --dport 443 -j REJECT
iptables -A FORWARD -p udp -s 192.168.150.0/24 -d 31.13.64.0/18 --dport 443 -j REJECT
iptables -A FORWARD -p tcp -s 192.168.150.0/24 -d 173.252.64.0/18 --dport 443 -j REJECT
iptables -A FORWARD -p udp -s 192.168.150.0/24 -d 173.252.64.0/18 --dport 443 -j REJECT
iptables -A FORWARD -p tcp -s 192.168.150.0/24 -d 66.220.144.0/20 --dport 443 -j REJECT
iptables -A FORWARD -p udp -s 192.168.150.0/24 -d 66.220.144.0/20 --dport 443 -j REJECT
iptables -A FORWARD -p tcp -s 192.168.150.0/24 -d 66.220.158.0/20 --dport 443 -j REJECT
iptables -A FORWARD -p udp -s 192.168.150.0/24 -d 66.220.158.0/20 --dport 443 -j REJECT
iptables -A FORWARD -p tcp -s 192.168.150.0/24 -d 66.220.152.0/21 --dport 443 -j REJECT
iptables -A FORWARD -p udp -s 192.168.150.0/24 -d 66.220.152.0/21 --dport 443 -j REJECT
iptables -A FORWARD -p tcp -s 192.168.150.0/24 -d 69.171.224.0/19 --dport 443 -j REJECT
iptables -A FORWARD -p udp -s 192.168.150.0/24 -d 69.171.224.0/19 --dport 443 -j REJECT
iptables -A FORWARD -p tcp -s 192.168.150.0/24 -d 69.171.229.0/19 --dport 443 -j REJECT
iptables -A FORWARD -p udp -s 192.168.150.0/24 -d 69.171.229.0/19 --dport 443 -j REJECT
#

Alguém pode ajudar?

[guilhermek]

Faca através de script.
Um script que cria as regras conforme abaixo e outro que exclua elas. Coloca no cron do bfw e já era. No horário que tiver q liberar ele rodará o script q apaga. Passado o horário rodará o script que cria as regras.
Joga os scripts no /etc/brazilfw/custom

Vc pode criar uma chain nova no iptables... Ficará mais fácil de controlar as regras.

[Lenobare]

guilhermek, poderia colocar um exemplo basico " dessa " regra que colosassemos no Cron? Facilitaria pra maioria que tem dificuldade adaptar para seus proprios horarios de bloqueio

[guilhermek]

Ok, vamos lá, bem mastigado hein heheh

Crie dois arquivos novos em /etc/brazilfw/custom, por exemplo: bloqueia_facebook.sh e libera_facebook.sh

Edit o bloqueia_facebook.sh

Código: Selecionar todos

#!/bin/sh
iptables -N FACEBOOK
iptables -A FORWARD -p tcp -s 192.168.150.0/24 -p tcp --dport 443 -j facebook
iptables -A FACEBOOK -p tcp -s 192.168.150.0/24 -d 69.63.176.0/20 --dport 443 -j DROP
iptables -A FACEBOOK -p udp -s 192.168.150.0/24 -d 69.63.176.0/20 --dport 443 -j DROP
iptables -A FACEBOOK -p tcp -s 192.168.150.0/24 -d 69.63.0.0/16 --dport 443 -j DROP
iptables -A FACEBOOK -p udp -s 192.168.150.0/24 -d 69.63.0.0/16 --dport 443 -j DROP
iptables -A FACEBOOK -p tcp -s 192.168.150.0/24 -d 204.15.0.0/16 --dport 443 -j DROP
iptables -A FACEBOOK -p udp -s 192.168.150.0/24 -d 204.15.0.0/16 --dport 443 -j DROP
iptables -A FACEBOOK -p tcp -s 192.168.150.0/24 -d 31.13.64.0/18 --dport 443 -j DROP
iptables -A FACEBOOK -p udp -s 192.168.150.0/24 -d 31.13.64.0/18 --dport 443 -j DROP
iptables -A FACEBOOK -p tcp -s 192.168.150.0/24 -d 173.252.64.0/18 --dport 443 -j DROP
iptables -A FACEBOOK -p udp -s 192.168.150.0/24 -d 173.252.64.0/18 --dport 443 -j DROP
iptables -A FACEBOOK -p tcp -s 192.168.150.0/24 -d 66.220.144.0/20 --dport 443 -j DROP
iptables -A FACEBOOK -p udp -s 192.168.150.0/24 -d 66.220.144.0/20 --dport 443 -j DROP
iptables -A FACEBOOK -p tcp -s 192.168.150.0/24 -d 66.220.158.0/20 --dport 443 -j DROP
iptables -A FACEBOOK -p udp -s 192.168.150.0/24 -d 66.220.158.0/20 --dport 443 -j DROP
iptables -A FACEBOOK -p tcp -s 192.168.150.0/24 -d 66.220.152.0/21 --dport 443 -j DROP
iptables -A FACEBOOK -p udp -s 192.168.150.0/24 -d 66.220.152.0/21 --dport 443 -j DROP
iptables -A FACEBOOK -p tcp -s 192.168.150.0/24 -d 69.171.224.0/19 --dport 443 -j DROP
iptables -A FACEBOOK -p udp -s 192.168.150.0/24 -d 69.171.224.0/19 --dport 443 -j DROP
iptables -A FACEBOOK -p tcp -s 192.168.150.0/24 -d 69.171.229.0/19 --dport 443 -j DROP
iptables -A FACEBOOK -p udp -s 192.168.150.0/24 -d 69.171.229.0/19 --dport 443 -j DROP


Edit o libera_facebook.sh

Código: Selecionar todos

#!/bin/sh
iptables -F FACEBOOK
iptables -X FACEBOOK


- Marque ambos arquivos como executáveis: "chmod +x libera_facebook.sh" e "chmod +x bloqueia_facebook.sh"
- Vá no Webadmin e coloque no cron para executá-los conforme a sua necessidade.



=== EDIT ===
Esqueci de colocar a regra da tabela forward.... Editei os comandos acima, também troquei REJECT por DROP.

[guilhermek]

Uma outra observação, é que não é necessário bloquear UDP em cima da porta 443 já que o HTTPS utiliza TCP devido a garantia de entrega dos pacotes. Com tudo sendo criptografado fica complicado de se utilizar UDP e conseguir reordenar pacotes.

[Lenobare]

Valeu guilhermek, mas não sei o que fiz de errado que não funcionou
Startei no rc.local pra funcionar

Farei outras tentativas mas acho que estou errando em algum coisa no Agendador de tarefas; na versão .259 é um pouco diferente na configuração de horários.
Mas valeu pela dica