BFW Firewall & Router

[fcwabr]

Bom dia/tarde/noite pessoal, a situação é a seguinte, utilizo aqui na empresa o brazilfw 2.32.2 para gerenciamento do firewall, iniciei bloqueando pelo squid, porém, decidi que quero trabalhar totalmente com as regras personalizadas, blz, aqui já está bloqueando os sites que quero.
Apenas a nível de administração, gostaria que a pagina que fosse rejeitada aparecesse uma html personalizada, pois atualmente, o site bloqueado somente da erro e isso atrapalha um pouco meu trabalho pois muitos funcionários pensam que é erro da internet.

SCRIPT UTILIZADO PARA BLOQUEAR OS SITES:

##############################
# HTTPS - Lista Negra
##############################
iptables -I FORWARD -p tcp --dport 443 -j ACCEPT
for URL in `grep -v "^#" /etc/https.wl`; do
iptables -I FORWARD -p tcp --dport 443 -d $URL -s 192.168.0.241 -j REJECT
iptables -I FORWARD -p tcp --dport 443 -d $URL -s 192.168.0.242 -j REJECT
iptables -I FORWARD -p tcp --dport 443 -d $URL -s 192.168.0.243 -j REJECT
iptables -I FORWARD -p tcp --dport 443 -d $URL -s 192.168.0.244 -j REJECT
iptables -I FORWARD -p tcp --dport 443 -d $URL -s 192.168.0.245 -j REJECT
iptables -I FORWARD -p tcp --dport 443 -d $URL -s 192.168.0.246 -j REJECT
iptables -I FORWARD -p tcp --dport 443 -d $URL -s 192.168.0.247 -j REJECT
iptables -I FORWARD -p tcp --dport 443 -d $URL -s 192.168.0.248 -j REJECT
iptables -I FORWARD -p tcp --dport 443 -d $URL -s 192.168.0.249 -j REJECT
iptables -I FORWARD -p tcp --dport 443 -d $URL -s 192.168.0.250 -j REJECT
done

##############################
# HTTPS - Lista Branca
##############################
#iptables -I FORWARD -p tcp --dport 80 -j DROP
#for URL in `grep -v "^#" /etc/https.wl`; do
#iptables -I FORWARD -p tcp --dport 443 -d $URL -s 192.168.0.244 -j ACCEPT
#done

Agora dentro desse script gostaria de implementar a situação para que quando o site fosse rejeitado aparecer a html personalizada.

[Argonauta_work]

Legal sua ideia.

Porem uma forma paliativa de voce resolver e editando o arquivo de erro do squid, assim entenderao o recado.

Vou passar como e o meu, copie e cole no seu, e se necessario altere o texto, que ja e bem legal e explicativo:

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<HTML><HEAD><META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-8859-1">
<TITLE>ACESSO NEGADO - Site indisponível em == HORÁRIO DE EXPEDIENTE ==</TITLE>
<STYLE type="text/css"><!--BODY{background-color:#ffffff;font-family:verdana,sans-serif}PRE{font-family:sans-serif}--></STYLE>
</HEAD><BODY>
<H1><span style="color: red">ACESSO NEGADO!</span></H1>
<H2>O Endereço digitado não pode ser acessado em
<P>
<span style="color: red">HORÁRIO DE TRABALHO</span>.</H2>
<HR noshade size="1px">
<P>
<span style="font-size: large;"><A HREF="%U">%U</A></span>
<P>
<P>
O Gerenciador de Acesso a Internet identificou sua tentativa de acesso
<P>
a um site proibido em <span style="color: red"><strong>HORÁRIO DE TRABALHO</span></strong>.
<P>
Se você precisar realmente acessar esse site, solicite liberação ao <strong>Administrador da Rede</strong>.
<P>
Caso contrário, por favor, volte ao trabalho!
</UL>
</P>


Qualquer divida poste ai.

[fcwabr]

A sua página é o html do erro, mas eu queria saber como ela irá aparecer após dar o REJECT, pois atualmente já tenho uma no squid mas ela não aparece quando a URL é rejeitada, talvez eu precise colocar algum script pra isso ! Para que ele busque essa pagina de erro.

[Paulo2]

Olá fcwabr , não manjo de iptables então o que vem a seguir pode
ser uma enorme besteira

Lendo esse tutorial http://www.brazilfw.com.br/forum/viewtopic.php?f=80&t=67305
se vc substituir "REJECT" por "DNAT --to ip:porta", ip:porta um servidor http no bfw,
vai aparecer a página do servidor.
Será que é isso mesmo?

[fcwabr]

Interessante, vou estar tentando fazer isso segunda feira. Desde já obrigado !
Depois posto o resultado.

[Argonauta_work]

Cara, aqui eu nao precisei configurar nada, por padrao quando o usuario toma um block, ja aparece a pagina de erro, a unica coisa que eu fiz foi editar o codigo HTML para a pagina ficar do jeito que eu quero. (aquele html que te passei mais acima).

A sua página é o html do erro, mas eu queria saber como ela irá aparecer após dar o REJECT, pois atualmente já tenho uma no squid mas ela não aparece quando a URL é rejeitada, talvez eu precise colocar algum script pra isso ! Para que ele busque essa pagina de erro.

[fcwabr]

Cara, aqui eu nao precisei configurar nada, por padrao quando o usuario toma um block, ja aparece a pagina de erro, a unica coisa que eu fiz foi editar o codigo HTML para a pagina ficar do jeito que eu quero. (aquele html que te passei mais acima).

Mas isso aí quando está bloqueado no squid, ou por um bloqueio via código personalizado ?

[Paulo2]

Olá Argonauta_work , como o colega fcwabr , também penso que esse bloqueio
não passa pelo Squid, então não aparece a página de erro do Squid.

Realmente só substituir o REJECT por DNAT não funcionou
seria uma sorte gigante se funcionasse.

Depois de fuçar no iptables consegui redirecionar o acesso ao www.brazilfw.com.br
e ao www.google.com. No Google tive que fazer nos dois domínios, .com e .com.br senão
o acesso ia para um dos dois.

Mas infelizmente o teste com https não deu resultado, ao invés de redirecionar para o
endereço da regra, apareceu uma página de erro padrão, que deve ser o que vc quer evitar.
Talvez com outro endereço https possa dar certo, eu tentei com www.tesouro.fazenda.gov.br
Pode ser também que, sendo o endereço de destino https e o endereço do redirecionamento http,
isso crie algum conflito. Nesse caso teria que testar com um server https.

As regras que funcionaram

Código: Selecionar todos

brazilfw# iptables -t nat -I PREROUTING 1 -p tcp -d www.brazilfw.com.br --dport 80 -s 10.10.1.2 -j DNAT --to-destination 192.168.1.1:2009
brazilfw# iptables -t nat -I PREROUTING 1 -p tcp -d www.google.com --dport 80 -s 10.10.1.2 -j DNAT --to-destination 192.168.1.1:2009
brazilfw# iptables -t nat -I PREROUTING 1 -p tcp -d www.google.com.br --dport 80 -s 10.10.1.2 -j DNAT --to-destination 192.168.1.1:2009


isso fez com que os acessos a www.brazilfw.com.br e www.google.com(.br) mostrassem a página do servidor em http://192.168.1.1:2009


O que não funcionou

Código: Selecionar todos

brazilfw# iptables -t nat -I PREROUTING 1 -p tcp -d www.tesouro.fazenda.gov.br --dport 443 -s 10.10.1.2 -j DNAT --to-destination 192.168.1.1:2009


tentei com a rede e também não deu certo

Código: Selecionar todos

brazilfw# iptables -t nat -I PREROUTING 1 -p tcp -d 200.198.192/18 --dport 443 -s 10.10.1.2 -j DNAT --to-destination 192.168.1.1:2009
iptables v1.3.4-20060123: host/network `200.198.192' not found
Try `iptables -h' or 'iptables --help' for more information.
brazilfw# iptables -t nat -I PREROUTING 1 -p tcp -d 200.198.192.0/18 --dport 443 -s 10.10.1.2 -j DNAT --to-destination 192.168.1.1:2009


não acessou mas também não redirecionou, o erro foi esse:
Secure Connection Failed
An error occurred during a connection to www.tesouro.fazenda.gov.br.
SSL received a record that exceeded the maximum permissible length.
(Error code: ssl_error_rx_record_too_long)

Pode ser que eu tenha colocado a regra na tabela errada, ou na chain errada, mas aí é questão de testar
Se vc quiser testar, substitua www.tesouro.fazenda.gov.br por algum endereço (ou rede) da tua lista,
pode ser que dê algum resultado.
Poderia postar o arquivo "/etc/https.wl" pra termos mais exemplos de https, os que eu acesso são
praticamente só do governo.

[Paulo2]

Fiz mais testes com o lamp instalado, já que é bastante fácil botar um server https
no ar com ele. O resultado foi o mesmo, não aparece a página redirecionada.
Algumas vezes até "ameaçou" mas não deu certo, outras vezes apareceu a mensagem
do certificado. Aceitando o certificado, apareceu a página de erro padrão do Firefox
que já aparecia no bloqueio sem redirecionamento dizendo que o certificado estava errado.

Pesquisando um pouco mais, achei esse post do Lelouch
http://www.brazilfw.com.br/forum/viewtopic.php?f=2&t=82970#p288989
ele não dá nenhuma esperança

Achei um texto interessante sobre o https e Squid, parece que é possível passar,
mas não sei se a versão do Squid no BFW 2.32 tem suporte pra isso.
Mas de qualquer jeito parece ser invasivo e ilegal
http://wiki.squid-cache.org/Features/HTTPS#Bumping_CONNECT_tunnels