BFW Firewall & Router

[crf1981]

Pessoal
Estou tentando fazer o bloqueio do youtube pelo filtros l7 e não bloqueia de jeito nenhum. bloqueia todos outros videos.
Fiz da seguinte forma: Configuração simplificada do firewall - Atualizar Protocolos l7 - coloco httpvideo - bkp e reload e reboot.
Não vai de jeito nenhum.. ai tentei colocando da seguinte forma tb: e não vai

Código: Selecionar todos

#Liberar o IP x
iptables -t mangle -A POSTROUTING -s 172.16.0.10 -d 0/0 -m layer7 --l7proto httpvideo -j ACCEPT
iptables -t mangle -A POSTROUTING -s 0/0 -d 172.16.0.10 -m layer7 --l7proto httpvideo -j ACCEPT

#Bloqueia o resto
iptables -t mangle -A POSTROUTING -m layer7 --l7proto httpvideo -j DROP

BFW 2+32+2
Arquivo mestre:

Código: Selecionar todos

INETTYPE='ETHERNET_STATIC'
DNS1='8.8.8.8'
DOMAINNAME='xxxxxxxxx'
HOSTNAME='brasilfw'
LOCAL_IPADDR='172.16.0.1'
LOCAL_NETMASK='255.255.0.0'
IPADDR='xxxxxxxxxxxx'
NETMASK='255.255.255.248'
GATEWAY='186.195.39.89'
DHCPSERVER='YES'
DHCPD_START_IP='172.16.50.1'
DHCPD_END_IP='172.16.52.250'
ADMIN_AUTH='V6I4AZbBcc8cZDD7YzvZZ/'
IF_LOCAL='eth0'
IF_INET='eth1'
TZ='EST3'
TIMESERVER='a.ntp.br'
USE_DNS_CACHE='YES'
ENABLE_EXTERNAL_PING='NO'
ENABLE_EXTERNAL_SSH='YES'
ENABLE_WEBADMIN='YES'
WEBADMIN_PORT='8180'
SSH_PORT='22'
DEFAULT_USERS_FILTER='ALLOW_ALL'
DEFAULT_SERVICES_FILTER='ALLOW_ALL'
LANGUAGE_WEBADMIN='BRZ'
SQUID_ENABLE='0'
SQUID_PORT='8080'
SQUID_PROXY_TYPE='1'
SQUID_POLICY='ALL'
SQUID_DISK_CACHE_ENABLE='0'
SQUID_DISK_CACHE_SIZE='400'
SQUID_MEM_CACHE_SIZE='100'
SQUID_MAX_OBJ_SIZE='4000'
SQUID_MIN_OBJ_SIZE='4'
MAXCONN='0'
SQUID_LOG_ACCESS='0'
ERROR_LINGUAGE='Portuguese'
SQUID_URLB_ENABLE='1'
SQUID_WRDB_ENABLE='1'
SQUID_EWRD_ENABLE='0'
SQUID_EXTB_ENABLE='0'
SQUID_CACHE_ENABLE='0'
SQUID_PRIV_USER='0'
SQUID_NO_CONF='0'

O que estou fazendo de errado?
abs

[Paulo2]

Olá crf1981 , parece que essa é a mesma regra que a página "Configuração simplificada do firewall" cria.
Não fuçei nos scripts, mas se bloqueia outros vídeos e o Youtube não, então é problema no Youtube.

O arquivo de padrão do httpvideo ainda é o mesmo, apesar de ser de 2008.
http://l7-filter.clearfoundation.com/

Essa tabela é interessante, mostra o nível de acerto dos filtros.
http://l7-filter.sourceforge.net/protocols

Bloquear o acesso ao Youtube não é opção? Acho que bloqueando no firewall pelos ips,
os vídeos postados fora do youtube devem ser bloqueados também.

[crf1981]

O bloqueio do youtube funcionou depois que eu ativei o squid e coloquei na lista negra. a pagina abre mas o video não carrega.

So que agora eu preciso liberar videos para alguns ip, e com a regra que coloquei não está liberando.

Código: Selecionar todos

#Liberar o IP LILIAN
iptables -t mangle -A POSTROUTING -s 172.16.51.162 -d 0/0 -m layer7 --l7proto httpvideo -j ACCEPT
iptables -t mangle -A POSTROUTING -s 0/0 -d 172.16.51.162 -m layer7 --l7proto httpvideo -j ACCEPT

#Bloqueia o resto
iptables -t mangle -A POSTROUTING -m layer7 --l7proto httpvideo -j DROP

Olá crf1981 , parece que essa é a mesma regra que a página "Configuração simplificada do firewall" cria.
Não fuçei nos scripts, mas se bloqueia outros vídeos e o Youtube não, então é problema no Youtube.

O arquivo de padrão do httpvideo ainda é o mesmo, apesar de ser de 2008.
http://l7-filter.clearfoundation.com/

Essa tabela é interessante, mostra o nível de acerto dos filtros.
http://l7-filter.sourceforge.net/protocols

Bloquear o acesso ao Youtube não é opção? Acho que bloqueando no firewall pelos ips,
os vídeos postados fora do youtube devem ser bloqueados também.

[Paulo2]

Tente botar o ip como privilegiado no Squid.

[crf1981]

Nada... engraçado que o youtube fica liberado... apenas outros sites de video que não carrega de jeito nenhum.

Código: Selecionar todos

#Liberar o IP LEANDRO
iptables -t mangle -A POSTROUTING -s 172.16.0.12 -d 0/24 -m layer7 --l7proto httpvideo -j ACCEPT
iptables -t mangle -A POSTROUTING -s 0/0 -d 172.16.0.12 -m layer7 --l7proto httpvideo -j ACCEPT

#Bloqueia o resto
iptables -t mangle -A POSTROUTING -m layer7 --l7proto httpvideo -j DROP

Tente botar o ip como privilegiado no Squid.

[Paulo2]

Troço difícil de testar esse aqui pra mim alguns sites de vídeo foram
bloqueados e outros não. Até mesmo no Youtube alguns videos foram bloqueados.
Às vezes parece que carrega do cache do navegador, ou do Squid, mas às vezes
o bloqueio funciona.
Bom mesmo seria testar sem Squid, limpando sempre o cache do navegador
e testar com duas estações pelo menos, pra ver se o resultado se repete.

So que agora eu preciso liberar videos para alguns ip, e com a regra que coloquei não está liberando.

Código: Selecionar todos

#Liberar o IP LILIAN
iptables -t mangle -A POSTROUTING -s 172.16.51.162 -d 0/0 -m layer7 --l7proto httpvideo -j ACCEPT
iptables -t mangle -A POSTROUTING -s 0/0 -d 172.16.51.162 -m layer7 --l7proto httpvideo -j ACCEPT

#Bloqueia o resto
iptables -t mangle -A POSTROUTING -m layer7 --l7proto httpvideo -j DROP

Eu acho que a regra do webadmin é igual a essa, então teste deletando essas regras todas,
e pra liberar o ip adicione essa regra no arquivo "Regras Personalizadas do Firewall"

Código: Selecionar todos

iptables -t mangle -I l7-filter -d 172.16.51.162 -m layer7 --l7proto httpvideo -j ACCEPT

Testei dessa maneira agora pouco e, se não foi por pura coincidência, deu certo.
Opção -I no lugar de -A faz a regra ir para o topo, acima da regra de bloqueio geral.
l7-filter no lugar de POSTROUTING porque as regras adicionadas diretamente nas chains built-in nativas
não são apagadas recarregando o firewall.

[crf1981]

E Ai
Fiz isso que vc postou e desse maneira.. QUASE carregou.. carregou 5% e para de vez...antes parava em 1%.

Deixei apenas: iptables -t mangle -A POSTROUTING -s 172.16.51.162 -d 0/0 -m layer7 --l7proto httpvideo -j ACCEPT
Marcado o L7 para httpvideo e o ip liberado tb no squid.
Sites como youtube carrega normal... e sites do tipo da globo videos e xvideos so carregam 5%.

abs

Troço difícil de testar esse aqui pra mim alguns sites de vídeo foram
bloqueados e outros não. Até mesmo no Youtube alguns videos foram bloqueados.
Às vezes parece que carrega do cache do navegador, ou do Squid, mas às vezes
o bloqueio funciona.
Bom mesmo seria testar sem Squid, limpando sempre o cache do navegador
e testar com duas estações pelo menos, pra ver se o resultado se repete.

So que agora eu preciso liberar videos para alguns ip, e com a regra que coloquei não está liberando.

Código: Selecionar todos

#Liberar o IP LILIAN
iptables -t mangle -A POSTROUTING -s 172.16.51.162 -d 0/0 -m layer7 --l7proto httpvideo -j ACCEPT
iptables -t mangle -A POSTROUTING -s 0/0 -d 172.16.51.162 -m layer7 --l7proto httpvideo -j ACCEPT

#Bloqueia o resto
iptables -t mangle -A POSTROUTING -m layer7 --l7proto httpvideo -j DROP

Eu acho que a regra do webadmin é igual a essa, então teste deletando essas regras todas,
e pra liberar o ip adicione essa regra no arquivo "Regras Personalizadas do Firewall"

Código: Selecionar todos

iptables -t mangle -I l7-filter -d 172.16.51.162 -m layer7 --l7proto httpvideo -j ACCEPT

Testei dessa maneira agora pouco e, se não foi por pura coincidência, deu certo.
Opção -I no lugar de -A faz a regra ir para o topo, acima da regra de bloqueio geral.
l7-filter no lugar de POSTROUTING porque as regras adicionadas diretamente nas chains built-in nativas
não são apagadas recarregando o firewall.

[Paulo2]

E Ai
Fiz isso que vc postou e desse maneira.. QUASE carregou.. carregou 5% e para de vez...antes parava em 1%.

Deixei apenas: iptables -t mangle -A POSTROUTING -s 172.16.51.162 -d 0/0 -m layer7 --l7proto httpvideo -j ACCEPT
Marcado o L7 para httpvideo e o ip liberado tb no squid.
Sites como youtube carrega normal... e sites do tipo da globo videos e xvideos so carregam 5%.

abs

Vamos dividir o tópico em duas dúvidas

1a. - O httpvideo não bloqueia Youtube.
Isso parece ser uma limitação do filtro. Segundo aquela tabela que postei acima,
o httpvideo tem nivel de acerto no meio, em porcentagem podemos considerar por volta de 50% de acerto.
Aqui pra mim alguns vídeos no Youtube foram bloqueados e outros não.
Acabei de testar com vídeos da Globo vídeos e bloqueou os dois vídeos que tentei ver.
O filtro falha talvez por causa da tecnologia de stream que o Youtube usa.
Com o crescente desuso do flash, é provável que o filtro fique
cada vez menos eficiente (ou não, como diria Gilberto Gil )
Tentei bloquear pelas extensões negadas (flv, mp4 e webm) do Squid mas não deu resultado.
Tentei também pelas extensões negadas do Dansguardian mas não deu resultado,
se bem que com o Dansguardian a máquina do BFW não aguentou, é muito fraca,
então o teste ficou comprometido.


2a. - Liberar vídeos para um ip.
A regra deve ser a seguinte

Código: Selecionar todos

iptables -t mangle -I POSTROUTING -d 172.16.51.162 -s 0/0 -m layer7 --l7proto httpvideo -j ACCEPT

Opção -I no lugar de -A para que a regra que libera o ip fique acima da regra que bloqueia.
O ip deve ser o destino -d e a rede 0/0 (anywhere) deve ser a origem -s. Nesse caso de ser 0/0 nem é preciso colocar a origem.
Por exemplo se vc quiser que o ip só veja vídeos da Globo , a origem pode ser g1.globo.com ou os ips se tiver mais de um.
Uma regra para cada domínio.
Substituir a chain POSTROUTING pela l7-filter evita que a regra seja incluída novamente a cada recarga do firewall,
isso se a regra estiver no arquivo de regras personalizadas.
Testei essa regra novamente e funcionou com a Globo videos, se não funcionar no teu BFW
deve ter alguma coisa interferindo. Retire o ip dos ips privilegiados do Squid. Verifique se tem
alguma outra regra de bloqueio nas páginas do webadmin ou no arquivo de regras personalizadas.