BFW Firewall & Router

[svierzoski]

Bom dia, a todos.

A mais ou menos uma semana estou me debatendo com esse script, e não consigo ajustar parou de bloquear o Youtube.

Meu script, que está na inicialização do BFW

Código: Selecionar todos

###  IPs Liberados ###
IP_ALLOW="192.168.0.76 192.168.0.188 192.168.0.190 192.168.0.191 192.168.0.69 192.168.0.241 192.168.0.91 192.168.0.84 192.168.0.124" #ips liberados
###----------------###

###############################################################################################
##Regras para bloquear YOUTUBE https
###BLOQUEIO DO YOUTUBE
YOUTUBE_IP_RANGE="74.125.0.0-74.125.255.255"
iptables -N YOUTUBE
## YOUTUBE DENY
for tube in $YOUTUBE_IP_RANGE; do
   iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range $tube --dport 443 -j YOUTUBE
   iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range $tube --dport 445 -j YOUTUBE
   iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range $tube --dport 80 -j YOUTUBE
done
for MSR_LIBERADO in $IP_ALLOW; do
   iptables -I YOUTUBE -s $MSR_LIBERADO -j ACCEPT
done
iptables -A YOUTUBE -j REJECT
###############################################################################################

###reboot em kernel panic
folder=/proc/sys/kernel
echo 10 > $folder/panic
for i in on_io_nmi on_oops on_unrecovered_nmi; do
        echo 10 > $folder/panic_$i
done


Meu objetivo seria usar algo parecido, em vez de usar range IP, colocar pela string, youtube.com, como exemplo abaixo.

iptables -I FORWARD -m string --algo bm --string "youtube.com" -j DROP

Só que o script que estou usando é so usando Range IP, ai não consegui adequar.

Alguem poderia só me informar se isso é possivel, ví varios posts mais ou é por range, ou por string. (to confuso )

Muito obrigado desde já.

[Lenobare]

Boa noite grande svierzoski tudo bem

Tenta isso aqui cara.. os xxx pode ser um ip ou toda a range ( ex: 192.168.0.10 ou 192.168.0.0/24)

Código: Selecionar todos

 iptables -I FORWARD -s xxx.xxx.xxx.xxx -m string --algo bm --string "youtube.com" -j DROP

Se usar outra regra de forrward como um accept, altere pra forward 2 e assim por diante, mas se não usar, tente como acima.
Se ainda não funcionar, adicione uma segunda linha de regra com o argumento OUTPUT, seguindo a mesma regra.

Boa sorte.

[reginaldo]

Bom dia!

svierzoski, problema resolvido?

[svierzoski]

Oi Reginaldo, Tudo bem.

Então, ainda não consegui realizar o bloqueio por nome.

Quando falo IP, seria o IP do Youtube, no script esta assim
YOUTUBE_IP_RANGE="74.125.0.0-74.125.255.255"

E com certeza youtube muda isso, tals.

[Lenobare]

Tenta dessa forma aqui com esses dns:

Código: Selecionar todos

##BLOQUEIO DO YOUTUBE
YOUTUBE_IP_RANGE="216.58.192.78 216.58.219.142 187.7.130.20-187.7.130.59"
iptables -N YOUTUBE

## YOUTUBE DENY
for youtu in $YOUTUBE_IP_RANGE; do
iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range $youtu --dport 443 -j YOUTUBE
iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range $youtu --dport 80 -j YOUTUBE

done

YOUTUBE_ALLOW="192.168.1.10 192.168.1.18 192.168.1.40" #LIBERADOS
for YOU_LIBERADO in $YOUTUBE_ALLOW; do
iptables -I YOUTUBE -s $YOU_LIBERADO -j ACCEPT
done

iptables -A YOUTUBE -j REJECT


[Lenobare]

svierzoski, conseguiu testar?
Reporte por favor.