BFW Firewall & Router

[Visomes]

Olá galera, estou desde a semana passada tentando descobrir porque os comandos abaixo deixam minha internet extremamente lenta, já fiz algumas pesquisas aqui no forum, mas não encontrei a solução, coloquei os iptables abaixo em meu scrip de inicialização, mas qualquer pagina de internet demora quase um minuto para abrir, e muitas vezes nem abre, o que pode estar errado?

iptables -I FORWARD -i eth1 -m string --algo bm --string "facebook.com" -j DROP
iptables -I FORWARD -i eth1 -m string --algo bm --string "twitter.com" -j DROP
iptables -I FORWARD -i eth1 -m string --algo bm --string "youtube.com" -j DROP

[Lenobare]

Boa noite.
Não sei o que realmente quer fazer mas me parece que queres bloquear toda sua rede.
Indico usar iptables via string por ip e não para gama geral das redes disponíveis, como me parece ser.
Portanto, como queres usar para toda a rede, faça assim, você bloqueia o repasse e saída, não por ethx, pois nesse caso o bloqueio sempre será pela ethx que distribui os ips.

Código: Selecionar todos

iptables -I FORWARD -m string --algo bm --string "youtube.com" -j DROP # Bloqueio geral youtube forwoard
iptables -I OUTPUT -m string --algo bm --string "youtube.com" -j DROP # Bloqueio geral youtube output


Mas estes comandos não garante que vais melhorar a performance rede mas teste no perfil da sua, pois como falei, tem outras formas de bloquear.

[osvald]

boa noite a todos,tive alguns contra tempos tb com o 262 muito chatos.
maquina que pegava ip e não navegava ai trocava o ip e voltava coisas do tipo formatei e coloquei a versão 262.rc2 e ta show de bola sem problemas.
é só um comentário pois já ta rodando aqui a mas de 1 mês sem problemas.

[Visomes]

Olá, o que quero é bloquear sites como o facebook, que são em Https, para que ninguém na minha rede possa acessá-los. Acredito que tenha alguma falha na minha versão do Brazil fw, pois, nem meu dansguardian esta funcionando. Vou testar esta ai...

[GEFSANTANA]

Prezado,

O Dansguardian só bloqueia site http.
Qual o se hardware usado no BFW e quais os recursos ativos, pois pode ser o Hardware que não está dando conta do recado.

[Visomes]

Sim, por isso estou tentando utilizar o Iptables, para bloquear sites em Https. Mas também preciso do dansguardian para bloquear palavras na url.
Enfim, coloquei a Versão do Firewall: 3.0.262.rc2. Mas nem meu Squid esta inciando mais. O que será que pode estar acontecendo, segue configuração do meu servidor. Que funcionava muito bem por uns três anos.

Nome da Máquina:
brazilfw
CPU: Intel(R) Pentium(R) 4 CPU 3.00GHz
Memória: 2.97 GiB
Versão do Firewall: 3.0.262.rc2
Kernel: 4.1.5
Iptables: 1.4.21
PHP: 5.6.2
Compilado em: 2015-08-24 17:26:22

Obs: Quando coloco o comando: /etc/init.d/squid start. Nada acontece.

[Visomes]

Boa tarde galera, enfim pela terceira formação e instalando a Versão do Firewall: 3.0.262.rc2, meu BrazilFW funcionou, o Squid só deixa as pesquisas na internet lenta quando eu coloco um site que pertence ao google, por exemplo: youtube, se eu colocar o youtube no Iptable, não consigo pesquisar nada. Mas de resto funcionou bem.
Sendo assim encerro o chamado com as seguintes conclusões:
Utilize a versão Versão do Firewall:3.0.262.rc2, que pode ser obtida no link:
https://ufpr.dl.sourceforge.net/project/brazilfw/3.x/beta/brazilfw-i586-3.0.262.rc2.iso
Inicie o Squad com o comando: /etc/init.d/squid start. Salve e Faça o backup.

Para utilizar o iptable de uma forma talvez mais simples faça o seguinte:
No local: /etc/brazilfw/dansguardian crie um arquivo txt com os sites que precisam ser bloqueados:

listanegra.txt

Código: Selecionar todos

facebook.com
twitter.com
spotify.com
web.whatsapp.com


salve e em: Configurações - Sistemas e Script de inicialização, insira e o seguinte comando:
rc.local

Código: Selecionar todos

for URL in `grep -v "^#" /etc/brazilfw/dansguardian/listanegra.txt`; do
iptables -I FORWARD -i eth1 -m string --algo bm --string $URL -j DROP
done


Pronto, tudo funcionando, ressalvo que não consegui bloquear o Youtube, pois fazendo isso minha rede fica lenta.

[Lenobare]

Visomes, boa noite.
Tomei a liberdade de mudar o "Layout" de sua resposta pare melhor entendimento, mas sem alterar o conteúdo principal de seu ensinamento.

O Brasilfw e os usuários do Forum agradecem as explicações para a resolução do problema, sabendo que estas explicações ja foram ensinadas aqui, mas você testou e comprovou a solução do problema

Como agradecimento, lhe repasso a provável solução para bloqueio do youtube em toda sua rede, sem necessariamente tornar lenta a mesma.
Regra n. 01

Código: Selecionar todos

#============================================
##BLOQUEIO DO YOUTUBE
YOUTUBE_IP_RANGE="216.58.192.78 216.58.219.142 187.7.130.20-187.7.130.59"
iptables -N YOUTUBE

## YOUTUBE DENY
for youtu in $YOUTUBE_IP_RANGE; do
iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range $youtu --dport 443 -j YOUTUBE
iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range $youtu --dport 80 -j YOUTUBE

done

YOUTUBE_ALLOW="192.168.x.x 192.168.x.y" #ips que sera LIBERADO se assim necessitar.
for YOU_LIBERADO in $YOUTUBE_ALLOW; do
iptables -I YOUTUBE -s $YOU_LIBERADO -j ACCEPT
done

iptables -A YOUTUBE -j REJECT


Regra n. 02
Esta regra bloqueia por ip mas pode testar por range completo de sua rede para ver se supre esse problema.
Pode usar também as duas ao mesmo tempo para uma solucao completa se somente uma não suprir, mas lembre-se que quanto mais configs, mais exige do hardware.

Código: Selecionar todos

#Bloqueio Youtube por porta/string via ip ( adeque aos ips de sua rede )

iptables -I FORWARD -s 10.50.1.2 -p tcp --dport 443 -m string --algo bm --string "youtube.com" -j DROP # Bloquear youtube por ip
iptables -I OUTPUT -s 10.50.1.2 -p tcp --dport 443 -m string --algo bm --string "youtube.com" -j DROP #Bloquear youtube por ip
iptables -I FORWARD -s 10.50.1.2 -m string --algo bm --string "youtube.com" -j DROP #Bloquear youtube por ip
iptables -I OUTPUT -s 10.50.1.2 -m string --algo bm --string "youtube.com" -j DROP #bloquear wifiBloquear youtube por ip


Obrigado