BFW Firewall & Router

[JotaJunniors]

Pessoal, boa tarde.

Meu servidor estava funcionando perfeitamente com o Squid 3.4.14, dans bloqueando http e regras de iptables bloqueando https. E comecei a receber reclamações de lentidão na rede e fui analisar e vi que quando apago as regras iptables as pesquisas no google normalizam e tudo voltam ao normal.

Uso a regra abaixo:

Código: Selecionar todos

#!/bin/sh

echo '***Executando bloqueios em sites https nao permitidos***'

##############################
# HTTPS - Lista Negra
##############################

iptables -I FORWARD -p tcp --dport 443 -j ACCEPT
iptables -I OUTPUT -p tcp --dport 443 -j ACCEPT
for URL in `grep -v "^#" /partition/samba/Teste/listanegra.txt`; do
iptables -I FORWARD -p tcp --dport 443 -d $URL -j DROP
iptables -I OUTPUT -p tcp --dport 443 -d $URL -j DROP

done
##############################


Pesquisando aqui no forum e vi umas postagens do Lenobare dizendo que a rede não ficava lenta, mas mesma assim testei em dois servidores e a rede fica lenta.

https://www.brazilfw.com.br/forum/viewtopic.php?f=77&t=93666&p=343598&hilit=bloquear+youtube+rede+lenta#p343598

Por favor, alguém já conseguiu bloquear https via iptables sem deixar a rede lenta?

Obrigado desde já.

Abcs.

Jota

[Lenobare]

Boa noite.
Que bom que está testando as funções de bloqueios, isso é importante para avaliarmos como as coisas funcionam.
Quanto ao que comentou, observe que as regras que colocou para os bloqueios não foi as que eu expliquei no tópico, mas sim o usuario Visomes, como pode verificar.. observando ainda no tópico que ele usa um computador de brinquedo ok. ( Sem ofender ok Visomes )

Não testei as regras que o Visomes informou, testei as que eu expliquei.
Outra questão que deve ser observada para todos que usam regras de bloqueios com iptables:
Bloquear por tabelas mangle não é um trabalho fácil para o Hardware, menos ainda para o BFW portanto isso tem que ser levado em conta ok. Se usa seu servidor pra fins de produção para uma empresa, pequena ou média, utilize um equipamento robusto, não computadores de brinquedo tipo dual core; hoje você adquiri bons Xens usados com 4gb e hds scsi ou sata pra servidor por menos de 800 reais, portanto opte por equipamentos que aguentam " o tranco ". Tente utilizar pelo menos um i3 com placa Asus e placa de rede broadcom se não puder usar um Xeon ok.

Boa sorte.

[JotaJunniors]

Lenobare, bom dia.

Eu migrei meu servidor para um Dell PowerEdge 1950 Xeon 8x 2.66 com 32 Gb de ram.

Esse servidor administra uma rede com dois aps ubiquiti uap-lr e tem 100 usuários.

O que notei é que para bloquear youtube eu tenho que usar regra que bloqueia a rede toda, ou então um ip especifico com o forward e output, mas mesmo assim a rede perde desempenho. Para os outros sites não afeta a rede. Sera que quando bloqueio os repasses para youtube ele não afeta os dns´s do google? E assim deixa a rede lenta.

Como voce bloquearia? Lembrando que preciso liberar alguns ips.

O que vc acha?

Jota

[Lenobare]

Boa Noite.. me parece que já descobriu o problema de sua rede que se refere ao cache informado em outro tópico.
Verifique o que pode estar causando a lentidão e informe.

[JotaJunniors]

Lenobare, bom dia.

Realmente o cache o estava deixando minha rede lenta as vezes, mas recriei o cache e tudo normalizou. Apos incansáveis testes. o que realmente constatei foi que o torna minha rede lente e as pesquisas no Google é o bloqueio no youtube. Se deixar liberado tudo funciona normal, mas se efetivar o bloqueio via iptables, a rede fica lenta e os sites quando pesquiso ficam muito lentos. Testei por ip, por string, pela porta e nada.

Com o bloqueio abaixo consegui barrar sites em https nos pcs e celulares, mas se colocar o youtube na lista negra a rede fica lenta.

Código: Selecionar todos

#!/bin/sh

echo '***Executando bloqueios em sites https nao permitidos***'

##############################
# HTTPS - Lista Negra
##############################

for URL in `grep -v "^#" /partition/samba/Teste/listanegra.txt`; do
iptables -I FORWARD -m string --algo bm --string $URL -j DROP
iptables -I OUTPUT -m string --algo bm --string $URL -j DROP

done
##############################



Se conseguir ai alguma solução para barrar o youtube sem deixar a rede lenta, por favor, me avisa.

Abraços e obrigado desde já.

Fechando o tópico.

Jota