BFW Firewall & Router

[EugenioNava]

Ante mis saludos y muchas gracias a quienes han enviado sus comentarios...

He logrado:

Bloquear el uso del Ultrasurf en toda la Red....

NO he logrado que los usuarios usen:

1.) gmail
2.) hotmail
3.) ni yahoo.... en las maquinas donde se bloquea el uso del Ultrasurf..!

He colocado cada una de las instrucciones por Uds. explicadas y los usuarios no pueden usar sus correos
electronicos en gmail, hotmail ni yahoo, a menos que las IPs de esas maquinas sean liberadas, pero entonces
tengo el problema que SI puede activarse el Ultrasurf en esas maquinas...

Traduje todo el material del portugues al español...

Porfa alguna otra idea? gracias...

[baiev]

Você não conseguiu liberar o uso do GMAIL, HOTMAIL E YAHOO? é isso..?

[EugenioNava]

gracias por sus comentarios...

No consigo liberar el uso de gmail, ni hotmail ni yahoo...

Estoy usando BFW 2.32.2....

[almalves]

Estamos discutindo esse problema em http://www.brazilfw.com.br/forum/viewtopic.php?f=9&t=85824&p=308399&hilit=ultrasurf#p308399
É impressão minha ou esse tópico está duplicado?

[carlos_silvasantos]

Estamos discutindo esse problema em http://www.brazilfw.com.br/forum/viewtopic.php?f=9&t=85824&p=308399&hilit=ultrasurf#p308399
É impressão minha ou esse tópico está duplicado?

Não está duplicado, é que o tópico já está em duas páginas, dá um conferida ali no rodapé.

Att

[carlos_silvasantos]

Ante mis saludos y muchas gracias a quienes han enviado sus comentarios...

He logrado:

Bloquear el uso del Ultrasurf en toda la Red....

NO he logrado que los usuarios usen:

1.) gmail
2.) hotmail
3.) ni yahoo.... en las maquinas donde se bloquea el uso del Ultrasurf..!

He colocado cada una de las instrucciones por Uds. explicadas y los usuarios no pueden usar sus correos
electronicos en gmail, hotmail ni yahoo, a menos que las IPs de esas maquinas sean liberadas, pero entonces
tengo el problema que SI puede activarse el Ultrasurf en esas maquinas...

Traduje todo el material del portugues al español...

Porfa alguna otra idea? gracias...

Boa noite,

Se você está usando Lista Branca de HTTPs deverás colocar os ranges de IP https dos webmais, abaixo coloquei alguns que uso, dentre eles o yahoo, gmail e hotmail. Coloque e teste, se funcionar passo a dica depois para você como verificar esses ranges ou endereços que devem ser colocados na lista de https liberados.

Código: Selecionar todos

##EMAILs
#IBEST
187.31.64.0/20
mail.mailibest.ibest.com.br
#YAHOO
login.yahoo.com
us.lrd.yahoo.com
edit.yahoo.com
s.yimg.com
#BOL
bol.uol.com.br
visitante.acesso.uol.com.br
sac.uol.com.br
cadastro.uol.com.br
#GMAIL
209.85.128.0/17
64.233.160.0/19
74.125.0.0/16
173.194.0.0/16
accounts.l.google.com
googlemail.l.google.com
mail.google.com
www.google.com
accounts.google.com
ssl.gstatic.com
docs.google.com
maps.google.com
clients6.google.com
googleadservices.com
news.google.com.br
#HOTMAIL
65.52.0.0/14
72.246.0.0/15
157.60.0.0/16
157.56.0.0/14
157.54.0.0/15
96.16.0.0/15
23.64.0.0/14
23.32.0.0/11
157.54.0.0/15
157.60.0.0/16
157.56.0.0/14
65.52.0.0/14
173.222.0.0/15
64.4.0.0/18
23.0.0.0/12
92.242.140.0/24
mail.live.com
hotmail.com
secure.wlxrs.com
devices.live.com
skydrive.live.com
home.live.com
profile.live.com
calendar.live.com
gfx8.hotmail.com
live.com
#TERRA
central.terra.com.br
smail-mia.terra.com.br

Att

[EugenioNava]

Listo!

con la lista blanca suministrada por el amigo Carlos_SilvaSantos..!

Ahora si, se ha logrado acceder a gmail (total)
hotmail (NO completo) y yahoo (NO completo).... se logra entrar pero no son manejables
las bandejas de entrada y otros... pienso que falta agregar direcciones para destrancar
el acceso.-

Gracias... al menos se han logrado los objetivos principales:

1.) Bloquear el uso del Ultrasurf
2.) Bloquear el uso del Facebook por https://facebook.com
3.) Acceder a Bancos, Utilidades, Gmail, Hotmail, Yahoo, etc. solo falta afinar la lista Blanca.

Expreso mi agradecimiento a todos los colegas del Foro que ayudaron en este tema...

Eugenio Nava

[almalves]

con la lista blanca suministrada por el amigo Carlos_SilvaSantos...

Gracias... al menos se han logrado los objetivos principales:

1.) Bloquear el uso del Ultrasurf
2.) Bloquear el uso del Facebook por https://facebook.com
3.) Acceder a Bancos, Utilidades, Gmail, Hotmail, Yahoo, etc. solo falta afinar la lista Blanca.
Expreso mi agradecimiento a todos los colegas del Foro que ayudaron en este tema...
Eugenio Nava[/quote]

Querido amigo , yo soy brasileño y no hablo su idioma, si descupe algo mal traducido.
¿Podría mostrarme los archivos? o enviarme sus archivos o scripts que trabajaban? y donde los puse en mi BFW? ¡gracias

[almalves]

Estoy Esperando...

[carlos_silvasantos]

Estoy Esperando...

Boa tarde,

Se é lista branca HTTPS que você está esperando o nosso amigo Eugenio enviar para você é só você implementar usando o que já abordamos nesse mesmo tópico, na primeira página.

http://www.brazilfw.com.br/forum/viewtopic.php?f=9&t=85824#p308168

Ou se não quiser implementar a lista branca HTTPs como coloquei no link acima você pode implementar a lista branca conforme a forma que o Baiev também ensinou nesse mesmo tópico.



Att

[EugenioNava]

Ante todo mis mas cordiales saludos a todos mis amigos brasileños de esta excelente Foro a quienes
quiero expresar mi agradecimiento en la conclusión de este tema.-

muito obrigado....

Hare una recopilación de todos los temas referidos al bloqueo del Ultrasurf, Facebook y etc.
asi como la liberación de otros como: gmail, yahoo, hotmail (outlook), bancos, utilidades (team viewer, etc)
a traves del puerto 443 (https).-

He tenido que cambiar algunos nombres solo de forma para ser mas explicativo y algunas mejoras de fondo
en algunos temas...

Comienzo:

1.) Estoy usando BFW 2.32.2 con squid.-

2.) Lista Blanca (https) contiene la lista de paginas Webs y/o IPs que estaran Libres para todos los usuarios
por el puerto 443 (https), en mi caso esta en el directorio: /usr/local/squid/etc y se llama blanca.flt.-
Lista Blanca = /usr/local/squid/etc/blanca.flt debe tener permisos 755.-

# blanca.flt
# Ing. Eugenio Nava M.
# Valencia - Venezuela
# Version 1.0
# 10-02-2013
# Webs Libres para todos los usuarios por el puerto 443 (https)
###10-02-2013
###YAHOO
dps.msg.yahoo.com
prod1.rest-notify.msg.yahoo.com
ads4.fxdepo.com
3cp9lcoq32dpn-c.c.yom.mail.yahoo.com
3edr56pij4phm-c.c.yom.mail.yahoo.com
yahooapis.com
yieldmanager.com
yldmgrimg.net
yahoo.com
98.137.0.0/16
98.138.0.0/16
98.139.0.0/16
216.115.0.0/16
ad.yieldmanager.com
buy.norton.com
c5.ah.yahoo.com
cdn.viajeros.com
csc.beap.bc.yahoo.com
dps.msg.yahoo.com
e1-mg5.mail.yahoo.com
e1.address.yahoo.com
e1.mail.yahoo.com
e1.overview.mail.yahoo.com
edit.yahoo.com
espanol.finance.yahoo.com
espanol.my.yahoo.com
espanol.news.yahoo.com
espanol.search.yahoo.com
espanol.sports.yahoo.com
espanol.yahoo.com
everything.yahoo.com
feedback.help.yahoo.com
geo.yahoo.com
global.ard.yahoo.com
yimg.com
l.yimg.com
l1.yimg.com
l2.yimg.com
l3.yimg.com
l4.yimg.com
s.yimg.com
login.yahoo.com
login.yahoo.net
mail.yahoo.com
mail.yimg.com
omg.yahoo.com
open.login.yahoo.com
plus.google.com
profile.yahoo.com
row.bc.yahoo.com
rtb.pclick.yahoo.com
shine.yahoo.com
us.bc.yahoo.com
us.lrd.yahoo.com
us.mg.mail.yahoo.com
usw.cdn-services.com
ve.yahoo.com
viajeros-cdn.s3.amazonaws.com
viajeros.com
ycw.updates.yahoo.com
#HOTMAIL (OUTLOOK)
signout.live.com
blu002.mail.live.com
blu171.mail.live.com
login.live.com
65.52.0.0/14
72.246.0.0/15
157.60.0.0/16
157.56.0.0/14
157.54.0.0/15
96.16.0.0/15
23.64.0.0/14
23.32.0.0/11
157.54.0.0/15
157.60.0.0/16
157.56.0.0/14
173.222.0.0/15
64.4.0.0/18
23.0.0.0/12
92.242.140.0/24
mail.live.com
hotmail.com
secure.wlxrs.com
devices.live.com
skydrive.live.com
home.live.com
profile.live.com
calendar.live.com
gfx8.hotmail.com
live.com
###BANCOS
www.banesco.com
www.banesconline.com
www.banesco-prod-cdn.s3.amazonaws.com
www.bicentenariobu.com
###UTILIDADES
www.box.com
ak1.boxcdn.net
ak2.boxcdn.net
ak3.boxcdn.net
www.teamviewer.com
www.noip.com
www.dyndns.com
www.linkedin.com
###GMAIL
gmail.com
209.85.128.0/17
64.233.160.0/19
74.125.0.0/16
173.194.0.0/16
accounts.l.google.com
googlemail.l.google.com
mail.google.com
google.com
accounts.google.com
ssl.gstatic.com
docs.google.com
maps.google.com
clients6.google.com
googleadservices.com
news.google.com.br
###TERRA
central.terra.com.br
smail-mia.terra.com.br

3.) IPs especiales, tiene las IPs de usuarios que podran acceder libremente en la lista blanca (https) arriba
descrita, en mi caso estan en el directorio: /usr/local/squid/etc y se llaman ipsespeciales.yes
IPs especiales = /usr/local/squid/etc/ipsespeciales.yes debe tener permisos 755.-

4.) Modificaciones en el archivo rc.local:

Agregar al final del archivo rc.local solamente estos comandos:

#Recoloca estas Reglas
/usr/sbin/iptables -A FORWARD -m state --state INVALID -j DROP
/usr/sbin/iptables -A FORWARD -m state --state established,related -j ACCEPT
/usr/sbin/iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

####################################################################################
# 1/2 Lista Blanca -> Webs Libres para todos los usuarios por el puerto 443 (https)
####################################################################################
/usr/sbin/iptables -I FORWARD -p tcp --dport 443 -j DROP
for URL in `grep -v "^#" /usr/local/squid/etc/blanca.flt | grep -v "^$"`; do
/usr/sbin/iptables -I FORWARD -p tcp --dport 443 -d $URL -j ACCEPT
done
####################################################################################
# 2/2 Lista Blanca -> IPs (especiales) -> libres en las Webs https por el puerto 443
####################################################################################
for IPSL in `grep -v "^#" /usr/local/squid/etc/ipsespeciales.yes | grep -v "^$"`; do
/usr/sbin/iptables -I FORWARD -p tcp --dport 443 -s $IPSL -j ACCEPT
done

5.) Crear un archivo para actualizar las IPs especiales (ipsespeciales.yes) asi como la lista blanca (blanca.flt)
igual procedimiento que en el tutorial http://www.brazilfw.com.br/forum/viewtopic.php?f=9&t=83422, pero actualizando
los nombres antes indicados, en mi caso lo llame: listablanca.sh y lo agregue en directorio /usr/local/squid/etc
es un archivo independiente y debe tener permisos 755, han sido incorporadas unas mejoras antes y despues del
tema 83422 a fin de ser mas explicativos:

# listablanca.sh
# Ing. Eugenio Nava M.
# Valencia - Venezuela
# Version 1.0 mejorada
# 10-02-2013
echo "Actualizando Informacion..."
echo "Por favor espere......"

#Limpia reglas de la tabla FORWARD
/usr/sbin/iptables -F FORWARD

#Recoloca estas Reglas
/usr/sbin/iptables -A FORWARD -m state --state INVALID -j DROP
/usr/sbin/iptables -A FORWARD -m state --state established,related -j ACCEPT
/usr/sbin/iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

####################################################################################
# 1/2 Lista Blanca -> Webs Libres para todos los usuarios por el puerto 443 (https)
####################################################################################
/usr/sbin/iptables -I FORWARD -p tcp --dport 443 -j DROP
for URL in `grep -v "^#" /usr/local/squid/etc/blanca.flt | grep -v "^$"`; do
/usr/sbin/iptables -I FORWARD -p tcp --dport 443 -d $URL -j ACCEPT
done
####################################################################################
# 2/2 Lista Blanca -> IPs (especiales) -> libres en las Webs https por el puerto 443
####################################################################################
for IPSL in `grep -v "^#" /usr/local/squid/etc/ipsespeciales.yes | grep -v "^$"`; do
/usr/sbin/iptables -I FORWARD -p tcp --dport 443 -s $IPSL -j ACCEPT
done
####################################################################################
echo ""
echo "Nuevas Reglas activas..."
echo "Por favor espere......"
sleep 5
/usr/sbin/iptables -L FORWARD

En mi caso logre cambiar una opcion del archivo /var/http/htdocs/cgi-bin/diags.cgi y agregar que ejecutara este script
esto pudiera estar incorporado en un add-on de manera automatica, quien se atreve?

6.) Para ir descubriendo los https libres e irlos agregando a la lista blanca (blanca.flt) cuando no se puede acceder
a cierta pagina https://ejemplo.com use el procedimiento indicado al final del tema http://www.brazilfw.com.br/forum/viewtopic.php?f=9&t=85317, que dice asi:

1 º. Abra la página con el webmail (IE, Mozilla, Chrome, etc..): https://ejemplo.com
2 º. Utilice la opción "Ver código fuente" del respectivo navegador;
3 º. Dentro del código fuente, busque la palabra "https:" (sin comillas);
4 º. Registe todas las direcciones incluidas en el código fuente dentro del archivo blanca.flt;
5 º. A medida que vaya guardando y agregando las direciones al archivo blanca.flt, puede ejecutar el archivo o
script ejecutable listablanca.sh
6 º Revise si ha logrado entrar completamente a la pagina https://ejemplo.com

Notas Importantes:

A.) En algunas oportunidades tuve que colocar la IP del usuario especial como 100% libre en el squid para que actualizara
información en el navegador utilizado, luego del cual pude tener acceso completo a la pagina https...
B.) El archivo listablanca.sh es un script independiente y NO debe ser incluido tal cual dentro del rc.local, solo se deben
agregar al rc.local ciertos comandos arriba descritos.-
C.) Para llegar a estas conclusiones se han revisados los siguientes temas:
1.- http://www.brazilfw.com.br/forum/viewtopic.php?f=9&t=83422
2.- http://www.brazilfw.com.br/forum/viewtopic.php?f=9&t=85504
3.- http://www.brazilfw.com.br/forum/viewtopic.php?f=9&t=85317
4.- http://www.brazilfw.com.br/forum/viewtopic.php?f=9&t=82133
5.- http://www.brazilfw.com.br/forum/viewtopic.php?f=9&t=85017
6.- http://www.brazilfw.com.br/forum/viewtopic.php?f=9&t=83536
7.- http://www.brazilfw.com.br/forum/viewtopic.php?f=9&t=82251
8.- http://www.brazilfw.com.br/forum/viewtopic.php?f=9&t=83414
9.- http://www.brazilfw.com.br/forum/viewtopic.php?f=9&t=78815
10.- http://www.brazilfw.com.br/forum/viewtopic.php?f=9&t=68610
11.- http://www.brazilfw.com.br/forum/viewtopic.php?f=9&t=66089
12.- http://www.brazilfw.com.br/forum/viewtopic.php?f=9&t=84870
13.- http://www.brazilfw.com.br/forum/viewtopic.php?f=9&t=76126
14.- http://www.brazilfw.com.br/forum/viewtopic.php?f=9&t=83325
15.- http://www.brazilfw.com.br/forum/viewtopic.php?f=9&t=77541
16.- http://www.brazilfw.com.br/forum/viewtopic.php?f=9&t=82435
17.- http://www.brazilfw.com.br/forum/viewtopic.php?f=9&t=83685
18.- http://www.brazilfw.com.br/forum/viewtopic.php?f=9&t=82782
19.- http://www.brazilfw.com.br/forum/viewtopic.php?f=9&t=81245
20.- http://www.brazilfw.com.br/forum/viewtopic.php?f=9&t=68852
Entre muchos temas de google.com, iptables, Ultrasurf... etc..etc..!!

7.) Con esto se pueden cumplir los objetivos trazados al principio del tema:

1.) La lista blanca suministrada por el amigo Carlos_SilvaSantos fue actualizada y disponible para todos.-
2.) Bloquear el uso del Ultrasurf para todos los usuarios!
2.) Bloquear el uso del Facebook por https://facebook.com para todos los usuarios!
3.) Tener una lista Blanca de paginas webs (https) para que todos los usuarios pudieran acceder a Bancos,
Utilidades, Gmail, Hotmail (Outlook), Yahoo, Utilidades (teamviewer), etc. usando el puerto 443.-
4.) Tener Usuarios que por razones de trabajo deban tener 100% libre el uso del puerto 443.-

Expreso mi agradecimiento a todos los colegas del Foro Brasileño y de Español que ayudaron a aclarar este tema...
Esto deberia quedar como un tutorial y quien tenga los conocimientos suficientes crear un add-on, que registre
IPs, Paginas Webs (https) y ejecute un script.-

Eugenio Nava
Valencia - Venezuela.-

[almalves]

"EugenioNava"Ante todo mis mas cordiales saludos a todos mis amigos brasileños de esta excelente Foro a quienes
quiero expresar mi agradecimiento en la conclusión de este tema.

-

Então, Obrigado pela excelente postagem, muito bem explicado.
Gostaria de saber se já testou em versões 3.x do BFW? pois vou testar na 3.054 PAE ainda essa semana. Sem falta. Pois estou utilizando essa versão.
Outra dúvida, vc tem o link para eu usar seu backup....tar.bz2 ? eu poderia usar para teste em laboratório?

traduzindo:
Así que, gracias por el gran post, muy bien explicado.
Me pregunto si alguna vez probado en las versiones 3.x de BFW? Voy a probarlo en 3054 PAE aún esta semana. Sin falta. Porque yo estoy usando esa versión.
Otra duda u tienen el enlace para que yo use su copia de seguridad .... tar.bz2? Me vendría bien para poner a prueba en el laboratorio?

[EugenioNava]

Buenas tardes amigo almalves...

Solo he trabajado con la ver.2.32.2 pero estas instrucciones deben hacerlo igual en la Ver. 3.x
no creo que haya problema... intentalo y avisa.

Eugenio Nava

[almalves]

Buenas tardes amigo almalves...

Solo he trabajado con la ver.2.32.2 pero estas instrucciones deben hacerlo igual en la Ver. 3.x
no creo que haya problema... intentalo y avisa.

Eugenio Nava

Na 3.x não está funcionando, pois ao reiniciar , perde os arquivos, mesmo quando se dá o comando backup , estou testando mudar os diretórios
e fazendo testes.

[baiev]

Os scripts tem que ser criados na pasta

Código: Selecionar todos

/partition/

Em qualquer outra pasta o arquivo perde a permissão do chmod +x
ai ele não é executado...

[almalves]

Não consegui exito ao testar em versões 3.x , estou baixando agora a versão ver.2.32.2 para realizar os testes conforme o colega citou.
Só não sei a respeito da estabilidade dessa versão. Nem tampouco se o dansguardian é estável na mesma.

[EugenioNava]

Saludos almalves...

Revisa este tema: http://www.brazilfw.com.br/forum/viewtopic.php?f=40&t=83422
dice que trabaja en BFW 3.x y fue uno de los revisados...

Eugenio Nava
Venezuela.-

[almalves]

Saludos almalves...

Revisa este tema: http://www.brazilfw.com.br/forum/viewtopic.php?f=40&t=83422
dice que trabaja en BFW 3.x y fue uno de los revisados...

Eugenio Nava
Venezuela.-

Saludos Eugenio e amigos
Esse link anterior não funciona está errado, nem procurei o problema, pois eu apenas adaptei o seu script citado antes para a versão 3.x do BFW
Utilizando o tutorial que voce usou na versão 2.32.2 está tudo ok, porém apresenta erros :

Código: Selecionar todos

' not found.4.10: host/network `dps.msg.yahoo.com
Try `iptables -h' or 'iptables --help' for more information.
' not found.4.10: host/network `dps.msg.yahoo.com
Try `iptables -h' or 'iptables --help' for more information.
' not found.4.10: host/network `prod1.rest-notify.msg.yahoo.com
Try `iptables -h' or 'iptables --help' for more information.
' not found.4.10: host/network `ads4.fxdepo.com
Try `iptables -h' or 'iptables --help' for more information.
' not found.4.10: host/network `3cp9lcoq32dpn-c.c.yom.mail.yahoo.com
Try `iptables -h' or 'iptables --help' for more information.
' not found.4.10: host/network `3edr56pij4phm-c.c.yom.mail.yahoo.com
Try `iptables -h' or 'iptables --help' for more information.
' not found.4.10: host/network `yahooapis.com
Try `iptables -h' or 'iptables --help' for more information.
' not found.4.10: host/network `yieldmanager.com
Try `iptables -h' or 'iptables --help' for more information.
' not found.4.10: host/network `yldmgrimg.net
Try `iptables -h' or 'iptables --help' for more information.
' not found.4.10: host/network `yahoo.com
Try `iptables -h' or 'iptables --help' for more information.
' specified.4.10: invalid mask `16
Try `iptables -h' or 'iptables --help' for more information.
' specified.4.10: invalid mask `16
Try `iptables -h' or 'iptables --help' for more information.
' specified.4.10: invalid mask `16
Try `iptables -h' or 'iptables --help' for more information.
' specified.4.10: invalid mask `16
Try `iptables -h' or 'iptables --help' for more information.
' not found.4.10: host/network `ad.yieldmanager.com
Try `iptables -h' or 'iptables --help' for more information.
' not found.4.10: host/network `buy.norton.com
Try `iptables -h' or 'iptables --help' for more information.
' not found.4.10: host/network `c5.ah.yahoo.com
Try `iptables -h' or 'iptables --help' for more information.
' not found.4.10: host/network `cdn.viajeros.com
Try `iptables -h' or 'iptables --help' for more information.



Está funcionando 100% bloqueio do Ultrasurf, bloqueio do facebook, e twitter HTTPS e liberação para apenas alguns ip´s dentro do arquivo ipsespeciales.yes
O erro está no arquivo blanca.flt alguém tem ideia de como corrigi-lo? seria a versão do iptables?
Lembrando que na minha versão 3.x eu estou utilizando esse rc.local:

Código: Selecionar todos

/usr/sbin/iptables -A FORWARD -m state --state INVALID -j DROP
/usr/sbin/iptables -A FORWARD -m state --state established,related -j ACCEPT
/usr/sbin/iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

####################################################################################
# 1/2 Lista Blanca -> Webs Libres para todos los usuarios por el puerto 443 (https)
####################################################################################
/usr/sbin/iptables -I FORWARD -p tcp --dport 443 -j DROP
for URL in `grep -v "^#" /partition/ultra/blanca.flt | grep -v "^$"`; do
/usr/sbin/iptables -I FORWARD -p tcp --dport 443 -d $URL -j ACCEPT
done
####################################################################################
# 2/2 Lista Blanca -> IPs (especiales) -> libres en las Webs https por el puerto 443
####################################################################################
for IPSL in `grep -v "^#" /partition/ultra/ipsespeciales.yes | grep -v "^$"`; do
/usr/sbin/iptables -I FORWARD -p tcp --dport 443 -s $IPSL -j ACCEPT
done


De qualquer forma quero agradecer antecipadamente a Eugenio navas, baiev, carlos_silvasantos e todos que já ajudaram e puderem ajudar.

[baiev]

Aparentemente o iptables não esta conseguindo resolver os domínios ou não esta conseguindo ler a sintax...escritos dentro do arquivo.../partition/ultra/blanca.flt
posta o seu arquivo aqui...

[almalves]

Aparentemente o iptables não esta conseguindo resolver os domínios ou não esta conseguindo ler a sintax...escritos dentro do arquivo.../partition/ultra/blanca.flt
posta o seu arquivo aqui...

então, segue arquivo com a lista branca de https

Código: Selecionar todos

# blanca.flt
# Ing. Eugenio Nava M.
# Valencia - Venezuela
# Version 1.0
# 10-02-2013
# Webs Libres para todos los usuarios por el puerto 443 (https)
###10-02-2013
###YAHOO
dps.msg.yahoo.com
prod1.rest-notify.msg.yahoo.com
ads4.fxdepo.com
3cp9lcoq32dpn-c.c.yom.mail.yahoo.com
3edr56pij4phm-c.c.yom.mail.yahoo.com
yahooapis.com
yieldmanager.com
yldmgrimg.net
yahoo.com
98.137.0.0/16
98.138.0.0/16
98.139.0.0/16
216.115.0.0/16
ad.yieldmanager.com
buy.norton.com
c5.ah.yahoo.com
cdn.viajeros.com
csc.beap.bc.yahoo.com
dps.msg.yahoo.com
e1-mg5.mail.yahoo.com
e1.address.yahoo.com
e1.mail.yahoo.com
e1.overview.mail.yahoo.com
edit.yahoo.com
espanol.finance.yahoo.com
espanol.my.yahoo.com
espanol.news.yahoo.com
espanol.search.yahoo.com
espanol.sports.yahoo.com
espanol.yahoo.com
everything.yahoo.com
feedback.help.yahoo.com
geo.yahoo.com
global.ard.yahoo.com
yimg.com
l.yimg.com
l1.yimg.com
l2.yimg.com
l3.yimg.com
l4.yimg.com
s.yimg.com
login.yahoo.com
login.yahoo.net
mail.yahoo.com
mail.yimg.com
omg.yahoo.com
open.login.yahoo.com
plus.google.com
profile.yahoo.com
row.bc.yahoo.com
rtb.pclick.yahoo.com
shine.yahoo.com
us.bc.yahoo.com
us.lrd.yahoo.com
us.mg.mail.yahoo.com
usw.cdn-services.com
ve.yahoo.com
viajeros-cdn.s3.amazonaws.com
viajeros.com
ycw.updates.yahoo.com
#HOTMAIL (OUTLOOK)
signout.live.com
blu002.mail.live.com
blu171.mail.live.com
login.live.com
65.52.0.0/14
72.246.0.0/15
157.60.0.0/16
157.56.0.0/14
157.54.0.0/15
96.16.0.0/15
23.64.0.0/14
23.32.0.0/11
157.54.0.0/15
157.60.0.0/16
157.56.0.0/14
173.222.0.0/15
64.4.0.0/18
23.0.0.0/12
92.242.140.0/24
mail.live.com
hotmail.com
secure.wlxrs.com
devices.live.com
skydrive.live.com
home.live.com
profile.live.com
calendar.live.com
gfx8.hotmail.com
live.com
###BANCOS
www.banesco.com
www.banesconline.com
www.banesco-prod-cdn.s3.amazonaws.com
www.bicentenariobu.com
###UTILIDADES
www.box.com
ak1.boxcdn.net
ak2.boxcdn.net
ak3.boxcdn.net
www.teamviewer.com
www.noip.com
www.dyndns.com
www.linkedin.com
www.ammyy.com
###GMAIL
gmail.com
209.85.128.0/17
64.233.160.0/19
74.125.0.0/16
173.194.0.0/16
accounts.l.google.com
googlemail.l.google.com
mail.google.com
google.com
accounts.google.com
ssl.gstatic.com
docs.google.com
maps.google.com
clients6.google.com
googleadservices.com
news.google.com.br
###TERRA
central.terra.com.br
smail-mia.terra.com.br

Existe alguma outra forma de fazer uma lista de ip´s internos passando fora de tudo? passando direto pelo squid, dansguardian, bloqueios ultrasurf, https...
(Isso pra mim no meu cenário já resolveria, pois amarraria uma lista de uns 10 ip´s da diretoria.) Alguém tem aí anotado os comandos no iptables?

Detalhe importante verifiquei que o BFW estava aceitando acesso via proxy manual configurado nas opções da internet, cujo qual bloqueei usando a regra:
Meu rc.local:

Código: Selecionar todos

/usr/sbin/iptables -A FORWARD -m state --state INVALID -j DROP
/usr/sbin/iptables -A FORWARD -m state --state established,related -j ACCEPT
/usr/sbin/iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

####################################################################################
# 1/2 Lista Blanca -> Webs Libres para todos los usuarios por el puerto 443 (https)
####################################################################################
/usr/sbin/iptables -I FORWARD -p tcp --dport 443 -j DROP
for URL in `grep -v "^#" /partition/ultra/blanca.flt | grep -v "^$"`; do
/usr/sbin/iptables -I FORWARD -p tcp --dport 443 -d $URL -j ACCEPT
done
####################################################################################
# 2/2 Lista Blanca -> IPs (especiales) -> libres en las Webs https por el puerto 443
####################################################################################
#
for IPSL in `grep -v "^#" /partition/ultra/ipsespeciales.yes | grep -v "^$"`; do
#se quiser conciliar dansguardian
#for IPSL in `grep -v "^#" /etc/brazilfw/dansguardian/exceptioniplist | grep -v "^$"`; do

/usr/sbin/iptables -I FORWARD -p tcp --dport 443 -s $IPSL -j ACCEPT
done
#LIBERANDO PORTAS DE EMAIL
iptables -A FORWARD -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -p tcp --dport 110 -j ACCEPT
iptables -A FORWARD -p tcp --dport 587 -j ACCEPT
iptables -A FORWARD -p tcp --dport 465 -j ACCEPT
#BLOQUEANDO OS MALDITOS PROXYES MANUAIS
iptables -A FORWARD -j DROP


desde já agradeço os colegas pelos Helps

[almalves]

Percebi outro problema: ao iniciar o firewall ele não bloqueia o HTTPS, apenas após rodar o comando manualmente.
Cujo qual realizo questionamento ao fórum:
http://www.brazilfw.com.br/forum/viewtopic.php?f=77&t=85991&p=309221#p309221
Alguém poderia refazer esses procedimentos? de forma que seja adaptado a versão 3.x corretamente? temo por ter feito algo errado .
Aguardo.

[CYBERTRONIC]

Reinciei o BFW e esta bloqueando o ultrasurf e HTTPS vou testar mais

desculpe a ignorancia qual é essa comando?

apenas após rodar o comando manualmente.

abraço

[baiev]

São os arquivos criados nas mensagens anteriores...

[almalves]

Reinciei o BFW e esta bloqueando o ultrasurf e HTTPS vou testar mais
desculpe a ignorância qual é essa comando?

apenas após rodar o comando manualmente.

abraço

Então, qual a versão do BFW que vc está usando? pois aqui está ainda estou com o mesmo problema.
Esses arquivos são pra além de bloquear ultrasurf e https (face, twitter etc... ) bloquear o acesso a proxyes de terceiros.
Eu também uso o dansguardian também pra bloquear acesso aos sites comuns.

[almalves]

São os arquivos criados nas mensagens anteriores...

Baiev? vc tem algum exemplo de arquivo de configuração aprimorada com atendendo essa necessidade acima? se sim poderia enviar o backup do bfw? ou postar o seu rc.local?
Estou desconfiado que pode ser algo nessa sequencia aí, mas ainda estou batalhando pra descobrir.

[almalves]

São os arquivos criados nas mensagens anteriores...

Baiev? vc tem algum exemplo de arquivo de configuração aprimorada com atendendo essa necessidade acima? se sim poderia enviar o backup do bfw? ou postar o seu rc.local?
Estou desconfiado que pode ser algo nessa sequencia aí, mas ainda estou batalhando pra descobrir.

Só pra constar, o problema era a sintaxe no arquivo Blanca.flt. basta listar apenas o dominio. Essa dica é funcional desde mes passado onde implementei está tudo OK .