IPTABLES com regra de tempo

diogopettres · 09 de Agosto de 2013, 14:49

Srs.,

Estou tentando bloquear o acesso por exemplo ao facebook (https) em um determinado intervado, mas não está funcionando:

Quando adicione esta regra:

iptables -A FORWARD -i eth0 -m string --algo bm --string "facebook.com" -j DROP

Eu não consigo ter acesso mais ao facebook via HTTPS (Até aqui tudo certo)

Mas.....

Se eu substituir a regra por esta:

iptables -A FORWARD -i eth0 -m string --algo bm --string "facebook.com" -m time --timestart 12:00 --timestop 15:00 -j DROP

Para de bloquear o trafego (o servidor esta dentro do horario de bloqueio "14:47"). Eu consigo acessar o facebook!!!

alguma sugestão??

Arthur Bernardes · 09 de Agosto de 2013, 15:08

Não é melhor configurar um Proxy?

diogopettres · 09 de Agosto de 2013, 15:24

Arthur,

Eu tenho um proxy squid rodando para solicitacoes http. Eu nao tenho muito experiencia ainda no linux, e vi que para configurar o squid para responder a https seria um pouco complicado!! Acho também que seria muito melhor o proxy cuidar disso tudo!!! Teria como vc me ajudar a configurar o https no squid?

Arthur Bernardes · 09 de Agosto de 2013, 15:33

Você quer que o Squid barre o acesso ao Facebook pelo HTTPS?!!

Seu proxy é configurado ou transparente?

Eu tenho configurado um proxy autenticado aqui na minha casa, e consigo barrar o Facebook em HTTPS facilmente, inclusive no celular (via browser).

Só que eu possuo uma ACL que bloqueia por palavras.

Então, criei o arquivo palavrasproibidas, dentro de /etc/squid3, com o comando touch /etc/squid3/palavrasproibidas, e abri um editor de texto nano, e coloquei nesse arquivo as palavras que desejo bloquear, vou postar abaixo.

Código (/etc/squid3/palavrasproibidas) Selecionar

xxx
sexo
teens
warez
redtube
xnxx
facebook
orkut
linkedin
hotmail
outlook

Então, fiz as seguintes configurações no meu squid.conf

Código Selecionar

acl palavrasproibidas dstdom_regex "/etc/squid3/palavrasproibidas"
http_access deny palavrasproibidas

acl url url_regex -i "/etc/squid3/palavrasproibidas"
http_access deny url

Mesmo o usuário acessando no navegador: https://facebook.com, cai no "Access Denied", então o Squid rejeitou por encontrar a palavra "facebook" tanto no conteúdo da página como na URL.

Desculpe se estiver complicado.

diogopettres · 09 de Agosto de 2013, 15:43

Meu proxy é transparente, quando faço um nat para meu squid da pau de certificado.

Arthur Bernardes · 09 de Agosto de 2013, 15:45

Tenta fazer o que eu disse acima, com o bloqueio de palavras.

Proxy Transparente mais HTTPS não funciona.

http://ubuntuforum-br.org/index.php/topic,107952.msg598185.html#msg598185

zekkerj · 10 de Agosto de 2013, 18:03

Solução fácil: não use proxy transparente. São tantas máquinas assim que não dá pra configurar o proxy nos navegadores?

nlsouza · 11 de Agosto de 2013, 21:36

Colegas,
tambem sou novo no linux, como faço para configurar o proxy no mozzilla, pois entrei em opões avançadas e os campos estavam vazios.
Obrigado

zekkerj · 11 de Agosto de 2013, 21:49

Para fazer a configuração manual, selecione... "Configuração manual". Depois informe o endereço do seu servidor proxy, e a porta (3128 para o Squid na configuração padrão).

Você também pode configurar o navegador para detecção automática, ou usar a mesma configuração do sistema (definida no Ubuntu pelas variáveis de ambiente "http_proxy", "ftp_proxy" e "https_proxy").

De todas estas, a melhor opção é a detecção automática, pois permite que você passe de uma rede para outra sem ter que refazer a configuração --- a cada conexão, o navegador detecta novamente a configuração necessária.

nlsouza · 11 de Agosto de 2013, 21:53

Entendi,
mas isso é seguro. Pois estou querendo configurar um controle dos pais para linux usando squid, mas não quero que alguem peguem dados tipo senha de sites entendeu?

zekkerj · 11 de Agosto de 2013, 22:02

Informe-se sobre o DansGuardian, ele complementa o Squid com um filtro de palavras muito eficiente contra sites de pornografia.

nlsouza · 11 de Agosto de 2013, 22:06

por usar um proxi e seguro? Essa e minha duvida.

zekkerj · 11 de Agosto de 2013, 23:50

O proxy pode ser seguro ou não, depende de como vc o usa, e de quem o administra...

Pra ser sincero, acompanhei o seu outro tópico, e não acho que o proxy seja sua solução.

lucianonc · 08 de Outubro de 2013, 21:26

Bem, aqui eu consegui ter sucesso seguindo a dica do viva o linux
http://www.vivaolinux.com.br/dica/IPtables-Squid-transparentes-Bloqueando-Facebook-em-HTTP-HTTPS-por-horarios
e fiz assim:
iptables -t filter -I FORWARD ! -s 192.168.20.0/24 -p tcp --dport 443 -m string --algo bm --string "facebook.com" -m time --timestart 07:30 --timestop 10:00 -j DROP
iptables -t filter -I FORWARD ! -d 192.168.20.0/24 -p tcp --sport 443 -m string --algo bm --string "facebook.com" -m time --timestart 07:30 --timestop 10:00 -j DROP
e funcionou! só tenho um problema, minha rede tem outras subredes e eu gostaria ki elas também acessassem o facebook, como adicionar mais outras duas subredes na regra? pois além do 192.168.20.0/24 tenho 172.16.0.0/24 e 192.168.3.0/24.

lucianonc · 08 de Outubro de 2013, 21:41

pere, vou ver agora