Squid com 3 niveis

Iniciado por sowbra, 27 de Maio de 2012, 21:50

tópico anterior - próximo tópico

sowbra

Srs.

Boa Noite!!

Estou com dificuldades em montar o squema abaixo:

Preciso de 3 niveis
Diretoria --- acesso full
Gerencia --- acesso full menos bloqueados e downloadsproibidos
Funcionarios --- apenas oq tiver no sitesliberados e + nada.... (qualquer pc que nao esteja nas regras acima ou seja o restante da rede 192.168.1.0/24) ou usarios que se conectarem atraves do roteador sem fio.

Minha base foi nesse forum http://www.vivaolinux.com.br/topico/Squid-Iptables/error-no-squid. Porém da forma que esta meu squid (conforme abaixo) os funcionarios estao com o mesmo acesso que a gerencia menos as palavrasproibidas. Preciso que eles tenho acesso somente aos sites que estao liberados e + nada.


http_port 3128 transparent
visible_hostname concreto
error_directory /usr/share/squid/errors/Portuguese/
cache_mgr t@.com.br
cache_mem 64 MB
maximum_object_size_in_memory 64 KB
maximum_object_size 512 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid 2048 16 256
cache_access_log /var/log/squid/access.log
refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280

acl all src 192.168.1.0/24
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563 8333 10000 5200
acl Safe_ports port 21 59 70 80 210 280 443 488 563 777 901 1025-65535 5200
acl purge method PURGE
acl CONNECT method CONNECT


acl Downloadsproibidos url_regex -i "/etc/squid/extban" # # # Bloqueia extensoes de arquivos para downloads

acl Downloadsliberados url_regex -i "/etc/squid/extpermitidas" # # # Bloqueia extensoes de arquivos para downloads

acl palavrasproibidas url_regex -i "/etc/squid/palavrasproibidas" # Bloqueia palavras proibidas

acl bloqueados url_regex -i "/etc/squid/bloqueados" # # Sites Bloqueados

### Liberando Grupo de acessos

acl Diretoria arp "/etc/squid/ip.diretoria"
acl Gerencia arp "/etc/squid/ip.gerencia"
acl Funcionarios src "/etc/squid/ip.funcionarios"
 
#ACLs de Sites Bloqueados/Liberados para Grupos/Funcionarios

acl SitesFuncionarios url_regex -i "/etc/squid/liberado"

## ACL's Padrao
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost

## ACL Personallizada


http_access allow Diretoria
http_access allow Downloadsliberados
http_access deny Downloadsproibidos
http_access allow Gerencia !bloqueados
http_access allow !bloqueados !palavrasproibidas Funcionarios SitesFuncionarios
http_access deny all

Desde ja agradeço atenção e ajuda.



Att.


zekkerj

CitarPreciso de 3 niveis
Diretoria --- acesso full
Gerencia --- acesso full menos bloqueados e downloadsproibidos
Funcionarios --- apenas oq tiver no sitesliberados e + nada.... (qualquer pc que nao esteja nas regras acima ou seja o restante da rede 192.168.1.0/24) ou usarios que se conectarem atraves do roteador sem fio.

Minha base foi nesse forum http://www.vivaolinux.com.br/topico/Squid-Iptables/error-no-squid. Porém da forma que esta meu squid (conforme abaixo) os funcionarios estao com o mesmo acesso que a gerencia menos as palavrasproibidas. Preciso que eles tenho acesso somente aos sites que estao liberados e + nada.

Tente assim.

http_access allow Diretoria
http_access deny bloqueados
http_access deny downloadsproibidos
http_access allow Gerencia
http_access allow Funcionarios sitesliberados
http_access deny all
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

sowbra


sowbra

Funcionou porem o sites com https nao acessam + ????

segue meu script fw



## INDICAR O INICIO/REINICIO DO FIREWALL
case $1 in
start|restart)
echo "Firewall ATIVADO "

## VARIAVEIS DAS PLACAS DE REDE
NET=eth0
RLOCAL=eth1
REDE="192.168.1.0/16"

## CARREGAR MODULOS
modprobe ip_tables
modprobe iptable_nat
modprobe iptable_filter
modprobe ip_conntrack
modprobe ip_nat_ftp
modprobe ip_conntrack_ftp
modprobe ipt_MASQUERADE
modprobe ipt_LOG

## LIMPAR REGRAS ANTERIORES
iptables -F
iptables -t nat -F

# DEFINIR POLITICA PADRAO (NEGAR TUDO)
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

## COMPARTILHAR CONEXAO DE INTERNET
## IP DINAMICO
iptables -t nat -A POSTROUTING -o $NET -j MASQUERADE

## ATIVAR ROTEAMENTO
echo "1" > /proc/sys/net/ipv4/ip_forward

## LIBERAR A PROPRIA MAQUINA LOOPBACK PARA ACESSO A INTERNET
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT


### Aceita entrada DNS ###
iptables -A OUTPUT -o $NET -p UDP --dport 53 -j ACCEPT

## Estabilizar conexoes
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

## LIBERAR/BLOQUEAR A REDE LOCAL
iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT

######################Protege contra pacotes danificados
#Portscanners, Ping of Death, ataques DoS, Syb-flood e Etc
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
#iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD --protocol tcp --tcp-flags ALL SYN,ACK -j DROP



### Libera Windows Update

iptables -A INPUT -i $NET -p tcp -s 69.44.123.167/32 --sport 80 -j ACCEPT
iptables -A OUTPUT -o $NET -p tcp -d 69.44.123.167/32 --dport 80 -j ACCEPT
iptables -A FORWARD -o $NET -p tcp -d 69.44.123.167/32 --dport 80 -j ACCEPT
iptables -A INPUT -i $NET -p tcp -s 69.44.123.167/32 --sport 443 -j ACCEPT
iptables -A OUTPUT -o $NET -p tcp -d 69.44.123.167/32 --dport 443 -j ACCEPT
iptables -A FORWARD -o $NET -p tcp -d 69.44.123.167/32 --dport 443 -j ACCEPT
iptables -A INPUT -i $NET -p tcp -s 207.46.198.93/32 --sport 443 -j ACCEPT
iptables -A OUTPUT -o $NET -p tcp -d 207.46.198.93/32 --dport 443 -j ACCEPT
iptables -A FORWARD -o $NET -p tcp -d 207.46.198.93/32 --dport 443 -j ACCEPT

## Download 8081
iptables -A OUTPUT -o $NET -p TCP --dport 8081 -j ACCEPT
iptables -A OUTPUT -o $NET -p TCP --dport 8084 -j ACCEPT


### Libera trafego ping rede externa ###
iptables -A INPUT -i $NET -p icmp -j DROP
iptables -A OUTPUT -o $NET -p icmp -j ACCEPT       
iptables -A FORWARD -o $NET -p icmp -j ACCEPT       
   
### Libera trafego ping rede interna ###
iptables -A INPUT -i $RLOCAL -p icmp -j ACCEPT
iptables -A OUTPUT -o $RLOCAL -p icmp -j ACCEPT       

# LIBERAR A PORTA 3128
iptables -t nat -A PREROUTING -s $REDE -p tcp --dport 80 -j REDIRECT --to-port 3128

###Acesso a navegacao ###
iptables -A OUTPUT -o $NET -p TCP --dport 80 -j ACCEPT
iptables -A OUTPUT -o $NET -p TCP --dport 800 -j ACCEPT
iptables -A OUTPUT -o $NET -p TCP --dport 1880 -j ACCEPT
iptables -A OUTPUT -o $NET -p TCP --dport 443 -j ACCEPT
iptables -A OUTPUT -o $NET -p TCP --dport 21 -j ACCEPT
iptables -A OUTPUT -o $NET -p TCP --dport 20 -j ACCEPT
iptables -A OUTPUT -o $NET -p TCP --dport 8080 -j ACCEPT
iptables -A OUTPUT -o $NET -p TCP --dport 3389 -j ACCEPT

## LIbera acesso ao BITline ##
iptables -A FORWARD -o $NET -p TCP --dport 9200:9250 -j ACCEPT

## LIbera acesso ao FTP ##
iptables -A FORWARD -o $NET -p TCP --dport 20 -j ACCEPT
iptables -A FORWARD -o $NET -p TCP --dport 21 -j ACCEPT
iptables -A FORWARD -o $RLOCAL -p TCP --dport 21 -j ACCEPT

## Servidor de E-mail  SMTP (25) POP3 (110)##
iptables -A FORWARD -o $NET -p TCP --dport 25 -j ACCEPT
iptables -A FORWARD -o $NET -p TCP --dport 110 -j ACCEPT
iptables -A FORWARD -o $NET -p TCP --dport 995 -j ACCEPT
iptables -A FORWARD -o $NET -p TCP --dport 465 -j ACCEPT

## Servidor TS
iptables -A FORWARD -o $NET -p TCP --dport 3389 -j ACCEPT
iptables -A FORWARD -o $RLOCAL -p TCP --dport 3389 -j ACCEPT

## Servidor SSH
iptables -A FORWARD -o $NET -p TCP --dport 22 -j ACCEPT
iptables -A FORWARD -o $RLOCAL -p TCP --dport 22 -j ACCEPT
iptables -A FORWARD -o $NET -p TCP --dport 2424 -j ACCEPT

#Liberar MYSQL vistasoft

iptables -A FORWARD -o $NET -p TCP --dport 3306 -j ACCEPT
iptables -A FORWARD -o $RLOCAL -p TCP --dport 3306 -j ACCEPT

## Serasa Conecte ##
iptables -t filter -A FORWARD -o $NET -p TCP -s $REDE -d sitenet.serasa.com.br --dport 443 -j ACCEPT

#iptables -t filter -A FORWARD -o $NET -p TCP -s $REDE -d login.live.com --dport 443 -j REJECT

##Liberar Postgresql

iptables -A FORWARD -o $NET -p TCP --dport 5432 -j ACCEPT

## Protocolo TCP entrada ##
iptables  -A INPUT -i $RLOCAL -p TCP -s $REDE -d $REDE -j ACCEPT
   
## Protocolo UDP saida ##
iptables -A OUTPUT -o $RLOCAL -p UDP -s $REDE -d $REDE -j ACCEPT
   
## Protocolo TCP saida ##
iptables -A OUTPUT -o $RLOCAL -p TCP -s $REDE -d $REDE -j ACCEPT

#Ponto Chave do firewall! Se nao entrar em nenhuma regra acima rejeita tudo!
iptables -A INPUT -i $NET -p tcp --syn -j DROP

# Mesmo assim fechar todas as portas abaixo de 32000
iptables -A INPUT -i $NET -p tcp --dport :32000 -j DROP


;;

stop)
echo "CUIDADO SUA MAQUINA ESTA SEM FIREWALL - ATENCAO!!!..."
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -F
iptables -t nat -F

## COMPARTILHAR CONEXAO DE INTERNET
## IP DINAMICO
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE


## ATIVAR ROTEAMENTO
echo "1" > /proc/sys/net/ipv4/ip_forward

## LIBERAR A PROPRIA MAQUINA LOOPBACK PARA ACESSO A INTERNET
iptables -A INPUT -i lo -j ACCEPT

;;

*)
echo "Digite start, restart ou stop para ativar/reativar/desativar"
exit 1
;;

esac

oq q esta errado ou pode ser melhorado????










zekkerj

HTTPS não funciona com proxy transparente.
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

zekkerj

Citar# DEFINIR POLITICA PADRAO (NEGAR TUDO)
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
Como eu disse pro lucascatani... passarinho que come pedra sabe o tamanho do ... que tem. Quer se meter com política DROP? Esteja preparado com coisas que não funcionam e vc não sabe o porquê.
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

sowbra

Citação de: zekkerj online 29 de Maio de 2012, 03:21
HTTPS não funciona com proxy transparente.

Funciona que já trabalho há algum tempo com ele e nem o ultrasurf passa pelo proxy....

Citação de: zekkerj online 29 de Maio de 2012, 03:33
Citar# DEFINIR POLITICA PADRAO (NEGAR TUDO)
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
Como eu disse pro lucascatani... passarinho que come pedra sabe o tamanho do ... que tem. Quer se meter com política DROP? Esteja preparado com coisas que não funcionam e vc não sabe o porquê.

o problema a principio foi que uso o arquivo wpad.dat e estava fantando um ponto na configuração. Realmente a política DROP  é complicada um minimo detalhe te deixa danado pq uma hora tava funcionando e outra nao... por isso deve-se realizar o famoso teste de mesa, indo linha por linha para ver onde esta o erro.

zekkerj senão for pela politica do DROP qual script simples e eficaz vc recomenda?

zekkerj

HTTPS não funciona com proxy transparente. Por definição. Foi projetado pra não rolar, não rola.

Seu HTTPS não está passando pelo proxy; vc tem que liberar pra ele passar direto, sem entrar no proxy. Não vi regra no seu firewall liberando esse tráfego (aliás, vi regras fora do lugar lá).
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

sowbra

Citação de: sowbra online 29 de Maio de 2012, 10:32
###Acesso a navegacao ###
iptables -A OUTPUT -o $NET -p TCP --dport 80 -j ACCEPT
iptables -A OUTPUT -o $NET -p TCP --dport 800 -j ACCEPT
iptables -A OUTPUT -o $NET -p TCP --dport 1880 -j ACCEPT
iptables -A OUTPUT -o $NET -p TCP --dport 443 -j ACCEPT
iptables -A OUTPUT -o $NET -p TCP --dport 21 -j ACCEPT
iptables -A OUTPUT -o $NET -p TCP --dport 20 -j ACCEPT
iptables -A OUTPUT -o $NET -p TCP --dport 8080 -j ACCEPT
iptables -A OUTPUT -o $NET -p TCP --dport 3389 -j ACCEPT

Libero apenas para a navegação OUTPUT..

Citação de: zekkerj online 29 de Maio de 2012, 10:32
HTTPS não funciona com proxy transparente. Por definição. Foi projetado pra não rolar, não rola.

Seu HTTPS não está passando pelo proxy; vc tem que liberar pra ele passar direto, sem entrar no proxy. Não vi regra no seu firewall liberando esse tráfego (aliás, vi regras fora do lugar lá).

Se não passa pelo proxy como que ele libera ou bloqueia?



zekkerj

CitarSe não passa pelo proxy como que ele libera ou bloqueia?

Não libera nem bloqueia, pq não passa pelo proxy. Se vc tentar fazer passar pelo proxy, o SSL vai acusar chave de criptografia inválida.

CitarLibero apenas para a navegação OUTPUT..
Tem que liberar na cadeia FORWARD.
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

sowbra

Zekkerj

Ficou assim meu fw

## INDICAR O INICIO/REINICIO DO FIREWALL
case $1 in
start|restart)
echo "Firewall - ATIVADO"
## VARIAVEIS DAS PLACAS DE REDE
NET=eth0
RLOCAL=eth1
REDE="192.168.0.0/16"

## CARREGAR MODULOS
modprobe iptable_nat
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
modprobe ip_tables
modprobe iptable_filter
modprobe ipt_MASQUERADE

## LIMPAR REGRAS ANTERIORES
iptables -t filter -F
iptables -t nat -F
iptables -t mangle -F
iptables -t filter -X
iptables -t nat -X
iptables -t mangle -X
iptables -t filter -Z
iptables -t nat -Z
iptables -t mangle -Z

## COMPARTILHAR CONEXAO DE INTERNET
## IP DINAMICO

iptables -t nat -A POSTROUTING -o $NET -j MASQUERADE
## ATIVAR ROTEAMENTO
echo "1" > /proc/sys/net/ipv4/ip_forward

## LIBERAR A PROPRIA MAQUINA LOOPBACK PARA ACESSO A INTERNET
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

## LIBERAR/BLOQUEAR A REDE LOCAL
iptables -A INPUT -s $REDE  -j ACCEPT
iptables -A FORWARD -i lo         -j ACCEPT
iptables -A FORWARD -s $REDE      -j ACCEPT
iptables -A FORWARD -d $REDE      -j ACCEPT

###BLOQUEIO MSN
iptables -I FORWARD -s 192.168.1.0/24 -p tcp --dport 1863 -j REJECT
iptables -I FORWARD -s 192.168.1.0/24 -d loginnet.passport.com -j REJECT

#### Liberados do Proxy
iptables -t nat -A PREROUTING -i $RLOCAL -d 200.242.70.164  -j ACCEPT
iptables -t nat -A PREROUTING -i $RLOCAL -d 200.242.70.3    -j ACCEPT
iptables -t nat -A PREROUTING -i $RLOCAL -d 200.201.160/20  -j ACCEPT
iptables -t nat -A PREROUTING -i $RLOCAL -d 200.201.173/20  -j ACCEPT
iptables -t nat -A PREROUTING -i $RLOCAL -d 200.201.174/20  -j ACCEPT
iptables -t nat -A PREROUTING -i $RLOCAL -d 170.66.11/20    -j ACCEPT
iptables -t nat -A PREROUTING -i $RLOCAL -d 170.66.52/20    -j ACCEPT
iptables -t nat -A PREROUTING -i $RLOCAL -d 161.148.231.100 -j ACCEPT
iptables -t nat -A PREROUTING -i $RLOCAL -d 161.148.1.43    -j ACCEPT
iptables -t nat -A PREROUTING -i $RLOCAL -d 200.194.232.62    -j ACCEPT

##Ativando liberacao de portas para conexao interna
iptables -t nat -A PREROUTING -i $NET -p tcp --dport 1024:65535 -m state --state ESTABLISHED,RELATED     -j ACCEPT

# LIBERAR A PORTA 3128
iptables -t nat -A PREROUTING -s $REDE -p tcp --dport 80 -j REDIRECT --to-port 3128

;;
stop)
echo "CUIDADO SUA MAQUINA ESTA SEM FIREWALL - ATENCAO!!!..."
iptables -F
iptables -t nat -F
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT

## COMPARTILHAR CONEXAO DE INTERNET
## IP DINAMICO
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

## ATIVAR ROTEAMENTO
echo "1" > /proc/sys/net/ipv4/ip_forward

## LIBERAR A PROPRIA MAQUINA LOOPBACK PARA ACESSO A INTERNET
iptables -A INPUT -i lo -j ACCEPT
;;
*)

echo "Digite start, restart ou stop para ativar/reativar/desativar"
exit 1
;;

esac


e meu squid.conf


http_port 3128 transparent
visible_hostname TCD
error_directory /usr/share/squid/errors/Portuguese/
cache_mgr t@t.com.br
cache_mem 64 MB
maximum_object_size_in_memory 64 KB
maximum_object_size 512 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid 2048 16 256
cache_access_log /var/log/squid/access.log
refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280

acl all src 192.168.1.0/24
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255

acl SSL_ports port 443 446 563 8333 10000 5200
acl Safe_ports port 21 59 70 80 210 280 443 446 488 563 777 901 1025-65535 5200
acl purge method PURGE
acl CONNECT method CONNECT

acl downloadsproibidos url_regex -i "/etc/squid/extban" # # # Bloqueia extensoes de arquivos para downloads
acl palavrasproibidas url_regex -i "/etc/squid/palavrasproibidas" # Bloqueia palavras proibidas
acl bloqueados url_regex -i "/etc/squid/bloqueados" # # Sites Bloqueados

### Liberando Grupo de acessos
acl diretoria arp "/etc/squid/ipdiretoria"
acl gerencia arp "/etc/squid/ipgerencia"
acl funcionarios src "/etc/squid/ipfuncionarios"

#ACLs de Sites Bloqueados/Liberados para Grupos/Funcionarios
acl sitesfuncionarios url_regex -i "/etc/squid/liberado"


## ACL's Padrao
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost

## ACL Personallizada


http_access allow Diretoria
http_access deny bloqueados
http_access deny downloadsproibidos
http_access allow gerencia
http_access allow funcionarios sitesfuncionarios
http_access deny all

zekkerj

Citar##Ativando liberacao de portas para conexao interna
iptables -t nat -A PREROUTING -i $NET -p tcp --dport 1024:65535 -m state --state ESTABLISHED,RELATED     -j ACCEPT
Olha só, a tabela NAT não é pra liberar/bloquear pacotes, é apenas pra alterar os seus endereços.
Se vc quer liberar/bloquear, tem que usar as cadeias INPUT, FORWARD ou OUTPUT da tabela FILTER.
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

sowbra

blz vo verificar.

também já fiz um teste aqui agora com o ultrasurf, ele ta conseguindo burlar o fw.

vo fazer uns testes aqui e posto novamente.


zekkerj

O Ultrasurf usa páginas HTTPS pra escapar dos bloqueios. Sugestão: bloqueie todas e vá liberando aos poucos, conforme a necessidade.
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

sowbra

to fazendo com a politica

INPUT
OUTPUT
FORWARD

tudo drop

assim  q termina posto o resultado.