Erro no firewall - facebook nao acessa

CapitãoVirgulino Ferreira · 08 de Maio de 2014, 01:18

Prezados,

Ja utilizo o squid iptables no ubuntu a muito tempo.
Mas não sei o que fiz, que não consigo mais liberar o facebook na minha rede que não consigo liberar o facebook.
Antes eu tinha bloqueado pra rede toda e agora preciso liberar pra um PC.
Mas liberar pra um PC ja nao vem ao caso, quero acessar.

SQUID - Parado.
RC.LOCAL - Quase nao tem regra, apenas uns redirecionamento de TS, NAT, ...

O que será ?
Alguem pode me ajudar?

jeflui · 08 de Maio de 2014, 02:05

Retire as regras e faz o teste.

zekkerj · 08 de Maio de 2014, 14:35

Ou poste as regras aqui pra gente analisar.

PS: Se você não usar o Squid configurado na estação (ou por detecção automática), ele não vai filtrar acessos HTTPS como os usados pelo facebook.

CapitãoVirgulino Ferreira · 09 de Maio de 2014, 09:02

zekkerj,

Como falei, meu squid ta parado (eu parei o serviço).
Nesse servidor, apenas utilizo os serviços de Squid.
Tentei bloquear o Facebook pelo squid e não consegui, até encontrar o comando:

Código Selecionar

iptables -I FORWARD -m string --algo bm --string "facebook.com" -j DROP

Que funcionou.

Depois, tentei liberar excluindo a regra ("iptables -D .....", comentando e reiniciando ) e não consegui.
Agora lembrando.... não sei se editei algum arquivo fora do squid para bloquear o Facebook e esqueci.

O estranho é que o GoogleChrome ao acessar o face, carrega o icone na aba do navegador, tenta abrir o site, e logo diz:

Código Selecionar

Ops! O Google Chrome não conseguiu localizar facebook.com
Tente recarregar: facebook.com

As regra que estou utilizando são essas:

Código Selecionar

iptables -F
modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward

# Mascarando Redes
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

iptables -t nat -I PREROUTING -p tcp -i eth0 --dport 5222 -j DNAT --to-destination 192.168.254.2
iptables -t nat -I PREROUTING -p tcp -i eth0 --dport 8318 -j DNAT --to-destination 192.168.254.4:3389
iptables -t nat -I PREROUTING -p tcp -i eth0 --dport 2223 -j DNAT --to-destination 192.168.254.252:22
iptables -t nat -I PREROUTING -p tcp -i eth0 --dport 8319 -j DNAT --to-destination 192.168.254.85:3389
iptables -t nat -I PREROUTING -p tcp -i eth0 --dport 8320 -j DNAT --to-destination 192.168.254.2:3389

# Abre a faixa de endereco da rede local
iptables -A INPUT -s 192.168.254.0/24 -j ACCEPT

# Abre a interface de loopback
iptables -A INPUT -i lo -j ACCEPT

# Ativar o NO-IP
/etc/init.d/noip2 start

jeflui · 09 de Maio de 2014, 10:10

Coloca aqui a saída do comando:

Código Selecionar

iptables-save

CapitãoVirgulino Ferreira · 09 de Maio de 2014, 11:54

Código Selecionar

# Generated by iptables-save v1.4.12 on Fri May  9 10:53:19 2014
*nat
:PREROUTING ACCEPT [40:3014]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [4:250]
:POSTROUTING ACCEPT [0:0]
-A PREROUTING -i eth0 -p tcp -m tcp --dport 8320 -j DNAT --to-destination 192.168.254.2:3389
-A PREROUTING -i eth0 -p tcp -m tcp --dport 8319 -j DNAT --to-destination 192.168.254.85:3389
-A PREROUTING -i eth0 -p tcp -m tcp --dport 2223 -j DNAT --to-destination 192.168.254.252:22
-A PREROUTING -i eth0 -p tcp -m tcp --dport 8318 -j DNAT --to-destination 192.168.254.4:3389
-A PREROUTING -i eth0 -p tcp -m tcp --dport 5222 -j DNAT --to-destination 192.168.254.2
-A PREROUTING -i eth0 -p tcp -m tcp --dport 8320 -j DNAT --to-destination 192.168.254.2:3389
-A PREROUTING -i eth0 -p tcp -m tcp --dport 8319 -j DNAT --to-destination 192.168.254.85:3389
-A PREROUTING -i eth0 -p tcp -m tcp --dport 2223 -j DNAT --to-destination 192.168.254.252:22
-A PREROUTING -i eth0 -p tcp -m tcp --dport 8318 -j DNAT --to-destination 192.168.254.4:3389
-A PREROUTING -i eth0 -p tcp -m tcp --dport 5222 -j DNAT --to-destination 192.168.254.2
-A PREROUTING -i eth0 -p tcp -m tcp --dport 8320 -j DNAT --to-destination 192.168.254.2:3389
-A PREROUTING -i eth0 -p tcp -m tcp --dport 8319 -j DNAT --to-destination 192.168.254.85:3389
-A PREROUTING -i eth0 -p tcp -m tcp --dport 2223 -j DNAT --to-destination 192.168.254.252:22
-A PREROUTING -i eth0 -p tcp -m tcp --dport 8318 -j DNAT --to-destination 192.168.254.4:3389
-A PREROUTING -i eth0 -p tcp -m tcp --dport 5222 -j DNAT --to-destination 192.168.254.2
-A PREROUTING -i eth0 -p tcp -m tcp --dport 8320 -j DNAT --to-destination 192.168.254.2:3389
-A PREROUTING -i eth0 -p tcp -m tcp --dport 8319 -j DNAT --to-destination 192.168.254.85:3389
-A PREROUTING -i eth0 -p tcp -m tcp --dport 2223 -j DNAT --to-destination 192.168.254.252:22
-A PREROUTING -i eth0 -p tcp -m tcp --dport 8318 -j DNAT --to-destination 192.168.254.4:3389
-A PREROUTING -i eth0 -p tcp -m tcp --dport 5222 -j DNAT --to-destination 192.168.254.2
-A PREROUTING -i eth0 -p tcp -m tcp --dport 8320 -j DNAT --to-destination 192.168.254.2:3389
-A PREROUTING -i eth0 -p tcp -m tcp --dport 8319 -j DNAT --to-destination 192.168.254.85:3389
-A PREROUTING -i eth0 -p tcp -m tcp --dport 2223 -j DNAT --to-destination 192.168.254.252:22
-A PREROUTING -i eth0 -p tcp -m tcp --dport 8318 -j DNAT --to-destination 192.168.254.4:3389
-A PREROUTING -i eth0 -p tcp -m tcp --dport 5222 -j DNAT --to-destination 192.168.254.2
-A PREROUTING -i eth0 -p tcp -m tcp --dport 8320 -j DNAT --to-destination 192.168.254.2:3389
-A PREROUTING -i eth0 -p tcp -m tcp --dport 8319 -j DNAT --to-destination 192.168.254.85:3389
-A PREROUTING -i eth0 -p tcp -m tcp --dport 2223 -j DNAT --to-destination 192.168.254.252:22
-A PREROUTING -i eth0 -p tcp -m tcp --dport 8318 -j DNAT --to-destination 192.168.254.4:3389
-A PREROUTING -i eth0 -p tcp -m tcp --dport 5222 -j DNAT --to-destination 192.168.254.2
-A PREROUTING -i eth0 -p tcp -m tcp --dport 8320 -j DNAT --to-destination 192.168.254.2:3389
-A PREROUTING -i eth0 -p tcp -m tcp --dport 8319 -j DNAT --to-destination 192.168.254.85:3389
-A PREROUTING -i eth0 -p tcp -m tcp --dport 2223 -j DNAT --to-destination 192.168.254.252:22
-A PREROUTING -i eth0 -p tcp -m tcp --dport 8318 -j DNAT --to-destination 192.168.254.4:3389
-A PREROUTING -i eth0 -p tcp -m tcp --dport 5222 -j DNAT --to-destination 192.168.254.2
-A PREROUTING -i eth0 -p tcp -m tcp --dport 8320 -j DNAT --to-destination 192.168.254.2:3389
-A PREROUTING -i eth0 -p tcp -m tcp --dport 8319 -j DNAT --to-destination 192.168.254.85:3389
-A PREROUTING -i eth0 -p tcp -m tcp --dport 2223 -j DNAT --to-destination 192.168.254.252:22
-A PREROUTING -i eth0 -p tcp -m tcp --dport 8318 -j DNAT --to-destination 192.168.254.4:3389
-A PREROUTING -i eth0 -p tcp -m tcp --dport 5222 -j DNAT --to-destination 192.168.254.2
-A PREROUTING -i eth0 -p tcp -m tcp --dport 8320 -j DNAT --to-destination 192.168.254.2:3389
-A PREROUTING -i eth0 -p tcp -m tcp --dport 8319 -j DNAT --to-destination 192.168.254.85:3389
-A PREROUTING -i eth0 -p tcp -m tcp --dport 2223 -j DNAT --to-destination 192.168.254.252:22
-A PREROUTING -i eth0 -p tcp -m tcp --dport 8318 -j DNAT --to-destination 192.168.254.4:3389
-A PREROUTING -i eth0 -p tcp -m tcp --dport 5222 -j DNAT --to-destination 192.168.254.2
-A PREROUTING -i eth0 -p tcp -m tcp --dport 8320 -j DNAT --to-destination 192.168.254.2:3389
-A PREROUTING -i eth0 -p tcp -m tcp --dport 8319 -j DNAT --to-destination 192.168.254.85:3389
-A PREROUTING -i eth0 -p tcp -m tcp --dport 2223 -j DNAT --to-destination 192.168.254.252:22
-A PREROUTING -i eth0 -p tcp -m tcp --dport 8318 -j DNAT --to-destination 192.168.254.4:3389
-A PREROUTING -i eth0 -p tcp -m tcp --dport 5222 -j DNAT --to-destination 192.168.254.2
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Fri May  9 10:53:19 2014
# Generated by iptables-save v1.4.12 on Fri May  9 10:53:19 2014
*filter
:INPUT ACCEPT [12:1040]
:FORWARD ACCEPT [1871:1471536]
:OUTPUT ACCEPT [84:16371]
-A INPUT -s 192.168.254.0/24 -j ACCEPT
-A INPUT -i lo -j ACCEPT
COMMIT
# Completed on Fri May  9 10:53:19 2014

CapitãoVirgulino Ferreira · 09 de Maio de 2014, 21:23

Poxa... complicado!

zekkerj · 09 de Maio de 2014, 23:18

Tem bastante tempo que vc não reinicia essa máquina, né? Suas regras estão se acumulando.
Reinicia a máquina e testa novamente, pra gente ver o sistema limpo.

CapitãoVirgulino Ferreira · 16 de Maio de 2014, 21:26

Bom... não sei o que houve.
Mas resolvi colocando o Modem ADSL com Bridge.
Acho q era coisa do modem mesmo.
Deixei de usar DMZ pra Bridge

Mas valeu pessoal...