Ограничение доступа к личной почте (средствами iptables или squid)

[Leo2]

Подскажите новичку
Есть компьютер на линукс минт 18 с 2 сетевыми картами и wifi адаптером, с него раздается в локальную сеть интернет по nat, настройка доступа через iptables
Через squid идет прозрачный http трафик. Wifi раздается стандартными средствами Linux Mint (настроено через значок сетевых подключений)

Задача: ограничить доступ к личной почте через прокси, в т.ч. и wifi, т.к. некоторые продавцы стали использовать личный емайл для переписки с клиентами. Предупреждения не помогают, увольнять из-за этого пока не готовы.

Нужно закрыть доступ к почте yandex и gmail, но ТОЛЬКО через броузер, по https. Доступ через почтовые программы imap и pop должен остаться. Хорошо еще определенные локальные IP внести в исключения, чтобы начальству не заблокировать этот доступ.

Еще вопросы:
Почему-то не вижу трафик, который идет через wifi в логах сквида, хотя установил системным прокси localhost:3128 (это адрес прозрачного прокси squid). Как завернуть трафик wifi на squid? Насколько я понимаю, он будет весь как от localhost, но хотя бы так.

Текущие правила в iptables

Код: Выделить всё

# Generated by iptables-save v1.6.1 on Tue Jan 15 22:08:54 2019
*nat
:PREROUTING ACCEPT [1056:66433]
:INPUT ACCEPT [298:25772]
:OUTPUT ACCEPT [162:11148]
:POSTROUTING ACCEPT [7:590]
-A PREROUTING ! -d 172.18.4.0/24 -i enp4s6 -p tcp -m multiport --dports 80,8080 -j DNAT --to-destination 172.18.4.7:3128
-A PREROUTING -s 172.18.4.7/32 -p tcp -m tcp --dport 80 -j RETURN
-A PREROUTING -i enp3s0 -p tcp -m multiport --dports 80 -j REDIRECT --to-ports 3128
-A POSTROUTING -o enp4s6 -j MASQUERADE
COMMIT
# Completed on Tue Jan 15 22:08:54 2019
# Generated by iptables-save v1.6.1 on Tue Jan 15 22:08:54 2019
*filter
:INPUT ACCEPT [17503:7107446]
:FORWARD ACCEPT [222235:145198238]
:OUTPUT ACCEPT [17369:7660817]
COMMIT
# Completed on Tue Jan 15 22:08:54 2019
# Generated by iptables-save v1.6.1 on Tue Jan 15 22:08:54 2019
*mangle
:PREROUTING ACCEPT [239740:152305969]
:INPUT ACCEPT [17504:7107659]
:FORWARD ACCEPT [222235:145198238]
:OUTPUT ACCEPT [17370:7661030]
:POSTROUTING ACCEPT [239770:152876821]
COMMIT
# Completed on Tue Jan 15 22:08:54 2019.

[Bizdelnick]

Как завернуть трафик wifi на squid?

Так же, как для ethernet:

Код: Выделить всё

-A PREROUTING -i enp3s0 -p tcp -m multiport --dports 80 -j REDIRECT --to-ports 3128

Только имя входящего интерфейса другое должно быть.

[Leo2]

Код: Выделить всё

$ sudo iwconfig

wlx00e125001be2  IEEE 802.11  Mode:Master  Tx-Power=20 dBm   
          Retry short  long limit:2   RTS thr:off   Fragment thr:off
          Power Management:on
          
enp3s0    no wireless extensions.

enp4s6    no wireless extensions.

lo        no wireless extensions.

Правильно ли я понимаю, что нужна команда

Код: Выделить всё

-A PREROUTING -i wlx00e125001be2 -p tcp -m multiport --dports 80 -j REDIRECT --to-ports 3128

А что с основным вопросом делать, не подскажете (ограничение определенных доменов с https)?

[Bizdelnick]

Правильно ли я понимаю, что нужна команда

Да.

А что с основным вопросом делать, не подскажете (ограничение определенных доменов с https)?

Например, курить https://wiki.squid-cache.org/Features/SslPeekAndSplice

[Leo2]

Например, курить https://wiki.squid-cache.org/Features/SslPeekAndSplice

А для этого не надо squid пересобирать с поддержкой SSL? А то у меня обычный стоит, из репозиториев.

[Leo2]

Да.

Добавил правило. Клиенты wifi вообще теперь не имеют доступа по http. Открываются сайты только с https

[Bizdelnick]

Прошу прощения, невнимательно изучил конфиг и, видимо, не понял, какой интерфейс куда смотрит. Впрочем, и сейчас смотрю — и не понимаю.

[Leo2]

Прошу прощения, невнимательно изучил конфиг и, видимо, не понял, какой интерфейс куда смотрит. Впрочем, и сейчас смотрю — и не понимаю.

enp4s6 - наружу
enp3s0 - в локалку
wlx00e125001be2 каким-то образом имеет адрес шлюза провайдера

Код: Выделить всё

~$ ifconfig
enp3s0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 172.18.4.7  netmask 255.255.255.0  broadcast 172.18.4.255
        inet6 fe80::1e1b:dff:fec6:a694  prefixlen 64  scopeid 0x20<link>
        ether 1c:1b:0d:c6:a6:94  txqueuelen 1000  (Ethernet)
        RX packets 1505344  bytes 681417130 (681.4 MB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 1375194  bytes 478147303 (478.1 MB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

enp4s6: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 176.192.71.162  netmask 255.255.255.252  broadcast 176.192.71.163
        inet6 fe80::21b:11ff:fec3:497d  prefixlen 64  scopeid 0x20<link>
        ether 00:1b:11:c3:49:7d  txqueuelen 1000  (Ethernet)
        RX packets 2494135  bytes 2177370878 (2.1 GB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 2150209  bytes 787533878 (787.5 MB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        inet6 ::1  prefixlen 128  scopeid 0x10<host>
        loop  txqueuelen 1000  (Local Loopback)
        RX packets 26487  bytes 12424838 (12.4 MB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 26487  bytes 12424838 (12.4 MB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

wlx00e125001be2: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 10.42.0.1  netmask 255.255.255.0  broadcast 10.42.0.255
        inet6 fe80::1347:55e7:15fe:fbd8  prefixlen 64  scopeid 0x20<link>
        ether 00:e1:25:00:1b:e2  txqueuelen 1000  (Ethernet)
        RX packets 1107840  bytes 266470965 (266.4 MB)
        RX errors 0  dropped 7  overruns 0  frame 0
        TX packets 1570972  bytes 1748366193 (1.7 GB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0