Ayuda a bloquear y habilitar puerto 443 a rango de ips

Tema: 

Hola a todos en el foro, tengo una duda, espero puedan apoyarme para dar con la solucion:

Tengo un servidor con ubuntu server 11.04, proxy squid transparente, reglas firewall...

El problema que tengo es el siguiente:

Manejo 2 rangos de ip, la primera la asigna squid y es del tipo 172.16.9.0 - 172.16.9.255 y son las direcciones que estan restringidas mediante las acl del squid...

El otro rango de ip es del tipo 172.16.0.2 - 172.16.0.255 y son las direcciones para "jefes" o sin restricciones y son asignadas mediante el dhcpd.conf de acuerdo con mac address y de manera manual se declara la ip estatica para que al entrar, el sistema los detecte como "jefes" y en squid tengo una acl donde vienen las ip declaradas de "jefes y los deja navegar libremente.

Ahora bien, como todo en esta vida, el problema que tengo es que en la red restringida existe el ultrasurf y se pasa por el arco del triunfo al squid y todo lo demas...

La solucion que pienso estaria super bien es bloquear el puerto 443 pero solo para el rango de ip de la 172.16.9.0 a la 172.16.9.255 cómo puedo declarar esto dentro de mi script de iptables?

Pero tambien existen las paginas de bancos, hotmail, gmail, y algunas que por trabajo son necesarias y necesitan tener conexion https, entonces lo que quiero hacer es "abrir" el puerto 443 a este rango de ip's 172.16.9.0 - 172.16.9.255 pero solo para el rango de red de hotmail, gmail, bancos, paginas del trabajo, etc... Cual es la forma en la que deberia de hacer esto? es decir, puedo conseguir el rango de red de cada sitio, pero como declaro en mi script de iptables que abra el puerto 443 para el rango de red al rango de red de la pagina que quiero?

Y otra pregunta mas, por ahi lei que las reglas de iptables se leen de acuerdo a la posicion, entonces deberia permitir la conexion a los rangos de red de las paginas https que quiero tener hotmail, bancos, etc y despues de esta regla la que cierra el 443 a todo lo demas? es correcto esto?

Saludos, espero haberme explicado correctamente, y gracias a todos aquellos que me puedan dar una luz sobre este dilema...

Gracias

Comentarios

Pues no le he analizado el

Imagen de deathUser

Pues no le he analizado el script en busca de errores, lo único que ya te mencionaron, la dificultad de mantener el script con los rangos de IPs dinámicos, lo más práctico es hacerlo con l7 y filtrado usando strings como ya lo han comentado en el sitio, a ver si nos dicen donde están los errores a parte de lo ya mencionado

bye
;)

Páginas