Re: Chiudere tutto sul GW
On 1 Oct 2003 at 18:44, mario wrote:
> iptables -t nat -A POSTROUTING \
> - -o $INTERNET -s 192.168.2.0/24 -p tcp --dport 22 -d ! 192.168.2.0/24 -j SNAT
> - --to-source 10.0.0.1
> iptables -t nat -A POSTROUTING \
> - -o $INTERNET -s 192.168.2.0/24 -p tcp --dport 110 -d ! 192.168.2.0/24 -j SNAT
> - --to-source 10.0.0.1
> iptables -t nat -A POSTROUTING \
> - -o $INTERNET -s 192.168.2.0/24 -p tcp --dport 119 -d ! 192.168.2.0/24 -j SNAT
> - --to-source 10.0.0.1
> iptables -t nat -A POSTROUTING \
> - -o $INTERNET -s 192.168.2.0/24 -p tcp --dport 123 -d ! 192.168.2.0/24 -j SNAT
> - --to-source 10.0.0.1
Salve a tutti,
passare per squid richiede che sia impostato il proxy nei client (cosa facilmente
bypassabile se non c'e' di mezzo un gateway che a sua volta passa per il proxy o
similare).
la cosa, a mio avviso, piu' funzionale e' di utilizzare il firewall in uscita per filtrare il file
sharing.
le regole per bloccare le porte ed indirizzi IP dei piu' comuni programmi di file sharing
possono essere con iptables (non consiglio di aggiungere gli IP interni dei client da
bloccare perche' questi sono facilmente modificabili, usare invece i MAC delle schede
che necessitano di maggiore perizia per essere cambiati):
# BLOCCHIAMO WINMX, NAPSTER E GNUTELLA
#WINMX
iptables -A FORWARD -d 209.61.186.0/24 -j DROP
iptables -A FORWARD -d 64.49.201.0/24 -j DROP
#NAPSTER
iptables -A FORWARD -d 64.124.41.0/24 -j DROP
#IMESH
iptables -A FORWARD -d 216.35.208.0/24 -j DROP
#BEARSHARE, TOADNODE
iptables -A FORWARD -p tcp --dport 6346 -j DROP
#NAPIGATOR
iptables -A FORWARD -d 209.25.178.0/24 -j DROP
#MORPHEUS, KAZA
iptables -A FORWARD -p tcp --dport 1214 -j DROP
#AUDIOGALAXY
iptables -A FORWARD -d 64.245.58.0/23 -j DROP
# ALTRO
iptables -A FORWARD -p tcp --dport 4662 -j DROP
iptables -A FORWARD -p tcp --dport 4661 -j DROP
iptables -A FORWARD -p tcp --dport 4672 -j DROP
iptables -A FORWARD -p tcp --dport 8888 -j DROP
iptables -A FORWARD -p tcp --dport 6699 -j DROP
Molto spesso comunque non si conoscono tutti gli IP e porte usate da questi
programmi, sarebbe quindi opportuno far girare un iptraf sul firewall e monitorare le
porte ed IP in uscita per "affilare" le regole del firewall.
Ciao
*****************************************
Alessandro "Formichiere" Bagaglia
Econet S.r.l.
Debian User
*****************************************
Reply to: