Fala galera,
postei há um tempo atrás para analisarem meu script
de iptables.. aí fiz algumas alteraçoes mas mesmo assim a porcaria do msn ainda
entra.. aliás.. eu consigo pingar os ips que eu bloquiei.. Já tentei inverter a
parte de FORWARD, primeiro aceitando tudo depois dropando esses ips.. e NADA.
Vocês têm alguma sugestão?
Segue o script:
##### Definição de Policiamento #####
# Tabela filter iptables -t filter -P INPUT DROP iptables -t filter -P OUTPUT ACCEPT iptables -t filter -P FORWARD DROP # Tabela nat iptables -t nat -P PREROUTING ACCEPT iptables -t nat -P OUTPUT ACCEPT iptables -t nat -P POSTROUTING ACCEPT ##### Ativamos o redirecionamento de pacotes (requerido para NAT) ##### echo "1" >/proc/sys/net/ipv4/ip_forward ##### Abaixar o limite de conexoes simultaneas
echo "2048" > /proc/sys/net/ipv4/ip_conntrack_max ###############################################################
# Tabela filter # ############################################################### ##### Chain INPUT ##### # Criamos um chain que será usado para tratar o tráfego vindo da Internet iptables -N int-input # Aceita todo o tráfego vindo do loopback e indo pro loopback iptables -A INPUT -i lo -j ACCEPT # Trafego restrito REDEINT="192.168.0.2 192.168.0.3 192.168.0.4 192.168.0.5 192.168.0.6
192.168.0.8 192.168.0.9 192.168.0.10 192.168.0.11 192.168.0.12 192.168.0.13
192.168.0.14 192.168.0.15 192.168.0.20 192.168.0.50 192.168.0.57"
for ex_ip in $REDEINT do iptables -A INPUT -s $ex_ip -i eth0 -j ACCEPT done # Conexões vindas da interface eth1 são tratadas pelo chain int-input iptables -A INPUT -i eth1 -j int-input # Outras conex sao bloqueadas
iptables -A INPUT -j DROP ##### Chain FORWARD ####
# Permite redirecionamento de conexões entre as interfaces locais # especificadas abaixo. Qualquer tráfego vindo/indo para outras # interfaces será bloqueado neste passo. #ADICIONANDO MSN BLOCK.. iptables -A FORWARD -s 192.168.0.0/24 -d 12.130.60.4 -j DROP iptables -A FORWARD -s 192.168.0.0/24 -d 64.14.123.138 -j DROP iptables -A FORWARD -s 192.168.0.0/24 -d 65.54.194.118 -j DROP iptables -A FORWARD -s 192.168.0.0/24 -d 207.46.216.61 -j DROP iptables -A FORWARD -s 192.168.0.0/24 -d 212.187.244.16 -j DROP iptables -A FORWARD -s 192.168.0.0/24 -d 65.54.239.0/24 -j DROP iptables -A FORWARD -s 192.168.0.0/24 -d 207.6.176.0/24 -j DROP iptables -A FORWARD -s 192.168.0.0/24 -d 207.46.5.0/28 -j DROP iptables -A FORWARD -d 192.168.0.0/24 -i eth1 -o eth0 -j ACCEPT iptables -A FORWARD -s 192.168.0.0/24 -i eth0 -o eth1 -j ACCEPT iptables -A FORWARD -j DROP ##### Chain int-input ####
# Aceitamos todas as mensagens icmp vindas de eth1 com certa limitação # O tráfego de pacotes icmp que superar este limite será bloqueado # pela regra "...! ESTABLISHED,RELATED -j DROP" no final do # chain int-input iptables -A int-input -p icmp -m limit --limit 1/s -j ACCEPT iptables -A int-input -p icmp -j ACCEPT #aceitando trafego para algumas portas.. iptables -A int-input -p tcp --dport 80 -j ACCEPT iptables -A int-input -p tcp --dport 110 -j ACCEPT iptables -A int-input -p tcp --dport 25 -j ACCEPT iptables -A int-input -p tcp --dport 783 -j ACCEPT iptables -A int-input -p tcp --dport 993 -j ACCEPT iptables -A int-input -p tcp --dport 143 -j ACCEPT iptables -A int-input -p tcp --dport 995 -j ACCEPT #iptables -A int-input -d 192.168.0.2 -p tcp --dport 1433 -j ACCEPT
# Bloqueia qualquer tentativa de nova conexão de fora para esta
máquina
iptables -A int-input -m state --state ! ESTABLISHED,RELATED -j DROP # Aceita outros tipos de trafego
iptables -A int-input -j ACCEPT ####################################################### # Tabela nat # ####################################################### # Squid redirect iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128 # É feito masquerading dos outros serviços da rede interna indo para a
interface
# eth1 # Ativando mascaramento para determinadas portas iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -p icmp -j MASQUERADE iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -p tcp --dport 110 -j MASQUERADE iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -p tcp --dport 25 -j MASQUERADE iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -p tcp --dport 3128 -j ACCEPT iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -p udp --dport 53 -j MASQUERADE iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -p udp --dport 53 -j ACCEPT iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -p tcp --dport https -j MASQUERADE iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -p tcp --dport 21 -j MASQUERADE Muito obrigadoo!
|