Re: Script de iptables ainda nao está bloqueando!

["Daniel Picon" <dpicon@gmail.com>]

Fábio, por falta de uma, darei três sugestões:

 

1) Essa, se for possível, acho que é melhor... bloqueie sites usando o squid. Instale o proxy e de uma lida na documentação que vc acha fácil na net que fica fácil bloquear acesso a sites e, no caso, vc coloca bloqueando os sites de login do msn.

2) Caso não possa usar o proxy, vc deve bloquear o acesso ao site de login do msn pela tabela NAT  na chain PREROUTING... todo o tráfego interno da rede eu bloqueio por aí...

3) deixe como política padrão o DROP para o PREROUTING e apenas libere o que achar converniente... acho que é mais fácil de fazer o firewall dessa forma.

 

Caso não funcione, dê um retorno e entraremos em detalhes, mas acho que com isso você vai conseguir o que quer, ok?

 

Espero ter ajudado

 

[]´s

 

Daniel

 

----- Original Message -----

From: fabio@remoplast.com.br

To: debian-user-portuguese@lists.debian.org

Sent: Thursday, February 16, 2006 6:34 PM

Subject: Script de iptables ainda nao está bloqueando!

Fala galera,

postei há um tempo atrás para analisarem meu script de iptables.. aí fiz algumas alteraçoes mas mesmo assim a porcaria do msn ainda entra.. aliás.. eu consigo pingar os ips que eu bloquiei.. Já tentei inverter a parte de FORWARD, primeiro aceitando tudo depois dropando esses ips.. e NADA.

 

Vocês têm alguma sugestão?

 

 

Segue o script:

 

 

##### Definição de Policiamento #####
# Tabela filter
iptables -t filter -P INPUT DROP
iptables -t filter -P OUTPUT ACCEPT
iptables -t filter -P FORWARD DROP
# Tabela nat
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
iptables -t nat -P POSTROUTING ACCEPT

 

##### Ativamos o redirecionamento de pacotes (requerido para NAT) #####
echo "1" >/proc/sys/net/ipv4/ip_forward

 

##### Abaixar o limite de conexoes simultaneas
echo "2048" > /proc/sys/net/ipv4/ip_conntrack_max

 

###############################################################
#                      Tabela filter                          #
###############################################################
##### Chain INPUT #####
# Criamos um chain que será usado para tratar o tráfego vindo da Internet
iptables -N int-input
# Aceita todo o tráfego vindo do loopback e indo pro loopback
iptables -A INPUT -i lo -j ACCEPT
# Trafego restrito

REDEINT="192.168.0.2 192.168.0.3 192.168.0.4 192.168.0.5 192.168.0.6 192.168.0.8 192.168.0.9 192.168.0.10 192.168.0.11 192.168.0.12 192.168.0.13 192.168.0.14 192.168.0.15 192.168.0.20 192.168.0.50 192.168.0.57"
for ex_ip in $REDEINT
do
iptables -A INPUT -s $ex_ip -i eth0 -j ACCEPT
done
# Conexões vindas da interface eth1 são tratadas pelo chain int-input
iptables -A INPUT -i eth1 -j int-input

 

# Outras conex sao bloqueadas
iptables -A INPUT -j DROP

 

##### Chain FORWARD ####
# Permite redirecionamento de conexões entre as interfaces locais
# especificadas abaixo. Qualquer tráfego vindo/indo para outras
# interfaces será bloqueado neste passo.
#ADICIONANDO MSN BLOCK..
iptables -A FORWARD -s 192.168.0.0/24 -d 12.130.60.4 -j DROP
iptables -A FORWARD -s 192.168.0.0/24 -d 64.14.123.138 -j DROP
iptables -A FORWARD -s 192.168.0.0/24 -d 65.54.194.118 -j DROP
iptables -A FORWARD -s 192.168.0.0/24 -d 207.46.216.61 -j DROP
iptables -A FORWARD -s 192.168.0.0/24 -d 212.187.244.16 -j DROP
iptables -A FORWARD -s 192.168.0.0/24 -d 65.54.239.0/24 -j DROP
iptables -A FORWARD -s 192.168.0.0/24 -d 207.6.176.0/24 -j DROP
iptables -A FORWARD -s 192.168.0.0/24 -d 207.46.5.0/28 -j DROP
iptables -A FORWARD -d 192.168.0.0/24 -i eth1 -o eth0 -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/24 -i eth0 -o eth1 -j ACCEPT 
iptables -A FORWARD -j DROP

 

##### Chain int-input ####
# Aceitamos todas as mensagens icmp vindas de eth1 com certa limitação
# O tráfego de pacotes icmp que superar este limite será bloqueado
# pela regra "...! ESTABLISHED,RELATED -j DROP" no final do
# chain int-input
iptables -A int-input -p icmp -m limit --limit 1/s -j ACCEPT
iptables -A int-input -p icmp -j ACCEPT    
#aceitando trafego para algumas portas..
iptables -A int-input -p tcp --dport 80 -j ACCEPT
iptables -A int-input -p tcp --dport 110 -j ACCEPT
iptables -A int-input -p tcp --dport 25 -j ACCEPT
iptables -A int-input -p tcp --dport 783 -j ACCEPT
iptables -A int-input -p tcp --dport 993 -j ACCEPT
iptables -A int-input -p tcp --dport 143 -j ACCEPT
iptables -A int-input -p tcp --dport 995 -j ACCEPT

 

#iptables -A int-input -d 192.168.0.2 -p tcp --dport 1433 -j ACCEPT

 

# Bloqueia qualquer tentativa de nova conexão de fora para esta máquina
iptables -A int-input -m state --state ! ESTABLISHED,RELATED -j DROP

 

# Aceita outros tipos de trafego
iptables -A int-input -j ACCEPT

 

#######################################################
#                   Tabela nat                        #
#######################################################
 
# Squid redirect
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

 

# É feito masquerading dos outros serviços da rede interna indo para a interface
# eth1
# Ativando mascaramento para determinadas portas
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -p icmp -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -p tcp --dport 110 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -p tcp --dport 25 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -p tcp --dport 3128 -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -p udp --dport 53 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -p udp --dport 53 -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -p tcp --dport https -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -p tcp --dport 21 -j MASQUERADE

 

 

Muito obrigadoo!