----- Original Message -----
Sent: Thursday, February 16, 2006 6:34
PM
Subject: Script de iptables ainda nao
está bloqueando!
Fala galera,
postei há um tempo atrás para analisarem meu
script de iptables.. aí fiz algumas alteraçoes mas mesmo assim a porcaria do
msn ainda entra.. aliás.. eu consigo pingar os ips que eu bloquiei.. Já tentei
inverter a parte de FORWARD, primeiro aceitando tudo depois dropando esses
ips.. e NADA.
Vocês têm alguma sugestão?
Segue o script:
##### Definição de Policiamento #####
# Tabela
filter
iptables -t filter -P INPUT DROP
iptables -t filter -P OUTPUT
ACCEPT
iptables -t filter -P FORWARD DROP
# Tabela nat
iptables -t
nat -P PREROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
iptables -t
nat -P POSTROUTING ACCEPT
##### Ativamos o redirecionamento de pacotes (requerido para NAT)
#####
echo "1" >/proc/sys/net/ipv4/ip_forward
##### Abaixar o limite de conexoes simultaneas
echo "2048" >
/proc/sys/net/ipv4/ip_conntrack_max
###############################################################
#
Tabela
filter
#
###############################################################
#####
Chain INPUT #####
# Criamos um chain que será usado para tratar o tráfego
vindo da Internet
iptables -N int-input
# Aceita todo o tráfego vindo
do loopback e indo pro loopback
iptables -A INPUT -i lo -j ACCEPT
#
Trafego restrito
REDEINT="192.168.0.2 192.168.0.3 192.168.0.4 192.168.0.5 192.168.0.6
192.168.0.8 192.168.0.9 192.168.0.10 192.168.0.11 192.168.0.12 192.168.0.13
192.168.0.14 192.168.0.15 192.168.0.20 192.168.0.50 192.168.0.57"
for ex_ip
in $REDEINT
do
iptables -A INPUT -s $ex_ip -i eth0 -j ACCEPT
done
# Conexões vindas da interface eth1 são tratadas pelo chain
int-input
iptables -A INPUT -i eth1 -j int-input
# Outras conex sao bloqueadas
iptables -A INPUT -j DROP
##### Chain FORWARD ####
# Permite redirecionamento de conexões entre
as interfaces locais
# especificadas abaixo. Qualquer tráfego vindo/indo
para outras
# interfaces será bloqueado neste passo.
#ADICIONANDO MSN
BLOCK..
iptables -A FORWARD -s 192.168.0.0/24 -d 12.130.60.4 -j
DROP
iptables -A FORWARD -s 192.168.0.0/24 -d 64.14.123.138 -j
DROP
iptables -A FORWARD -s 192.168.0.0/24 -d 65.54.194.118 -j
DROP
iptables -A FORWARD -s 192.168.0.0/24 -d 207.46.216.61 -j
DROP
iptables -A FORWARD -s 192.168.0.0/24 -d 212.187.244.16 -j
DROP
iptables -A FORWARD -s 192.168.0.0/24 -d 65.54.239.0/24 -j
DROP
iptables -A FORWARD -s 192.168.0.0/24 -d 207.6.176.0/24 -j
DROP
iptables -A FORWARD -s 192.168.0.0/24 -d 207.46.5.0/28 -j
DROP
iptables -A FORWARD -d 192.168.0.0/24 -i eth1 -o eth0 -j
ACCEPT
iptables -A FORWARD -s 192.168.0.0/24 -i eth0 -o eth1 -j
ACCEPT
iptables -A FORWARD -j DROP
##### Chain int-input ####
# Aceitamos todas as mensagens icmp vindas
de eth1 com certa limitação
# O tráfego de pacotes icmp que superar este
limite será bloqueado
# pela regra "...! ESTABLISHED,RELATED -j DROP" no
final do
# chain int-input
iptables -A int-input -p icmp -m limit
--limit 1/s -j ACCEPT
iptables -A int-input -p icmp -j
ACCEPT
#aceitando trafego para algumas
portas..
iptables -A int-input -p tcp --dport 80 -j ACCEPT
iptables -A
int-input -p tcp --dport 110 -j ACCEPT
iptables -A int-input -p tcp --dport
25 -j ACCEPT
iptables -A int-input -p tcp --dport 783 -j ACCEPT
iptables
-A int-input -p tcp --dport 993 -j ACCEPT
iptables -A int-input -p tcp
--dport 143 -j ACCEPT
iptables -A int-input -p tcp --dport 995 -j
ACCEPT
#iptables -A int-input -d 192.168.0.2 -p tcp --dport 1433 -j ACCEPT
# Bloqueia qualquer tentativa de nova conexão de fora para esta
máquina
iptables -A int-input -m state --state ! ESTABLISHED,RELATED -j
DROP
# Aceita outros tipos de trafego
iptables -A int-input -j ACCEPT
#######################################################
#
Tabela
nat
#
#######################################################
#
Squid redirect
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j
REDIRECT --to-port 3128
# É feito masquerading dos outros serviços da rede interna indo para a
interface
# eth1
# Ativando mascaramento para determinadas portas
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -p icmp -j
MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -p tcp
--dport 110 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.0/24
-d 0/0 -p tcp --dport 25 -j MASQUERADE
iptables -t nat -A POSTROUTING -s
192.168.0.0/24 -d 0/0 -p tcp --dport 3128 -j ACCEPT
iptables -t nat -A
POSTROUTING -s 192.168.0.0/24 -d 0/0 -p udp --dport 53 -j
MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -p udp
--dport 53 -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d
0/0 -p tcp --dport https -j MASQUERADE
iptables -t nat -A POSTROUTING -s
192.168.0.0/24 -d 0/0 -p tcp --dport 21 -j MASQUERADE
Muito obrigadoo!