O mais interessante é que tentei bloquear todas as portas, conforme o script que enviei alguns minutos atrás... mas não funciona.. com certeza tem algo errado no script..
>>
#!/bin/bash
# Interface da Internet ifinternet="ppp0"
# Interface Local iflocal="eth0"
iniciar(){ modprobe iptable_nat echo 1 > /proc/sys/net/ipv4/ip_forward iptables -t nat -A POSTROUTING -o $ifinternet -j MASQUERADE iptables -t nat -A POSTROUTING -o $iflocal -j MASQUERADE echo "compartilhamento ativado"
iptables -t nat -A PREROUTING -i $iflocal -p tcp --dport 80 -j REDIRECT --to-port 3128 echo "proxy transparente ativado"
# permite conexoes na interface de rede local e na porta 22 iptables -A INPUT -i $iflocal -j ACCEPT iptables -A INPUT -p tcp --dport 22 -j ACCEPT iptables -A INPUT -p tcp --dport 2891 -j ACCEPT iptables -A INPUT -p tcp --dport 1963 -j ACCEPT iptables -A INPUT -p tcp --dport 80 -j ACCEPT iptables -A INPUT -p tcp --dport 3128 -j ACCEPT
# regras basicas de firewall iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -p icmp --icmp-type echo-request -j DROP echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter iptables -A INPUT -p tcp --syn -j DROP
# bloqueia portas UDP de 0 a 1023 iptables -A INPUT -p udp --dport 0:1023 -j DROP
# redirecionando portas echo "Iniciando redir de portas" echo 1 > /proc/sys/net/ipv4/ip_forward iptables -A INPUT -p tcp --dport 3050 iptables -t nat -A PREROUTING -p tcp -i $ifinternet --dport 36001 -j DNAT --to 192.168.1.3 iptables -t nat -A PREROUTING -p tcp -i $ifinternet -m multiport --dport 22619,22646,42041,37164,8095,36002 -j DNAT --to 192.168.1.2 iptables -t nat -A PREROUTING -p tcp -i $ifinternet --dport 36003 -j DNAT --to 192.168.1.6 iptables -t nat -A PREROUTING -p tcp -i $ifinternet --dport 36004 -j DNAT --to 192.168.1.4 iptables -t nat -A PREROUTING -p tcp -i $ifinternet --dport 36005 -j DNAT --to 192.168.1.8 iptables -t nat -A PREROUTING -p tcp -i $ifinternet --dport 36006 -j DNAT --to 192.168.1.7 iptables -t nat -A PREROUTING -p tcp -i $ifinternet --dport 36007 -j DNAT --to 192.168.1.9 iptables -t nat -A PREROUTING -p tcp -i $ifinternet --dport 36008 -j DNAT --to 192.168.1.10
iptables -t nat -A PREROUTING -p tcp -i $ifinternet --dport 37001 -j DNAT --to 192.168.1.10 iptables -t nat -A PREROUTING -p tcp -i $ifinternet --dport 37002 -j DNAT --to 192.168.1.6 iptables -t nat -A PREROUTING -p tcp -i $ifinternet --dport 37003 -j DNAT --to 192.168.1.8 iptables -t nat -A PREROUTING -p tcp -i $ifinternet --dport 37004 -j DNAT --to 192.168.1.7
echo "redir realizado com sucesso"
echo "" echo "> Regras do firewall e compartilhamento ativadas" }
parar(){ iptables -F iptables -t nat -F iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT echo 0 > /proc/sys/net/ipv4/ip_forward echo "Regras de firewall desativadas" }
case $1 in "start") iniciar ;; "stop") parar ;; "restart") parar; iniciar ;; *) echo "use: start ou stop" esac
T.·.F.·.A.·. S+F
*Fellipe Henrique P. Soares*
Analista e Desenvolvedor de Softwares for Win32 Linux Administrator
Em 30 de junho de 2011 14:37, Gracco Guimarães gracco.cerqueira@gmail.comescreveu:
Você vai configurar o bloqueio no próprio iptables. Ja que tudo passa por ele.
Em 30 de junho de 2011 14:12, Fellipe Henrique fellipeh@gmail.comescreveu:
tenho sim.. utilizo o iptables+squid.. no servidor, e todos passam por ele
pra ir na internet..
ah.. estou tentando colocar o squidguard... rsrs.. apanhando aqui, mas vamos ver se consigo..
[]s
T.·.F.·.A.·. S+F
*Fellipe Henrique P. Soares*
Analista e Desenvolvedor de Softwares for Win32 Linux Administrator
Em 30 de junho de 2011 14:09, Gracco Guimarães < gracco.cerqueira@gmail.com> escreveu:
Você tem um firewall na rede? Ou apenas um roteador? Alguém sabe se tem
como bloquear torrent no squid? A forma mais simples seria pelo firewall.
Em 30 de junho de 2011 13:36, Fellipe Henrique fellipeh@gmail.comescreveu:
Desculpe-me, mas iniciante como sou, como eu faço isso?
T.·.F.·.A.·. S+F
*Fellipe Henrique P. Soares*
Analista e Desenvolvedor de Softwares for Win32 Linux Administrator
Em 30 de junho de 2011 11:31, GRIFFO Consultoria & Treinamentos - Rodrigo Griffo rodrigogriffo@gmail.com escreveu:
bloqueia no firewall por string
Em 30 de junho de 2011 11:20, Gracco Guimarães < gracco.cerqueira@gmail.com> escreveu:
Bloqueia no firewall um range grande de portas altas, o torrent pode
mudar as portas, ou libera apenas as portas 80, 443.
Em 30 de junho de 2011 11:00, Fellipe Henrique fellipeh@gmail.comescreveu:
Amigos, > > Consegui descobrir o problema do "chupa-banda" aqui da firma.. são > downloads de vídeos e etc.. consegui barrar os downloads pelo squid.. se for > um link direto.. mas se for um link que seja dentro de um e-mail por exemplo > eu nao consigo barrar.. ou mesmo o seguinte.. consegui barrar o download do > .torrent ... mas se alguem traz o arquivo de casa, e entra no torrent ele > deixa baixar... :( > > Alguma dica de como proceder nesse caso? > > T.·.F.·.A.·. S+F > > *Fellipe Henrique P. Soares* > > Analista e Desenvolvedor de Softwares for Win32 > Linux Administrator > > > > > Em 30 de junho de 2011 08:30, Felipe Nolasco < > felipenolasco@gmail.com> escreveu: > >> Rafael, >> >> Apenas para conhecimento, mas creio que para números não é >> necessário >> o uso do parâmetro -i no grep, no filtro do IP. >> Esse parâmetro -i é usado apenas para o grep não distinguir >> maiúsculo >> de minusculo. #ficadica >> >> 2011/6/29 Rafael Henrique da Silva Correia < >> rafael@abraseucodigo.com.br>: >> > Complementando o FábioTux ... >> > >> > Faz uns anos que trabalho com Squid e realmente o tail -f foi o >> que mais me >> > ajudou... claro que temos que lembrar dos filtros grep ! >> > >> > Exemplo: >> > >> > # tail -f /var/log/squid3/access.log | grep -i 192.168.0.40 | grep >> -i >> > tcp_denied >> > >> > Com este comando consigo ver todos os bloqueios que o squid faz ao >> ip >> > 192.168.0.40 em tempo real! >> > >> > Me ajudou muito sempre! >> > >> > Espero que a dica seja útil! Abraço! >> > >> > Em 27-06-2011 18:00, FábioTux® escreveu: >> > >> > ahaha! Boa, Giovanni. >> > tail -f é o arroz/feijão, mas tem tanta info no access.log que dá >> pra >> > enlouquecer (se bem que basta usar umas expressões regulares pra >> filtrar só >> > o que interessa). >> > Ah, aproveitando que você falou em "abuso", o que normalmente faço >> é dar uma >> > olhada com um pequeno utilitário chamado bwn-ng, que mostra o >> consumo de >> > banda por interface de rede. Se percebo que "a coisa tá feia", >> acesso o >> > iptraf e filtro as conexões que estão acessando o squid (porta >> 3389 por >> > padrão) pra identificar o host que eventualmente está abusando ou >> acabo >> > usando o tail -f /var/log/squid/access.log. >> > Isso me dá a chance de dar uma resposta imediata aos entraves do >> acesso à >> > Internet e os Logs do SARG serverm para documentar o abuso naquele >> acesso em >> > particular. >> > Enfim...é isso aí! >> > Abraço! >> > >> > >> > >> > >> > >> > >> > >> > 2011/6/27 Giovanni Tirloni gtirloni@sysdroid.com >> >> >> >> 2011/6/27 FábioTux® fabiotux@gmail.com >> >>> >> >>> Opa... >> >>> O Giovanni trouxe outra ferramenta bacana, mas assim como SARG >> ela é de >> >>> monitoramento passivo. >> >>> A dica do iptraf é pra monitoramento ativo, ou seja, o que está >> >>> acontecendo naquele exato momento. >> >> >> >> O problema com o IPTraf é que você só estará vendo as conexões (o >> que já >> >> ajuda para identificar algum abuso). Mas achei que a pergunta era >> mais >> >> direcionada às páginas acessadas pelo Squid. >> >> >> >>> >> >>> Eu uso SARG há vários anos em vários servidores proxy e gosto >> bastante. >> >>> Aproveitando, se existir algum software que faz a leitura "ao >> vivo" do >> >>> access.log, por favor, indiquem! >> >> >> >> tail -f >> >> :-) >> >> -- >> >> Giovanni Tirloni >> >> >> >> _______________________________________________ >> >> CentOS-pt-br mailing list >> >> CentOS-pt-br@centos.org >> >> http://lists.centos.org/mailman/listinfo/centos-pt-br >> >> >> > >> > >> > >> > -- >> > See ya! >> > FabioTux® >> > >> > _______________________________________________ >> > CentOS-pt-br mailing list >> > CentOS-pt-br@centos.org >> > http://lists.centos.org/mailman/listinfo/centos-pt-br >> > >> > >> > -- >> > Rafael Henrique da Silva Correia >> > http://abraseucodigo.blogspot.com >> > >> > Administrador de Sistemas Linux >> > Certificado pela LPIC - 101 >> > ID: LPI000160699 >> > >> > _______________________________________________ >> > CentOS-pt-br mailing list >> > CentOS-pt-br@centos.org >> > http://lists.centos.org/mailman/listinfo/centos-pt-br >> > >> > >> >> >> >> -- >> Felipe Nolasco aka 'xfnolx' >> ICQ: 120505047 >> MSN: felipenolasco at gmail.com >> _______________________________________________ >> CentOS-pt-br mailing list >> CentOS-pt-br@centos.org >> http://lists.centos.org/mailman/listinfo/centos-pt-br >> > > > _______________________________________________ > CentOS-pt-br mailing list > CentOS-pt-br@centos.org > http://lists.centos.org/mailman/listinfo/centos-pt-br > >
-- Gracco Guimarães - +55 (61) 8167-8225
www.linuxlivre.wordpress.com
CentOS-pt-br mailing list CentOS-pt-br@centos.org http://lists.centos.org/mailman/listinfo/centos-pt-br
-- Desde já agradeço
RODRIGO GRIFFO Gestor de TI 27-9999-5733
http://rodrigogriffo.blogspot.com MSN: rodrigogriffo@gmail.com SKYPE: rodrigogriffo
SERVIDORES WINDOWS E LINUX Squid-Samba-Iptables Bloqueios de Sites Monitoramento e Relatorios Rede Sem Fio - WPA2 Contratos de Manutençao
CentOS-pt-br mailing list CentOS-pt-br@centos.org http://lists.centos.org/mailman/listinfo/centos-pt-br
CentOS-pt-br mailing list CentOS-pt-br@centos.org http://lists.centos.org/mailman/listinfo/centos-pt-br
-- Gracco Guimarães - +55 (61) 8167-8225
www.linuxlivre.wordpress.com
CentOS-pt-br mailing list CentOS-pt-br@centos.org http://lists.centos.org/mailman/listinfo/centos-pt-br
CentOS-pt-br mailing list CentOS-pt-br@centos.org http://lists.centos.org/mailman/listinfo/centos-pt-br
-- Gracco Guimarães - +55 (61) 8167-8225
www.linuxlivre.wordpress.com
CentOS-pt-br mailing list CentOS-pt-br@centos.org http://lists.centos.org/mailman/listinfo/centos-pt-br