cara larga um OUTPUT -j DROP FOWARD -j DROP INPUT -j DROP
depois vai abrindo e liberando o que tu precisa se torna até mais fácil configurar assim, e tu tens uma melhor visualização de como esta a tua rede.
-- att Marcos Carraro Linux user #511627
Em 30 de junho de 2011 14:44, Fellipe Henrique fellipeh@gmail.comescreveu:
O mais interessante é que tentei bloquear todas as portas, conforme o script que enviei alguns minutos atrás... mas não funciona.. com certeza tem algo errado no script..
>>>
#!/bin/bash
# Interface da Internet ifinternet="ppp0"
# Interface Local iflocal="eth0"
iniciar(){ modprobe iptable_nat echo 1 > /proc/sys/net/ipv4/ip_forward iptables -t nat -A POSTROUTING -o $ifinternet -j MASQUERADE iptables -t nat -A POSTROUTING -o $iflocal -j MASQUERADE echo "compartilhamento ativado"
iptables -t nat -A PREROUTING -i $iflocal -p tcp --dport 80 -j REDIRECT --to-port 3128 echo "proxy transparente ativado"
# permite conexoes na interface de rede local e na porta 22 iptables -A INPUT -i $iflocal -j ACCEPT iptables -A INPUT -p tcp --dport 22 -j ACCEPT iptables -A INPUT -p tcp --dport 2891 -j ACCEPT iptables -A INPUT -p tcp --dport 1963 -j ACCEPT iptables -A INPUT -p tcp --dport 80 -j ACCEPT iptables -A INPUT -p tcp --dport 3128 -j ACCEPT
# regras basicas de firewall iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -p icmp --icmp-type echo-request -j DROP echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter iptables -A INPUT -p tcp --syn -j DROP
# bloqueia portas UDP de 0 a 1023 iptables -A INPUT -p udp --dport 0:1023 -j DROP
# redirecionando portas echo "Iniciando redir de portas" echo 1 > /proc/sys/net/ipv4/ip_forward iptables -A INPUT -p tcp --dport 3050 iptables -t nat -A PREROUTING -p tcp -i $ifinternet --dport 36001 -j DNAT --to 192.168.1.3 iptables -t nat -A PREROUTING -p tcp -i $ifinternet -m multiport --dport 22619,22646,42041,37164,8095,36002 -j DNAT --to 192.168.1.2 iptables -t nat -A PREROUTING -p tcp -i $ifinternet --dport 36003 -j DNAT --to 192.168.1.6 iptables -t nat -A PREROUTING -p tcp -i $ifinternet --dport 36004 -j DNAT --to 192.168.1.4 iptables -t nat -A PREROUTING -p tcp -i $ifinternet --dport 36005 -j DNAT --to 192.168.1.8 iptables -t nat -A PREROUTING -p tcp -i $ifinternet --dport 36006 -j DNAT --to 192.168.1.7 iptables -t nat -A PREROUTING -p tcp -i $ifinternet --dport 36007 -j DNAT --to 192.168.1.9 iptables -t nat -A PREROUTING -p tcp -i $ifinternet --dport 36008 -j DNAT --to 192.168.1.10
iptables -t nat -A PREROUTING -p tcp -i $ifinternet --dport 37001 -j DNAT --to 192.168.1.10 iptables -t nat -A PREROUTING -p tcp -i $ifinternet --dport 37002 -j DNAT --to 192.168.1.6 iptables -t nat -A PREROUTING -p tcp -i $ifinternet --dport 37003 -j DNAT --to 192.168.1.8 iptables -t nat -A PREROUTING -p tcp -i $ifinternet --dport 37004 -j DNAT --to 192.168.1.7
echo "redir realizado com sucesso"
echo "" echo "> Regras do firewall e compartilhamento ativadas" }
parar(){ iptables -F iptables -t nat -F iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT echo 0 > /proc/sys/net/ipv4/ip_forward echo "Regras de firewall desativadas" }
case $1 in "start") iniciar ;; "stop") parar ;; "restart") parar; iniciar ;; *) echo "use: start ou stop" esac
T.·.F.·.A.·. S+F
*Fellipe Henrique P. Soares*
Analista e Desenvolvedor de Softwares for Win32 Linux Administrator
Em 30 de junho de 2011 14:37, Gracco Guimarães <gracco.cerqueira@gmail.com
escreveu:
Você vai configurar o bloqueio no próprio iptables. Ja que tudo passa por
ele.
Em 30 de junho de 2011 14:12, Fellipe Henrique fellipeh@gmail.comescreveu:
tenho sim.. utilizo o iptables+squid.. no servidor, e todos passam por ele
pra ir na internet..
ah.. estou tentando colocar o squidguard... rsrs.. apanhando aqui, mas vamos ver se consigo..
[]s
T.·.F.·.A.·. S+F
*Fellipe Henrique P. Soares*
Analista e Desenvolvedor de Softwares for Win32 Linux Administrator
Em 30 de junho de 2011 14:09, Gracco Guimarães < gracco.cerqueira@gmail.com> escreveu:
Você tem um firewall na rede? Ou apenas um roteador? Alguém sabe se tem
como bloquear torrent no squid? A forma mais simples seria pelo firewall.
Em 30 de junho de 2011 13:36, Fellipe Henrique fellipeh@gmail.comescreveu:
Desculpe-me, mas iniciante como sou, como eu faço isso?
T.·.F.·.A.·. S+F
*Fellipe Henrique P. Soares*
Analista e Desenvolvedor de Softwares for Win32 Linux Administrator
Em 30 de junho de 2011 11:31, GRIFFO Consultoria & Treinamentos - Rodrigo Griffo rodrigogriffo@gmail.com escreveu:
bloqueia no firewall por string
Em 30 de junho de 2011 11:20, Gracco Guimarães < gracco.cerqueira@gmail.com> escreveu:
Bloqueia no firewall um range grande de portas altas, o torrent pode > mudar as portas, ou libera apenas as portas 80, 443. > > Em 30 de junho de 2011 11:00, Fellipe Henrique fellipeh@gmail.comescreveu: > > Amigos, >> >> Consegui descobrir o problema do "chupa-banda" aqui da firma.. são >> downloads de vídeos e etc.. consegui barrar os downloads pelo squid.. se for >> um link direto.. mas se for um link que seja dentro de um e-mail por exemplo >> eu nao consigo barrar.. ou mesmo o seguinte.. consegui barrar o download do >> .torrent ... mas se alguem traz o arquivo de casa, e entra no torrent ele >> deixa baixar... :( >> >> Alguma dica de como proceder nesse caso? >> >> T.·.F.·.A.·. S+F >> >> *Fellipe Henrique P. Soares* >> >> Analista e Desenvolvedor de Softwares for Win32 >> Linux Administrator >> >> >> >> >> Em 30 de junho de 2011 08:30, Felipe Nolasco < >> felipenolasco@gmail.com> escreveu: >> >>> Rafael, >>> >>> Apenas para conhecimento, mas creio que para números não é >>> necessário >>> o uso do parâmetro -i no grep, no filtro do IP. >>> Esse parâmetro -i é usado apenas para o grep não distinguir >>> maiúsculo >>> de minusculo. #ficadica >>> >>> 2011/6/29 Rafael Henrique da Silva Correia < >>> rafael@abraseucodigo.com.br>: >>> > Complementando o FábioTux ... >>> > >>> > Faz uns anos que trabalho com Squid e realmente o tail -f foi o >>> que mais me >>> > ajudou... claro que temos que lembrar dos filtros grep ! >>> > >>> > Exemplo: >>> > >>> > # tail -f /var/log/squid3/access.log | grep -i 192.168.0.40 | >>> grep -i >>> > tcp_denied >>> > >>> > Com este comando consigo ver todos os bloqueios que o squid faz >>> ao ip >>> > 192.168.0.40 em tempo real! >>> > >>> > Me ajudou muito sempre! >>> > >>> > Espero que a dica seja útil! Abraço! >>> > >>> > Em 27-06-2011 18:00, FábioTux® escreveu: >>> > >>> > ahaha! Boa, Giovanni. >>> > tail -f é o arroz/feijão, mas tem tanta info no access.log que dá >>> pra >>> > enlouquecer (se bem que basta usar umas expressões regulares pra >>> filtrar só >>> > o que interessa). >>> > Ah, aproveitando que você falou em "abuso", o que normalmente >>> faço é dar uma >>> > olhada com um pequeno utilitário chamado bwn-ng, que mostra o >>> consumo de >>> > banda por interface de rede. Se percebo que "a coisa tá feia", >>> acesso o >>> > iptraf e filtro as conexões que estão acessando o squid (porta >>> 3389 por >>> > padrão) pra identificar o host que eventualmente está abusando ou >>> acabo >>> > usando o tail -f /var/log/squid/access.log. >>> > Isso me dá a chance de dar uma resposta imediata aos entraves do >>> acesso à >>> > Internet e os Logs do SARG serverm para documentar o abuso >>> naquele acesso em >>> > particular. >>> > Enfim...é isso aí! >>> > Abraço! >>> > >>> > >>> > >>> > >>> > >>> > >>> > >>> > 2011/6/27 Giovanni Tirloni gtirloni@sysdroid.com >>> >> >>> >> 2011/6/27 FábioTux® fabiotux@gmail.com >>> >>> >>> >>> Opa... >>> >>> O Giovanni trouxe outra ferramenta bacana, mas assim como SARG >>> ela é de >>> >>> monitoramento passivo. >>> >>> A dica do iptraf é pra monitoramento ativo, ou seja, o que está >>> >>> acontecendo naquele exato momento. >>> >> >>> >> O problema com o IPTraf é que você só estará vendo as conexões >>> (o que já >>> >> ajuda para identificar algum abuso). Mas achei que a pergunta >>> era mais >>> >> direcionada às páginas acessadas pelo Squid. >>> >> >>> >>> >>> >>> Eu uso SARG há vários anos em vários servidores proxy e gosto >>> bastante. >>> >>> Aproveitando, se existir algum software que faz a leitura "ao >>> vivo" do >>> >>> access.log, por favor, indiquem! >>> >> >>> >> tail -f >>> >> :-) >>> >> -- >>> >> Giovanni Tirloni >>> >> >>> >> _______________________________________________ >>> >> CentOS-pt-br mailing list >>> >> CentOS-pt-br@centos.org >>> >> http://lists.centos.org/mailman/listinfo/centos-pt-br >>> >> >>> > >>> > >>> > >>> > -- >>> > See ya! >>> > FabioTux® >>> > >>> > _______________________________________________ >>> > CentOS-pt-br mailing list >>> > CentOS-pt-br@centos.org >>> > http://lists.centos.org/mailman/listinfo/centos-pt-br >>> > >>> > >>> > -- >>> > Rafael Henrique da Silva Correia >>> > http://abraseucodigo.blogspot.com >>> > >>> > Administrador de Sistemas Linux >>> > Certificado pela LPIC - 101 >>> > ID: LPI000160699 >>> > >>> > _______________________________________________ >>> > CentOS-pt-br mailing list >>> > CentOS-pt-br@centos.org >>> > http://lists.centos.org/mailman/listinfo/centos-pt-br >>> > >>> > >>> >>> >>> >>> -- >>> Felipe Nolasco aka 'xfnolx' >>> ICQ: 120505047 >>> MSN: felipenolasco at gmail.com >>> _______________________________________________ >>> CentOS-pt-br mailing list >>> CentOS-pt-br@centos.org >>> http://lists.centos.org/mailman/listinfo/centos-pt-br >>> >> >> >> _______________________________________________ >> CentOS-pt-br mailing list >> CentOS-pt-br@centos.org >> http://lists.centos.org/mailman/listinfo/centos-pt-br >> >> > > > -- > Gracco Guimarães - +55 (61) 8167-8225 > > www.linuxlivre.wordpress.com > > _______________________________________________ > CentOS-pt-br mailing list > CentOS-pt-br@centos.org > http://lists.centos.org/mailman/listinfo/centos-pt-br > >
-- Desde já agradeço
RODRIGO GRIFFO Gestor de TI 27-9999-5733
http://rodrigogriffo.blogspot.com MSN: rodrigogriffo@gmail.com SKYPE: rodrigogriffo
SERVIDORES WINDOWS E LINUX Squid-Samba-Iptables Bloqueios de Sites Monitoramento e Relatorios Rede Sem Fio - WPA2 Contratos de Manutençao
CentOS-pt-br mailing list CentOS-pt-br@centos.org http://lists.centos.org/mailman/listinfo/centos-pt-br
CentOS-pt-br mailing list CentOS-pt-br@centos.org http://lists.centos.org/mailman/listinfo/centos-pt-br
-- Gracco Guimarães - +55 (61) 8167-8225
www.linuxlivre.wordpress.com
CentOS-pt-br mailing list CentOS-pt-br@centos.org http://lists.centos.org/mailman/listinfo/centos-pt-br
CentOS-pt-br mailing list CentOS-pt-br@centos.org http://lists.centos.org/mailman/listinfo/centos-pt-br
-- Gracco Guimarães - +55 (61) 8167-8225
www.linuxlivre.wordpress.com
CentOS-pt-br mailing list CentOS-pt-br@centos.org http://lists.centos.org/mailman/listinfo/centos-pt-br
CentOS-pt-br mailing list CentOS-pt-br@centos.org http://lists.centos.org/mailman/listinfo/centos-pt-br