hum...
meu script está desta forma...
#!/bin/bash
# Interface da Internet ifinternet="ppp0"
# Interface Local iflocal="eth0"
iniciar(){ modprobe iptable_nat echo 1 > /proc/sys/net/ipv4/ip_forward iptables -t nat -A POSTROUTING -o $ifinternet -j MASQUERADE iptables -t nat -A POSTROUTING -o $iflocal -j MASQUERADE echo "compartilhamento ativado"
iptables -t nat -A PREROUTING -i $iflocal -p tcp --dport 80 -j REDIRECT --to-port 3128 echo "proxy transparente ativado"
# permite conexoes na interface de rede local e na porta 22 iptables -A INPUT -i $iflocal -j ACCEPT iptables -A INPUT -p tcp --dport 22 -j ACCEPT iptables -A INPUT -p tcp --dport 2891 -j ACCEPT iptables -A INPUT -p tcp --dport 1963 -j ACCEPT iptables -A INPUT -p tcp --dport 80 -j ACCEPT iptables -A INPUT -p tcp --dport 3128 -j ACCEPT
# regras basicas de firewall iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -p icmp --icmp-type echo-request -j DROP echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter iptables -A INPUT -p tcp --syn -j DROP
# bloqueia portas UDP de 0 a 1023 iptables -A INPUT -p udp --dport 0:1023 -j DROP
# redirecionando portas echo "Iniciando redir de portas" echo 1 > /proc/sys/net/ipv4/ip_forward iptables -A INPUT -p tcp --dport 3050 iptables -t nat -A PREROUTING -p tcp -i $ifinternet --dport 36001 -j DNAT --to 192.168.1.3 iptables -t nat -A PREROUTING -p tcp -i $ifinternet -m multiport --dport 22619,22646,42041,37164,8095,36002 -j DNAT --to 192.168.1.2 iptables -t nat -A PREROUTING -p tcp -i $ifinternet --dport 36003 -j DNAT --to 192.168.1.6 iptables -t nat -A PREROUTING -p tcp -i $ifinternet --dport 36004 -j DNAT --to 192.168.1.4 iptables -t nat -A PREROUTING -p tcp -i $ifinternet --dport 36005 -j DNAT --to 192.168.1.8 iptables -t nat -A PREROUTING -p tcp -i $ifinternet --dport 36006 -j DNAT --to 192.168.1.7 iptables -t nat -A PREROUTING -p tcp -i $ifinternet --dport 36007 -j DNAT --to 192.168.1.9 iptables -t nat -A PREROUTING -p tcp -i $ifinternet --dport 36008 -j DNAT --to 192.168.1.10
iptables -t nat -A PREROUTING -p tcp -i $ifinternet --dport 37001 -j DNAT --to 192.168.1.10 iptables -t nat -A PREROUTING -p tcp -i $ifinternet --dport 37002 -j DNAT --to 192.168.1.6 iptables -t nat -A PREROUTING -p tcp -i $ifinternet --dport 37003 -j DNAT --to 192.168.1.8 iptables -t nat -A PREROUTING -p tcp -i $ifinternet --dport 37004 -j DNAT --to 192.168.1.7
echo "redir realizado com sucesso"
echo "" echo "> Regras do firewall e compartilhamento ativadas" }
parar(){ iptables -F iptables -t nat -F iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT echo 0 > /proc/sys/net/ipv4/ip_forward echo "Regras de firewall desativadas" }
case $1 in "start") iniciar ;; "stop") parar ;; "restart") parar; iniciar ;; *) echo "use: start ou stop" esac
a linha >> iptables -A INPUT -p tcp --syn -j DROP não deveria fazer isso? ou fiz o processo errado?
T.·.F.·.A.·. S+F
*Fellipe Henrique P. Soares*
Analista e Desenvolvedor de Softwares for Win32 Linux Administrator
Em 30 de junho de 2011 11:08, Guilherme Moraes guimfonseca@gmail.comescreveu:
A politica do Forward do firewall deveria ser DROP e liberar apenas as portas que realmente precisa.
Dessa for vc iria conseguir bloquear o torrent.
At,
2011/6/30 Fellipe Henrique fellipeh@gmail.com
O problema é que, já bloqueie... mas a porcaria do programa fica indo de porta em porta.. só se eu barrar tudo... mas aí pode complicar os outros programas..
T.·.F.·.A.·. S+F
*Fellipe Henrique P. Soares*
Analista e Desenvolvedor de Softwares for Win32 Linux Administrator
Em 30 de junho de 2011 11:02, Guilherme Moraes guimfonseca@gmail.comescreveu:
Bloqueia no firewall a porta que o torrent esta utlizando.
O squid só vai bloquear o que é navegação.
2011/6/30 Fellipe Henrique fellipeh@gmail.com
Amigos,
Consegui descobrir o problema do "chupa-banda" aqui da firma.. são downloads de vídeos e etc.. consegui barrar os downloads pelo squid.. se for um link direto.. mas se for um link que seja dentro de um e-mail por exemplo eu nao consigo barrar.. ou mesmo o seguinte.. consegui barrar o download do .torrent ... mas se alguem traz o arquivo de casa, e entra no torrent ele deixa baixar... :(
Alguma dica de como proceder nesse caso?
T.·.F.·.A.·. S+F
*Fellipe Henrique P. Soares*
Analista e Desenvolvedor de Softwares for Win32 Linux Administrator
Em 30 de junho de 2011 08:30, Felipe Nolasco felipenolasco@gmail.comescreveu:
Rafael,
Apenas para conhecimento, mas creio que para números não é necessário o uso do parâmetro -i no grep, no filtro do IP. Esse parâmetro -i é usado apenas para o grep não distinguir maiúsculo de minusculo. #ficadica
2011/6/29 Rafael Henrique da Silva Correia < rafael@abraseucodigo.com.br>:
Complementando o FábioTux ...
Faz uns anos que trabalho com Squid e realmente o tail -f foi o que
mais me
ajudou... claro que temos que lembrar dos filtros grep !
Exemplo:
# tail -f /var/log/squid3/access.log | grep -i 192.168.0.40 | grep -i tcp_denied
Com este comando consigo ver todos os bloqueios que o squid faz ao ip 192.168.0.40 em tempo real!
Me ajudou muito sempre!
Espero que a dica seja útil! Abraço!
Em 27-06-2011 18:00, FábioTux® escreveu:
ahaha! Boa, Giovanni. tail -f é o arroz/feijão, mas tem tanta info no access.log que dá pra enlouquecer (se bem que basta usar umas expressões regulares pra
filtrar só
o que interessa). Ah, aproveitando que você falou em "abuso", o que normalmente faço é
dar uma
olhada com um pequeno utilitário chamado bwn-ng, que mostra o consumo
de
banda por interface de rede. Se percebo que "a coisa tá feia", acesso
o
iptraf e filtro as conexões que estão acessando o squid (porta 3389
por
padrão) pra identificar o host que eventualmente está abusando ou
acabo
usando o tail -f /var/log/squid/access.log. Isso me dá a chance de dar uma resposta imediata aos entraves do
acesso à
Internet e os Logs do SARG serverm para documentar o abuso naquele
acesso em
particular. Enfim...é isso aí! Abraço!
2011/6/27 Giovanni Tirloni gtirloni@sysdroid.com > > 2011/6/27 FábioTux® fabiotux@gmail.com >> >> Opa... >> O Giovanni trouxe outra ferramenta bacana, mas assim como SARG ela
é de
>> monitoramento passivo. >> A dica do iptraf é pra monitoramento ativo, ou seja, o que está >> acontecendo naquele exato momento. > > O problema com o IPTraf é que você só estará vendo as conexões (o
que já
> ajuda para identificar algum abuso). Mas achei que a pergunta era
mais
> direcionada às páginas acessadas pelo Squid. > >> >> Eu uso SARG há vários anos em vários servidores proxy e gosto
bastante.
>> Aproveitando, se existir algum software que faz a leitura "ao vivo"
do
>> access.log, por favor, indiquem! > > tail -f > :-) > -- > Giovanni Tirloni > > _______________________________________________ > CentOS-pt-br mailing list > CentOS-pt-br@centos.org > http://lists.centos.org/mailman/listinfo/centos-pt-br >
-- See ya! FabioTux®
CentOS-pt-br mailing list CentOS-pt-br@centos.org http://lists.centos.org/mailman/listinfo/centos-pt-br
-- Rafael Henrique da Silva Correia http://abraseucodigo.blogspot.com
Administrador de Sistemas Linux Certificado pela LPIC - 101 ID: LPI000160699
CentOS-pt-br mailing list CentOS-pt-br@centos.org http://lists.centos.org/mailman/listinfo/centos-pt-br
-- Felipe Nolasco aka 'xfnolx' ICQ: 120505047 MSN: felipenolasco at gmail.com _______________________________________________ CentOS-pt-br mailing list CentOS-pt-br@centos.org http://lists.centos.org/mailman/listinfo/centos-pt-br
CentOS-pt-br mailing list CentOS-pt-br@centos.org http://lists.centos.org/mailman/listinfo/centos-pt-br
--
At.
Guilherme Moraes Da Fonseca *LPIC1 - Linux Professional Institute Certified**
*CLA - Novell Certified Linux Administrator* *DCTS - Novell Data Center Technical Specialist* ** Analista de Suporte Gnu/Linux
CentOS-pt-br mailing list CentOS-pt-br@centos.org http://lists.centos.org/mailman/listinfo/centos-pt-br
CentOS-pt-br mailing list CentOS-pt-br@centos.org http://lists.centos.org/mailman/listinfo/centos-pt-br
--
At.
Guilherme Moraes Da Fonseca *LPIC1 - Linux Professional Institute Certified**
*CLA - Novell Certified Linux Administrator* *DCTS - Novell Data Center Technical Specialist* ** Analista de Suporte Gnu/Linux
CentOS-pt-br mailing list CentOS-pt-br@centos.org http://lists.centos.org/mailman/listinfo/centos-pt-br