[CentOS-pt-br] Dica de como monitorar conexao
Fellipe Henrique
fellipeh em gmail.com
Quinta Junho 30 10:11:28 EDT 2011
hum...
meu script está desta forma...
#!/bin/bash
# Interface da Internet
ifinternet="ppp0"
# Interface Local
iflocal="eth0"
iniciar(){
modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o $ifinternet -j MASQUERADE
iptables -t nat -A POSTROUTING -o $iflocal -j MASQUERADE
echo "compartilhamento ativado"
iptables -t nat -A PREROUTING -i $iflocal -p tcp --dport 80 -j REDIRECT
--to-port 3128
echo "proxy transparente ativado"
# permite conexoes na interface de rede local e na porta 22
iptables -A INPUT -i $iflocal -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 2891 -j ACCEPT
iptables -A INPUT -p tcp --dport 1963 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 3128 -j ACCEPT
# regras basicas de firewall
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter
iptables -A INPUT -p tcp --syn -j DROP
# bloqueia portas UDP de 0 a 1023
iptables -A INPUT -p udp --dport 0:1023 -j DROP
# redirecionando portas
echo "Iniciando redir de portas"
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -A INPUT -p tcp --dport 3050
iptables -t nat -A PREROUTING -p tcp -i $ifinternet --dport 36001 -j DNAT
--to 192.168.1.3
iptables -t nat -A PREROUTING -p tcp -i $ifinternet -m multiport --dport
22619,22646,42041,37164,8095,36002 -j DNAT --to 192.168.1.2
iptables -t nat -A PREROUTING -p tcp -i $ifinternet --dport 36003 -j DNAT
--to 192.168.1.6
iptables -t nat -A PREROUTING -p tcp -i $ifinternet --dport 36004 -j DNAT
--to 192.168.1.4
iptables -t nat -A PREROUTING -p tcp -i $ifinternet --dport 36005 -j DNAT
--to 192.168.1.8
iptables -t nat -A PREROUTING -p tcp -i $ifinternet --dport 36006 -j DNAT
--to 192.168.1.7
iptables -t nat -A PREROUTING -p tcp -i $ifinternet --dport 36007 -j DNAT
--to 192.168.1.9
iptables -t nat -A PREROUTING -p tcp -i $ifinternet --dport 36008 -j DNAT
--to 192.168.1.10
iptables -t nat -A PREROUTING -p tcp -i $ifinternet --dport 37001 -j DNAT
--to 192.168.1.10
iptables -t nat -A PREROUTING -p tcp -i $ifinternet --dport 37002 -j DNAT
--to 192.168.1.6
iptables -t nat -A PREROUTING -p tcp -i $ifinternet --dport 37003 -j DNAT
--to 192.168.1.8
iptables -t nat -A PREROUTING -p tcp -i $ifinternet --dport 37004 -j DNAT
--to 192.168.1.7
echo "redir realizado com sucesso"
echo ""
echo "> Regras do firewall e compartilhamento ativadas"
}
parar(){
iptables -F
iptables -t nat -F
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
echo 0 > /proc/sys/net/ipv4/ip_forward
echo "Regras de firewall desativadas"
}
case $1 in
"start") iniciar ;;
"stop") parar ;;
"restart") parar; iniciar ;;
*) echo "use: start ou stop"
esac
a linha >> iptables -A INPUT -p tcp --syn -j DROP
não deveria fazer isso? ou fiz o processo errado?
T.·.F.·.A.·. S+F
*Fellipe Henrique P. Soares*
Analista e Desenvolvedor de Softwares for Win32
Linux Administrator
Em 30 de junho de 2011 11:08, Guilherme Moraes <guimfonseca em gmail.com>escreveu:
> A politica do Forward do firewall deveria ser DROP e liberar apenas as
> portas que realmente precisa.
>
> Dessa for vc iria conseguir bloquear o torrent.
>
> At,
>
>
> 2011/6/30 Fellipe Henrique <fellipeh em gmail.com>
>
>> O problema é que, já bloqueie... mas a porcaria do programa fica indo de
>> porta em porta.. só se eu barrar tudo... mas aí pode complicar os outros
>> programas..
>>
>> T.·.F.·.A.·. S+F
>>
>> *Fellipe Henrique P. Soares*
>>
>> Analista e Desenvolvedor de Softwares for Win32
>> Linux Administrator
>>
>>
>>
>>
>> Em 30 de junho de 2011 11:02, Guilherme Moraes <guimfonseca em gmail.com>escreveu:
>>
>> Bloqueia no firewall a porta que o torrent esta utlizando.
>>> O squid só vai bloquear o que é navegação.
>>>
>>>
>>>
>>>
>>> 2011/6/30 Fellipe Henrique <fellipeh em gmail.com>
>>>
>>>> Amigos,
>>>>
>>>> Consegui descobrir o problema do "chupa-banda" aqui da firma.. são
>>>> downloads de vídeos e etc.. consegui barrar os downloads pelo squid.. se for
>>>> um link direto.. mas se for um link que seja dentro de um e-mail por exemplo
>>>> eu nao consigo barrar.. ou mesmo o seguinte.. consegui barrar o download do
>>>> .torrent ... mas se alguem traz o arquivo de casa, e entra no torrent ele
>>>> deixa baixar... :(
>>>>
>>>> Alguma dica de como proceder nesse caso?
>>>>
>>>> T.·.F.·.A.·. S+F
>>>>
>>>> *Fellipe Henrique P. Soares*
>>>>
>>>> Analista e Desenvolvedor de Softwares for Win32
>>>> Linux Administrator
>>>>
>>>>
>>>>
>>>>
>>>> Em 30 de junho de 2011 08:30, Felipe Nolasco <felipenolasco em gmail.com>escreveu:
>>>>
>>>>> Rafael,
>>>>>
>>>>> Apenas para conhecimento, mas creio que para números não é necessário
>>>>> o uso do parâmetro -i no grep, no filtro do IP.
>>>>> Esse parâmetro -i é usado apenas para o grep não distinguir maiúsculo
>>>>> de minusculo. #ficadica
>>>>>
>>>>> 2011/6/29 Rafael Henrique da Silva Correia <
>>>>> rafael em abraseucodigo.com.br>:
>>>>> > Complementando o FábioTux ...
>>>>> >
>>>>> > Faz uns anos que trabalho com Squid e realmente o tail -f foi o que
>>>>> mais me
>>>>> > ajudou... claro que temos que lembrar dos filtros grep !
>>>>> >
>>>>> > Exemplo:
>>>>> >
>>>>> > # tail -f /var/log/squid3/access.log | grep -i 192.168.0.40 | grep -i
>>>>> > tcp_denied
>>>>> >
>>>>> > Com este comando consigo ver todos os bloqueios que o squid faz ao ip
>>>>> > 192.168.0.40 em tempo real!
>>>>> >
>>>>> > Me ajudou muito sempre!
>>>>> >
>>>>> > Espero que a dica seja útil! Abraço!
>>>>> >
>>>>> > Em 27-06-2011 18:00, FábioTux® escreveu:
>>>>> >
>>>>> > ahaha! Boa, Giovanni.
>>>>> > tail -f é o arroz/feijão, mas tem tanta info no access.log que dá pra
>>>>> > enlouquecer (se bem que basta usar umas expressões regulares pra
>>>>> filtrar só
>>>>> > o que interessa).
>>>>> > Ah, aproveitando que você falou em "abuso", o que normalmente faço é
>>>>> dar uma
>>>>> > olhada com um pequeno utilitário chamado bwn-ng, que mostra o consumo
>>>>> de
>>>>> > banda por interface de rede. Se percebo que "a coisa tá feia", acesso
>>>>> o
>>>>> > iptraf e filtro as conexões que estão acessando o squid (porta 3389
>>>>> por
>>>>> > padrão) pra identificar o host que eventualmente está abusando ou
>>>>> acabo
>>>>> > usando o tail -f /var/log/squid/access.log.
>>>>> > Isso me dá a chance de dar uma resposta imediata aos entraves do
>>>>> acesso à
>>>>> > Internet e os Logs do SARG serverm para documentar o abuso naquele
>>>>> acesso em
>>>>> > particular.
>>>>> > Enfim...é isso aí!
>>>>> > Abraço!
>>>>> >
>>>>> >
>>>>> >
>>>>> >
>>>>> >
>>>>> >
>>>>> >
>>>>> > 2011/6/27 Giovanni Tirloni <gtirloni em sysdroid.com>
>>>>> >>
>>>>> >> 2011/6/27 FábioTux® <fabiotux em gmail.com>
>>>>> >>>
>>>>> >>> Opa...
>>>>> >>> O Giovanni trouxe outra ferramenta bacana, mas assim como SARG ela
>>>>> é de
>>>>> >>> monitoramento passivo.
>>>>> >>> A dica do iptraf é pra monitoramento ativo, ou seja, o que está
>>>>> >>> acontecendo naquele exato momento.
>>>>> >>
>>>>> >> O problema com o IPTraf é que você só estará vendo as conexões (o
>>>>> que já
>>>>> >> ajuda para identificar algum abuso). Mas achei que a pergunta era
>>>>> mais
>>>>> >> direcionada às páginas acessadas pelo Squid.
>>>>> >>
>>>>> >>>
>>>>> >>> Eu uso SARG há vários anos em vários servidores proxy e gosto
>>>>> bastante.
>>>>> >>> Aproveitando, se existir algum software que faz a leitura "ao vivo"
>>>>> do
>>>>> >>> access.log, por favor, indiquem!
>>>>> >>
>>>>> >> tail -f
>>>>> >> :-)
>>>>> >> --
>>>>> >> Giovanni Tirloni
>>>>> >>
>>>>> >> _______________________________________________
>>>>> >> CentOS-pt-br mailing list
>>>>> >> CentOS-pt-br em centos.org
>>>>> >> http://lists.centos.org/mailman/listinfo/centos-pt-br
>>>>> >>
>>>>> >
>>>>> >
>>>>> >
>>>>> > --
>>>>> > See ya!
>>>>> > FabioTux®
>>>>> >
>>>>> > _______________________________________________
>>>>> > CentOS-pt-br mailing list
>>>>> > CentOS-pt-br em centos.org
>>>>> > http://lists.centos.org/mailman/listinfo/centos-pt-br
>>>>> >
>>>>> >
>>>>> > --
>>>>> > Rafael Henrique da Silva Correia
>>>>> > http://abraseucodigo.blogspot.com
>>>>> >
>>>>> > Administrador de Sistemas Linux
>>>>> > Certificado pela LPIC - 101
>>>>> > ID: LPI000160699
>>>>> >
>>>>> > _______________________________________________
>>>>> > CentOS-pt-br mailing list
>>>>> > CentOS-pt-br em centos.org
>>>>> > http://lists.centos.org/mailman/listinfo/centos-pt-br
>>>>> >
>>>>> >
>>>>>
>>>>>
>>>>>
>>>>> --
>>>>> Felipe Nolasco aka 'xfnolx'
>>>>> ICQ: 120505047
>>>>> MSN: felipenolasco at gmail.com
>>>>> _______________________________________________
>>>>> CentOS-pt-br mailing list
>>>>> CentOS-pt-br em centos.org
>>>>> http://lists.centos.org/mailman/listinfo/centos-pt-br
>>>>>
>>>>
>>>>
>>>> _______________________________________________
>>>> CentOS-pt-br mailing list
>>>> CentOS-pt-br em centos.org
>>>> http://lists.centos.org/mailman/listinfo/centos-pt-br
>>>>
>>>>
>>>
>>>
>>> --
>>> -------------------------------------------
>>> At.
>>>
>>> Guilherme Moraes Da Fonseca
>>> *LPIC1 - Linux Professional Institute Certified**
>>> *
>>> *CLA - Novell Certified Linux Administrator*
>>> *DCTS - Novell Data Center Technical Specialist*
>>> **
>>> Analista de Suporte Gnu/Linux
>>>
>>>
>>>
>>> _______________________________________________
>>> CentOS-pt-br mailing list
>>> CentOS-pt-br em centos.org
>>> http://lists.centos.org/mailman/listinfo/centos-pt-br
>>>
>>>
>>
>> _______________________________________________
>> CentOS-pt-br mailing list
>> CentOS-pt-br em centos.org
>> http://lists.centos.org/mailman/listinfo/centos-pt-br
>>
>>
>
>
> --
> -------------------------------------------
> At.
>
> Guilherme Moraes Da Fonseca
> *LPIC1 - Linux Professional Institute Certified**
> *
> *CLA - Novell Certified Linux Administrator*
> *DCTS - Novell Data Center Technical Specialist*
> **
> Analista de Suporte Gnu/Linux
>
>
>
> _______________________________________________
> CentOS-pt-br mailing list
> CentOS-pt-br em centos.org
> http://lists.centos.org/mailman/listinfo/centos-pt-br
>
>
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://lists.centos.org/pipermail/centos-pt-br/attachments/20110630/8b259782/attachment.html
Mais detalhes sobre a lista de discussão CentOS-pt-br