O mais interessante é que tentei bloquear todas as portas, conforme o script
que enviei alguns minutos atrás... mas não funciona.. com certeza tem algo
errado no script..
>>>>>>>>
#!/bin/bash
# Interface da Internet
ifinternet="ppp0"
# Interface Local
iflocal="eth0"
iniciar(){
modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o $ifinternet -j MASQUERADE
iptables -t nat -A POSTROUTING -o $iflocal -j MASQUERADE
echo "compartilhamento ativado"
iptables -t nat -A PREROUTING -i $iflocal -p tcp --dport 80 -j REDIRECT
--to-port 3128
echo "proxy transparente ativado"
# permite conexoes na interface de rede local e na porta 22
iptables -A INPUT -i $iflocal -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 2891 -j ACCEPT
iptables -A INPUT -p tcp --dport 1963 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 3128 -j ACCEPT
# regras basicas de firewall
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter
iptables -A INPUT -p tcp --syn -j DROP
# bloqueia portas UDP de 0 a 1023
iptables -A INPUT -p udp --dport 0:1023 -j DROP
# redirecionando portas
echo "Iniciando redir de portas"
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -A INPUT -p tcp --dport 3050
iptables -t nat -A PREROUTING -p tcp -i $ifinternet --dport 36001 -j DNAT
--to 192.168.1.3
iptables -t nat -A PREROUTING -p tcp -i $ifinternet -m multiport --dport
22619,22646,42041,37164,8095,36002 -j DNAT --to 192.168.1.2
iptables -t nat -A PREROUTING -p tcp -i $ifinternet --dport 36003 -j DNAT
--to 192.168.1.6
iptables -t nat -A PREROUTING -p tcp -i $ifinternet --dport 36004 -j DNAT
--to 192.168.1.4
iptables -t nat -A PREROUTING -p tcp -i $ifinternet --dport 36005 -j DNAT
--to 192.168.1.8
iptables -t nat -A PREROUTING -p tcp -i $ifinternet --dport 36006 -j DNAT
--to 192.168.1.7
iptables -t nat -A PREROUTING -p tcp -i $ifinternet --dport 36007 -j DNAT
--to 192.168.1.9
iptables -t nat -A PREROUTING -p tcp -i $ifinternet --dport 36008 -j DNAT
--to 192.168.1.10
iptables -t nat -A PREROUTING -p tcp -i $ifinternet --dport 37001 -j DNAT
--to 192.168.1.10
iptables -t nat -A PREROUTING -p tcp -i $ifinternet --dport 37002 -j DNAT
--to 192.168.1.6
iptables -t nat -A PREROUTING -p tcp -i $ifinternet --dport 37003 -j DNAT
--to 192.168.1.8
iptables -t nat -A PREROUTING -p tcp -i $ifinternet --dport 37004 -j DNAT
--to 192.168.1.7
echo "redir realizado com sucesso"
echo ""
echo "> Regras do firewall e compartilhamento ativadas"
}
parar(){
iptables -F
iptables -t nat -F
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
echo 0 > /proc/sys/net/ipv4/ip_forward
echo "Regras de firewall desativadas"
}
case $1 in
"start") iniciar ;;
"stop") parar ;;
"restart") parar; iniciar ;;
*) echo "use: start ou stop"
esac
T.·.F.·.A.·. S+F
*Fellipe Henrique P. Soares*
Analista e Desenvolvedor de Softwares for Win32
Linux Administrator
Em 30 de junho de 2011 14:37, Gracco Guimarães
<gracco.cerqueira em gmail.com>escreveu:
> Você vai configurar o bloqueio no próprio iptables. Ja que tudo passa por
> ele.
>
> Em 30 de junho de 2011 14:12, Fellipe Henrique <fellipeh em gmail.com>escreveu:
>
> tenho sim.. utilizo o iptables+squid.. no servidor, e todos passam por ele
>> pra ir na internet..
>>
>> ah.. estou tentando colocar o squidguard... rsrs.. apanhando aqui, mas
>> vamos ver se consigo..
>>
>> []s
>>
>> T.·.F.·.A.·. S+F
>>
>> *Fellipe Henrique P. Soares*
>>
>> Analista e Desenvolvedor de Softwares for Win32
>> Linux Administrator
>>
>>
>>
>>
>> Em 30 de junho de 2011 14:09, Gracco Guimarães <
>> gracco.cerqueira em gmail.com> escreveu:
>>
>> Você tem um firewall na rede? Ou apenas um roteador? Alguém sabe se tem
>>> como bloquear torrent no squid? A forma mais simples seria pelo firewall.
>>>
>>> Em 30 de junho de 2011 13:36, Fellipe Henrique <fellipeh em gmail.com>escreveu:
>>>
>>> Desculpe-me, mas iniciante como sou, como eu faço isso?
>>>>
>>>> T.·.F.·.A.·. S+F
>>>>
>>>> *Fellipe Henrique P. Soares*
>>>>
>>>> Analista e Desenvolvedor de Softwares for Win32
>>>> Linux Administrator
>>>>
>>>>
>>>>
>>>>
>>>> Em 30 de junho de 2011 11:31, GRIFFO Consultoria & Treinamentos -
>>>> Rodrigo Griffo <rodrigogriffo em gmail.com> escreveu:
>>>>
>>>>> bloqueia no firewall por string
>>>>>
>>>>> Em 30 de junho de 2011 11:20, Gracco Guimarães <
>>>>> gracco.cerqueira em gmail.com> escreveu:
>>>>>
>>>>> Bloqueia no firewall um range grande de portas altas, o torrent pode
>>>>>> mudar as portas, ou libera apenas as portas 80, 443.
>>>>>>
>>>>>> Em 30 de junho de 2011 11:00, Fellipe Henrique <fellipeh em gmail.com>escreveu:
>>>>>>
>>>>>> Amigos,
>>>>>>>
>>>>>>> Consegui descobrir o problema do "chupa-banda" aqui da firma.. são
>>>>>>> downloads de vídeos e etc.. consegui barrar os downloads pelo squid.. se for
>>>>>>> um link direto.. mas se for um link que seja dentro de um e-mail por exemplo
>>>>>>> eu nao consigo barrar.. ou mesmo o seguinte.. consegui barrar o download do
>>>>>>> .torrent ... mas se alguem traz o arquivo de casa, e entra no torrent ele
>>>>>>> deixa baixar... :(
>>>>>>>
>>>>>>> Alguma dica de como proceder nesse caso?
>>>>>>>
>>>>>>> T.·.F.·.A.·. S+F
>>>>>>>
>>>>>>> *Fellipe Henrique P. Soares*
>>>>>>>
>>>>>>> Analista e Desenvolvedor de Softwares for Win32
>>>>>>> Linux Administrator
>>>>>>>
>>>>>>>
>>>>>>>
>>>>>>>
>>>>>>> Em 30 de junho de 2011 08:30, Felipe Nolasco <
>>>>>>> felipenolasco em gmail.com> escreveu:
>>>>>>>
>>>>>>>> Rafael,
>>>>>>>>
>>>>>>>> Apenas para conhecimento, mas creio que para números não é
>>>>>>>> necessário
>>>>>>>> o uso do parâmetro -i no grep, no filtro do IP.
>>>>>>>> Esse parâmetro -i é usado apenas para o grep não distinguir
>>>>>>>> maiúsculo
>>>>>>>> de minusculo. #ficadica
>>>>>>>>
>>>>>>>> 2011/6/29 Rafael Henrique da Silva Correia <
>>>>>>>> rafael em abraseucodigo.com.br>:
>>>>>>>> > Complementando o FábioTux ...
>>>>>>>> >
>>>>>>>> > Faz uns anos que trabalho com Squid e realmente o tail -f foi o
>>>>>>>> que mais me
>>>>>>>> > ajudou... claro que temos que lembrar dos filtros grep !
>>>>>>>> >
>>>>>>>> > Exemplo:
>>>>>>>> >
>>>>>>>> > # tail -f /var/log/squid3/access.log | grep -i 192.168.0.40 | grep
>>>>>>>> -i
>>>>>>>> > tcp_denied
>>>>>>>> >
>>>>>>>> > Com este comando consigo ver todos os bloqueios que o squid faz ao
>>>>>>>> ip
>>>>>>>> > 192.168.0.40 em tempo real!
>>>>>>>> >
>>>>>>>> > Me ajudou muito sempre!
>>>>>>>> >
>>>>>>>> > Espero que a dica seja útil! Abraço!
>>>>>>>> >
>>>>>>>> > Em 27-06-2011 18:00, FábioTux® escreveu:
>>>>>>>> >
>>>>>>>> > ahaha! Boa, Giovanni.
>>>>>>>> > tail -f é o arroz/feijão, mas tem tanta info no access.log que dá
>>>>>>>> pra
>>>>>>>> > enlouquecer (se bem que basta usar umas expressões regulares pra
>>>>>>>> filtrar só
>>>>>>>> > o que interessa).
>>>>>>>> > Ah, aproveitando que você falou em "abuso", o que normalmente faço
>>>>>>>> é dar uma
>>>>>>>> > olhada com um pequeno utilitário chamado bwn-ng, que mostra o
>>>>>>>> consumo de
>>>>>>>> > banda por interface de rede. Se percebo que "a coisa tá feia",
>>>>>>>> acesso o
>>>>>>>> > iptraf e filtro as conexões que estão acessando o squid (porta
>>>>>>>> 3389 por
>>>>>>>> > padrão) pra identificar o host que eventualmente está abusando ou
>>>>>>>> acabo
>>>>>>>> > usando o tail -f /var/log/squid/access.log.
>>>>>>>> > Isso me dá a chance de dar uma resposta imediata aos entraves do
>>>>>>>> acesso à
>>>>>>>> > Internet e os Logs do SARG serverm para documentar o abuso naquele
>>>>>>>> acesso em
>>>>>>>> > particular.
>>>>>>>> > Enfim...é isso aí!
>>>>>>>> > Abraço!
>>>>>>>> >
>>>>>>>> >
>>>>>>>> >
>>>>>>>> >
>>>>>>>> >
>>>>>>>> >
>>>>>>>> >
>>>>>>>> > 2011/6/27 Giovanni Tirloni <gtirloni em sysdroid.com>
>>>>>>>> >>
>>>>>>>> >> 2011/6/27 FábioTux® <fabiotux em gmail.com>
>>>>>>>> >>>
>>>>>>>> >>> Opa...
>>>>>>>> >>> O Giovanni trouxe outra ferramenta bacana, mas assim como SARG
>>>>>>>> ela é de
>>>>>>>> >>> monitoramento passivo.
>>>>>>>> >>> A dica do iptraf é pra monitoramento ativo, ou seja, o que está
>>>>>>>> >>> acontecendo naquele exato momento.
>>>>>>>> >>
>>>>>>>> >> O problema com o IPTraf é que você só estará vendo as conexões (o
>>>>>>>> que já
>>>>>>>> >> ajuda para identificar algum abuso). Mas achei que a pergunta era
>>>>>>>> mais
>>>>>>>> >> direcionada às páginas acessadas pelo Squid.
>>>>>>>> >>
>>>>>>>> >>>
>>>>>>>> >>> Eu uso SARG há vários anos em vários servidores proxy e gosto
>>>>>>>> bastante.
>>>>>>>> >>> Aproveitando, se existir algum software que faz a leitura "ao
>>>>>>>> vivo" do
>>>>>>>> >>> access.log, por favor, indiquem!
>>>>>>>> >>
>>>>>>>> >> tail -f
>>>>>>>> >> :-)
>>>>>>>> >> --
>>>>>>>> >> Giovanni Tirloni
>>>>>>>> >>
>>>>>>>> >> _______________________________________________
>>>>>>>> >> CentOS-pt-br mailing list
>>>>>>>> >> CentOS-pt-br em centos.org
>>>>>>>> >> http://lists.centos.org/mailman/listinfo/centos-pt-br
>>>>>>>> >>
>>>>>>>> >
>>>>>>>> >
>>>>>>>> >
>>>>>>>> > --
>>>>>>>> > See ya!
>>>>>>>> > FabioTux®
>>>>>>>> >
>>>>>>>> > _______________________________________________
>>>>>>>> > CentOS-pt-br mailing list
>>>>>>>> > CentOS-pt-br em centos.org
>>>>>>>> > http://lists.centos.org/mailman/listinfo/centos-pt-br
>>>>>>>> >
>>>>>>>> >
>>>>>>>> > --
>>>>>>>> > Rafael Henrique da Silva Correia
>>>>>>>> > http://abraseucodigo.blogspot.com
>>>>>>>> >
>>>>>>>> > Administrador de Sistemas Linux
>>>>>>>> > Certificado pela LPIC - 101
>>>>>>>> > ID: LPI000160699
>>>>>>>> >
>>>>>>>> > _______________________________________________
>>>>>>>> > CentOS-pt-br mailing list
>>>>>>>> > CentOS-pt-br em centos.org
>>>>>>>> > http://lists.centos.org/mailman/listinfo/centos-pt-br
>>>>>>>> >
>>>>>>>> >
>>>>>>>>
>>>>>>>>
>>>>>>>>
>>>>>>>> --
>>>>>>>> Felipe Nolasco aka 'xfnolx'
>>>>>>>> ICQ: 120505047
>>>>>>>> MSN: felipenolasco at gmail.com
>>>>>>>> _______________________________________________
>>>>>>>> CentOS-pt-br mailing list
>>>>>>>> CentOS-pt-br em centos.org
>>>>>>>> http://lists.centos.org/mailman/listinfo/centos-pt-br
>>>>>>>>
>>>>>>>
>>>>>>>
>>>>>>> _______________________________________________
>>>>>>> CentOS-pt-br mailing list
>>>>>>> CentOS-pt-br em centos.org
>>>>>>> http://lists.centos.org/mailman/listinfo/centos-pt-br
>>>>>>>
>>>>>>>
>>>>>>
>>>>>>
>>>>>> --
>>>>>> Gracco Guimarães - +55 (61) 8167-8225
>>>>>>
>>>>>> www.linuxlivre.wordpress.com
>>>>>>
>>>>>> _______________________________________________
>>>>>> CentOS-pt-br mailing list
>>>>>> CentOS-pt-br em centos.org
>>>>>> http://lists.centos.org/mailman/listinfo/centos-pt-br
>>>>>>
>>>>>>
>>>>>
>>>>>
>>>>> --
>>>>> Desde já agradeço
>>>>>
>>>>> RODRIGO GRIFFO
>>>>> Gestor de TI
>>>>> 27-9999-5733
>>>>>
>>>>> http://rodrigogriffo.blogspot.com
>>>>> MSN: rodrigogriffo em gmail.com
>>>>> SKYPE: rodrigogriffo
>>>>>
>>>>> SERVIDORES WINDOWS E LINUX
>>>>> Squid-Samba-Iptables
>>>>> Bloqueios de Sites
>>>>> Monitoramento e Relatorios
>>>>> Rede Sem Fio - WPA2
>>>>> Contratos de Manutençao
>>>>>
>>>>> _______________________________________________
>>>>> CentOS-pt-br mailing list
>>>>> CentOS-pt-br em centos.org
>>>>> http://lists.centos.org/mailman/listinfo/centos-pt-br
>>>>>
>>>>>
>>>>
>>>> _______________________________________________
>>>> CentOS-pt-br mailing list
>>>> CentOS-pt-br em centos.org
>>>> http://lists.centos.org/mailman/listinfo/centos-pt-br
>>>>
>>>>
>>>
>>>
>>> --
>>> Gracco Guimarães - +55 (61) 8167-8225
>>>
>>> www.linuxlivre.wordpress.com
>>>
>>> _______________________________________________
>>> CentOS-pt-br mailing list
>>> CentOS-pt-br em centos.org
>>> http://lists.centos.org/mailman/listinfo/centos-pt-br
>>>
>>>
>>
>> _______________________________________________
>> CentOS-pt-br mailing list
>> CentOS-pt-br em centos.org
>> http://lists.centos.org/mailman/listinfo/centos-pt-br
>>
>>
>
>
> --
> Gracco Guimarães - +55 (61) 8167-8225
>
> www.linuxlivre.wordpress.com
>
> _______________________________________________
> CentOS-pt-br mailing list
> CentOS-pt-br em centos.org
> http://lists.centos.org/mailman/listinfo/centos-pt-br
>
>
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://lists.centos.org/pipermail/centos-pt-br/attachments/20110630/44318f7d/attachment.html