[CentOS-pt-br] Dica de como monitorar conexao
Marcos Carraro
marcos.g.carraro em gmail.com
Quinta Junho 30 15:00:03 EDT 2011
cara larga um OUTPUT -j DROP
FOWARD -j DROP
INPUT -j DROP
depois vai abrindo e liberando o que tu precisa se torna até mais fácil
configurar assim, e tu tens uma melhor visualização de como esta a tua rede.
--
att
Marcos Carraro
Linux user #511627
Em 30 de junho de 2011 14:44, Fellipe Henrique <fellipeh em gmail.com>escreveu:
> O mais interessante é que tentei bloquear todas as portas, conforme o
> script que enviei alguns minutos atrás... mas não funciona.. com certeza tem
> algo errado no script..
>
> >>>>>>>>
>
> #!/bin/bash
>
> # Interface da Internet
> ifinternet="ppp0"
>
> # Interface Local
> iflocal="eth0"
>
> iniciar(){
> modprobe iptable_nat
> echo 1 > /proc/sys/net/ipv4/ip_forward
> iptables -t nat -A POSTROUTING -o $ifinternet -j MASQUERADE
> iptables -t nat -A POSTROUTING -o $iflocal -j MASQUERADE
> echo "compartilhamento ativado"
>
> iptables -t nat -A PREROUTING -i $iflocal -p tcp --dport 80 -j REDIRECT
> --to-port 3128
> echo "proxy transparente ativado"
>
> # permite conexoes na interface de rede local e na porta 22
> iptables -A INPUT -i $iflocal -j ACCEPT
> iptables -A INPUT -p tcp --dport 22 -j ACCEPT
> iptables -A INPUT -p tcp --dport 2891 -j ACCEPT
> iptables -A INPUT -p tcp --dport 1963 -j ACCEPT
> iptables -A INPUT -p tcp --dport 80 -j ACCEPT
> iptables -A INPUT -p tcp --dport 3128 -j ACCEPT
>
>
> # regras basicas de firewall
> iptables -A INPUT -i lo -j ACCEPT
> iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
> echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter
> iptables -A INPUT -p tcp --syn -j DROP
>
>
> # bloqueia portas UDP de 0 a 1023
> iptables -A INPUT -p udp --dport 0:1023 -j DROP
>
> # redirecionando portas
> echo "Iniciando redir de portas"
> echo 1 > /proc/sys/net/ipv4/ip_forward
> iptables -A INPUT -p tcp --dport 3050
> iptables -t nat -A PREROUTING -p tcp -i $ifinternet --dport 36001 -j DNAT
> --to 192.168.1.3
> iptables -t nat -A PREROUTING -p tcp -i $ifinternet -m multiport --dport
> 22619,22646,42041,37164,8095,36002 -j DNAT --to 192.168.1.2
> iptables -t nat -A PREROUTING -p tcp -i $ifinternet --dport 36003 -j DNAT
> --to 192.168.1.6
> iptables -t nat -A PREROUTING -p tcp -i $ifinternet --dport 36004 -j DNAT
> --to 192.168.1.4
> iptables -t nat -A PREROUTING -p tcp -i $ifinternet --dport 36005 -j DNAT
> --to 192.168.1.8
> iptables -t nat -A PREROUTING -p tcp -i $ifinternet --dport 36006 -j DNAT
> --to 192.168.1.7
> iptables -t nat -A PREROUTING -p tcp -i $ifinternet --dport 36007 -j DNAT
> --to 192.168.1.9
> iptables -t nat -A PREROUTING -p tcp -i $ifinternet --dport 36008 -j DNAT
> --to 192.168.1.10
>
> iptables -t nat -A PREROUTING -p tcp -i $ifinternet --dport 37001 -j DNAT
> --to 192.168.1.10
> iptables -t nat -A PREROUTING -p tcp -i $ifinternet --dport 37002 -j DNAT
> --to 192.168.1.6
> iptables -t nat -A PREROUTING -p tcp -i $ifinternet --dport 37003 -j
> DNAT --to 192.168.1.8
> iptables -t nat -A PREROUTING -p tcp -i $ifinternet --dport 37004 -j DNAT
> --to 192.168.1.7
>
> echo "redir realizado com sucesso"
>
> echo ""
> echo "> Regras do firewall e compartilhamento ativadas"
> }
>
> parar(){
> iptables -F
> iptables -t nat -F
> iptables -P INPUT ACCEPT
> iptables -P OUTPUT ACCEPT
> echo 0 > /proc/sys/net/ipv4/ip_forward
> echo "Regras de firewall desativadas"
> }
>
> case $1 in
> "start") iniciar ;;
> "stop") parar ;;
> "restart") parar; iniciar ;;
> *) echo "use: start ou stop"
> esac
>
> T.·.F.·.A.·. S+F
>
> *Fellipe Henrique P. Soares*
>
> Analista e Desenvolvedor de Softwares for Win32
> Linux Administrator
>
>
>
>
> Em 30 de junho de 2011 14:37, Gracco Guimarães <gracco.cerqueira em gmail.com
> > escreveu:
>
> Você vai configurar o bloqueio no próprio iptables. Ja que tudo passa por
>> ele.
>>
>> Em 30 de junho de 2011 14:12, Fellipe Henrique <fellipeh em gmail.com>escreveu:
>>
>> tenho sim.. utilizo o iptables+squid.. no servidor, e todos passam por ele
>>> pra ir na internet..
>>>
>>> ah.. estou tentando colocar o squidguard... rsrs.. apanhando aqui, mas
>>> vamos ver se consigo..
>>>
>>> []s
>>>
>>> T.·.F.·.A.·. S+F
>>>
>>> *Fellipe Henrique P. Soares*
>>>
>>> Analista e Desenvolvedor de Softwares for Win32
>>> Linux Administrator
>>>
>>>
>>>
>>>
>>> Em 30 de junho de 2011 14:09, Gracco Guimarães <
>>> gracco.cerqueira em gmail.com> escreveu:
>>>
>>> Você tem um firewall na rede? Ou apenas um roteador? Alguém sabe se tem
>>>> como bloquear torrent no squid? A forma mais simples seria pelo firewall.
>>>>
>>>> Em 30 de junho de 2011 13:36, Fellipe Henrique <fellipeh em gmail.com>escreveu:
>>>>
>>>> Desculpe-me, mas iniciante como sou, como eu faço isso?
>>>>>
>>>>> T.·.F.·.A.·. S+F
>>>>>
>>>>> *Fellipe Henrique P. Soares*
>>>>>
>>>>> Analista e Desenvolvedor de Softwares for Win32
>>>>> Linux Administrator
>>>>>
>>>>>
>>>>>
>>>>>
>>>>> Em 30 de junho de 2011 11:31, GRIFFO Consultoria & Treinamentos -
>>>>> Rodrigo Griffo <rodrigogriffo em gmail.com> escreveu:
>>>>>
>>>>>> bloqueia no firewall por string
>>>>>>
>>>>>> Em 30 de junho de 2011 11:20, Gracco Guimarães <
>>>>>> gracco.cerqueira em gmail.com> escreveu:
>>>>>>
>>>>>> Bloqueia no firewall um range grande de portas altas, o torrent pode
>>>>>>> mudar as portas, ou libera apenas as portas 80, 443.
>>>>>>>
>>>>>>> Em 30 de junho de 2011 11:00, Fellipe Henrique <fellipeh em gmail.com>escreveu:
>>>>>>>
>>>>>>> Amigos,
>>>>>>>>
>>>>>>>> Consegui descobrir o problema do "chupa-banda" aqui da firma.. são
>>>>>>>> downloads de vÃdeos e etc.. consegui barrar os downloads pelo squid.. se for
>>>>>>>> um link direto.. mas se for um link que seja dentro de um e-mail por exemplo
>>>>>>>> eu nao consigo barrar.. ou mesmo o seguinte.. consegui barrar o download do
>>>>>>>> .torrent ... mas se alguem traz o arquivo de casa, e entra no torrent ele
>>>>>>>> deixa baixar... :(
>>>>>>>>
>>>>>>>> Alguma dica de como proceder nesse caso?
>>>>>>>>
>>>>>>>> T.·.F.·.A.·. S+F
>>>>>>>>
>>>>>>>> *Fellipe Henrique P. Soares*
>>>>>>>>
>>>>>>>> Analista e Desenvolvedor de Softwares for Win32
>>>>>>>> Linux Administrator
>>>>>>>>
>>>>>>>>
>>>>>>>>
>>>>>>>>
>>>>>>>> Em 30 de junho de 2011 08:30, Felipe Nolasco <
>>>>>>>> felipenolasco em gmail.com> escreveu:
>>>>>>>>
>>>>>>>>> Rafael,
>>>>>>>>>
>>>>>>>>> Apenas para conhecimento, mas creio que para números não é
>>>>>>>>> necessário
>>>>>>>>> o uso do parâmetro -i no grep, no filtro do IP.
>>>>>>>>> Esse parâmetro -i é usado apenas para o grep não distinguir
>>>>>>>>> maiúsculo
>>>>>>>>> de minusculo. #ficadica
>>>>>>>>>
>>>>>>>>> 2011/6/29 Rafael Henrique da Silva Correia <
>>>>>>>>> rafael em abraseucodigo.com.br>:
>>>>>>>>> > Complementando o FábioTux ...
>>>>>>>>> >
>>>>>>>>> > Faz uns anos que trabalho com Squid e realmente o tail -f foi o
>>>>>>>>> que mais me
>>>>>>>>> > ajudou... claro que temos que lembrar dos filtros grep !
>>>>>>>>> >
>>>>>>>>> > Exemplo:
>>>>>>>>> >
>>>>>>>>> > # tail -f /var/log/squid3/access.log | grep -i 192.168.0.40 |
>>>>>>>>> grep -i
>>>>>>>>> > tcp_denied
>>>>>>>>> >
>>>>>>>>> > Com este comando consigo ver todos os bloqueios que o squid faz
>>>>>>>>> ao ip
>>>>>>>>> > 192.168.0.40 em tempo real!
>>>>>>>>> >
>>>>>>>>> > Me ajudou muito sempre!
>>>>>>>>> >
>>>>>>>>> > Espero que a dica seja útil! Abraço!
>>>>>>>>> >
>>>>>>>>> > Em 27-06-2011 18:00, FábioTux® escreveu:
>>>>>>>>> >
>>>>>>>>> > ahaha! Boa, Giovanni.
>>>>>>>>> > tail -f é o arroz/feijão, mas tem tanta info no access.log que dá
>>>>>>>>> pra
>>>>>>>>> > enlouquecer (se bem que basta usar umas expressões regulares pra
>>>>>>>>> filtrar só
>>>>>>>>> > o que interessa).
>>>>>>>>> > Ah, aproveitando que você falou em "abuso", o que normalmente
>>>>>>>>> faço é dar uma
>>>>>>>>> > olhada com um pequeno utilitário chamado bwn-ng, que mostra o
>>>>>>>>> consumo de
>>>>>>>>> > banda por interface de rede. Se percebo que "a coisa tá feia",
>>>>>>>>> acesso o
>>>>>>>>> > iptraf e filtro as conexões que estão acessando o squid (porta
>>>>>>>>> 3389 por
>>>>>>>>> > padrão) pra identificar o host que eventualmente está abusando ou
>>>>>>>>> acabo
>>>>>>>>> > usando o tail -f /var/log/squid/access.log.
>>>>>>>>> > Isso me dá a chance de dar uma resposta imediata aos entraves do
>>>>>>>>> acesso Ã
>>>>>>>>> > Internet e os Logs do SARG serverm para documentar o abuso
>>>>>>>>> naquele acesso em
>>>>>>>>> > particular.
>>>>>>>>> > Enfim...é isso aÃ!
>>>>>>>>> > Abraço!
>>>>>>>>> >
>>>>>>>>> >
>>>>>>>>> >
>>>>>>>>> >
>>>>>>>>> >
>>>>>>>>> >
>>>>>>>>> >
>>>>>>>>> > 2011/6/27 Giovanni Tirloni <gtirloni em sysdroid.com>
>>>>>>>>> >>
>>>>>>>>> >> 2011/6/27 FábioTux® <fabiotux em gmail.com>
>>>>>>>>> >>>
>>>>>>>>> >>> Opa...
>>>>>>>>> >>> O Giovanni trouxe outra ferramenta bacana, mas assim como SARG
>>>>>>>>> ela é de
>>>>>>>>> >>> monitoramento passivo.
>>>>>>>>> >>> A dica do iptraf é pra monitoramento ativo, ou seja, o que está
>>>>>>>>> >>> acontecendo naquele exato momento.
>>>>>>>>> >>
>>>>>>>>> >> O problema com o IPTraf é que você só estará vendo as conexões
>>>>>>>>> (o que já
>>>>>>>>> >> ajuda para identificar algum abuso). Mas achei que a pergunta
>>>>>>>>> era mais
>>>>>>>>> >> direcionada às páginas acessadas pelo Squid.
>>>>>>>>> >>
>>>>>>>>> >>>
>>>>>>>>> >>> Eu uso SARG há vários anos em vários servidores proxy e gosto
>>>>>>>>> bastante.
>>>>>>>>> >>> Aproveitando, se existir algum software que faz a leitura "ao
>>>>>>>>> vivo" do
>>>>>>>>> >>> access.log, por favor, indiquem!
>>>>>>>>> >>
>>>>>>>>> >> tail -f
>>>>>>>>> >> :-)
>>>>>>>>> >> --
>>>>>>>>> >> Giovanni Tirloni
>>>>>>>>> >>
>>>>>>>>> >> _______________________________________________
>>>>>>>>> >> CentOS-pt-br mailing list
>>>>>>>>> >> CentOS-pt-br em centos.org
>>>>>>>>> >> http://lists.centos.org/mailman/listinfo/centos-pt-br
>>>>>>>>> >>
>>>>>>>>> >
>>>>>>>>> >
>>>>>>>>> >
>>>>>>>>> > --
>>>>>>>>> > See ya!
>>>>>>>>> > FabioTux®
>>>>>>>>> >
>>>>>>>>> > _______________________________________________
>>>>>>>>> > CentOS-pt-br mailing list
>>>>>>>>> > CentOS-pt-br em centos.org
>>>>>>>>> > http://lists.centos.org/mailman/listinfo/centos-pt-br
>>>>>>>>> >
>>>>>>>>> >
>>>>>>>>> > --
>>>>>>>>> > Rafael Henrique da Silva Correia
>>>>>>>>> > http://abraseucodigo.blogspot.com
>>>>>>>>> >
>>>>>>>>> > Administrador de Sistemas Linux
>>>>>>>>> > Certificado pela LPIC - 101
>>>>>>>>> > ID: LPI000160699
>>>>>>>>> >
>>>>>>>>> > _______________________________________________
>>>>>>>>> > CentOS-pt-br mailing list
>>>>>>>>> > CentOS-pt-br em centos.org
>>>>>>>>> > http://lists.centos.org/mailman/listinfo/centos-pt-br
>>>>>>>>> >
>>>>>>>>> >
>>>>>>>>>
>>>>>>>>>
>>>>>>>>>
>>>>>>>>> --
>>>>>>>>> Felipe Nolasco aka 'xfnolx'
>>>>>>>>> ICQ: 120505047
>>>>>>>>> MSN: felipenolasco at gmail.com
>>>>>>>>> _______________________________________________
>>>>>>>>> CentOS-pt-br mailing list
>>>>>>>>> CentOS-pt-br em centos.org
>>>>>>>>> http://lists.centos.org/mailman/listinfo/centos-pt-br
>>>>>>>>>
>>>>>>>>
>>>>>>>>
>>>>>>>> _______________________________________________
>>>>>>>> CentOS-pt-br mailing list
>>>>>>>> CentOS-pt-br em centos.org
>>>>>>>> http://lists.centos.org/mailman/listinfo/centos-pt-br
>>>>>>>>
>>>>>>>>
>>>>>>>
>>>>>>>
>>>>>>> --
>>>>>>> Gracco Guimarães - +55 (61) 8167-8225
>>>>>>>
>>>>>>> www.linuxlivre.wordpress.com
>>>>>>>
>>>>>>> _______________________________________________
>>>>>>> CentOS-pt-br mailing list
>>>>>>> CentOS-pt-br em centos.org
>>>>>>> http://lists.centos.org/mailman/listinfo/centos-pt-br
>>>>>>>
>>>>>>>
>>>>>>
>>>>>>
>>>>>> --
>>>>>> Desde já agradeço
>>>>>>
>>>>>> RODRIGO GRIFFO
>>>>>> Gestor de TI
>>>>>> 27-9999-5733
>>>>>>
>>>>>> http://rodrigogriffo.blogspot.com
>>>>>> MSN: rodrigogriffo em gmail.com
>>>>>> SKYPE: rodrigogriffo
>>>>>>
>>>>>> SERVIDORES WINDOWS E LINUX
>>>>>> Squid-Samba-Iptables
>>>>>> Bloqueios de Sites
>>>>>> Monitoramento e Relatorios
>>>>>> Rede Sem Fio - WPA2
>>>>>> Contratos de Manutençao
>>>>>>
>>>>>> _______________________________________________
>>>>>> CentOS-pt-br mailing list
>>>>>> CentOS-pt-br em centos.org
>>>>>> http://lists.centos.org/mailman/listinfo/centos-pt-br
>>>>>>
>>>>>>
>>>>>
>>>>> _______________________________________________
>>>>> CentOS-pt-br mailing list
>>>>> CentOS-pt-br em centos.org
>>>>> http://lists.centos.org/mailman/listinfo/centos-pt-br
>>>>>
>>>>>
>>>>
>>>>
>>>> --
>>>> Gracco Guimarães - +55 (61) 8167-8225
>>>>
>>>> www.linuxlivre.wordpress.com
>>>>
>>>> _______________________________________________
>>>> CentOS-pt-br mailing list
>>>> CentOS-pt-br em centos.org
>>>> http://lists.centos.org/mailman/listinfo/centos-pt-br
>>>>
>>>>
>>>
>>> _______________________________________________
>>> CentOS-pt-br mailing list
>>> CentOS-pt-br em centos.org
>>> http://lists.centos.org/mailman/listinfo/centos-pt-br
>>>
>>>
>>
>>
>> --
>> Gracco Guimarães - +55 (61) 8167-8225
>>
>> www.linuxlivre.wordpress.com
>>
>> _______________________________________________
>> CentOS-pt-br mailing list
>> CentOS-pt-br em centos.org
>> http://lists.centos.org/mailman/listinfo/centos-pt-br
>>
>>
>
> _______________________________________________
> CentOS-pt-br mailing list
> CentOS-pt-br em centos.org
> http://lists.centos.org/mailman/listinfo/centos-pt-br
>
>
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://lists.centos.org/pipermail/centos-pt-br/attachments/20110630/84f34f74/attachment.html
Mais detalhes sobre a lista de discussão CentOS-pt-br