[CentOS-pt-br] Dica de como monitorar conexao

Marcos Carraro marcos.g.carraro em gmail.com
Quinta Junho 30 15:00:03 EDT 2011


cara larga um OUTPUT -j DROP
FOWARD -j DROP
INPUT -j DROP

depois vai abrindo e liberando o que tu precisa se torna até mais fácil
configurar assim, e tu tens uma melhor visualização de como esta a tua rede.

--
att
Marcos Carraro
Linux user #511627



Em 30 de junho de 2011 14:44, Fellipe Henrique <fellipeh em gmail.com>escreveu:

> O mais interessante é que tentei bloquear todas as portas, conforme o
> script que enviei alguns minutos atr√°s... mas n√£o funciona.. com certeza tem
> algo errado no script..
>
> >>>>>>>>
>
> #!/bin/bash
>
> # Interface da Internet
> ifinternet="ppp0"
>
> # Interface Local
> iflocal="eth0"
>
> iniciar(){
>   modprobe iptable_nat
>   echo 1 > /proc/sys/net/ipv4/ip_forward
>   iptables -t nat -A POSTROUTING -o $ifinternet -j MASQUERADE
>   iptables -t nat -A POSTROUTING -o $iflocal -j MASQUERADE
>   echo "compartilhamento ativado"
>
>   iptables -t nat -A PREROUTING  -i $iflocal -p tcp --dport 80 -j  REDIRECT
> --to-port 3128
>   echo "proxy transparente ativado"
>
>  # permite conexoes na interface de rede local e na porta 22
>   iptables -A INPUT -i $iflocal -j ACCEPT
>   iptables -A INPUT -p tcp --dport 22 -j ACCEPT
>   iptables -A INPUT -p tcp --dport 2891 -j ACCEPT
>   iptables -A INPUT -p tcp --dport 1963 -j ACCEPT
>   iptables -A INPUT -p tcp --dport 80 -j ACCEPT
>   iptables -A INPUT -p tcp --dport 3128 -j ACCEPT
>
>
> # regras basicas de firewall
>   iptables -A INPUT -i lo -j ACCEPT
>   iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
>   echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter
>   iptables -A INPUT -p tcp --syn -j DROP
>
>
> # bloqueia portas UDP de 0 a 1023
>   iptables -A INPUT -p udp --dport 0:1023 -j DROP
>
> # redirecionando portas
>   echo "Iniciando redir de portas"
>   echo 1 > /proc/sys/net/ipv4/ip_forward
>   iptables -A INPUT -p tcp --dport 3050
>   iptables -t nat -A PREROUTING -p tcp -i $ifinternet --dport 36001 -j DNAT
> --to 192.168.1.3
>   iptables -t nat -A PREROUTING -p tcp -i $ifinternet -m multiport --dport
> 22619,22646,42041,37164,8095,36002 -j DNAT --to 192.168.1.2
>   iptables -t nat -A PREROUTING -p tcp -i $ifinternet --dport 36003 -j DNAT
> --to 192.168.1.6
>   iptables -t nat -A PREROUTING -p tcp -i $ifinternet --dport 36004 -j DNAT
> --to 192.168.1.4
>   iptables -t nat -A PREROUTING -p tcp -i $ifinternet --dport 36005 -j DNAT
> --to 192.168.1.8
>   iptables -t nat -A PREROUTING -p tcp -i $ifinternet --dport 36006 -j DNAT
> --to 192.168.1.7
>   iptables -t nat -A PREROUTING -p tcp -i $ifinternet --dport 36007 -j DNAT
> --to 192.168.1.9
>   iptables -t nat -A PREROUTING -p tcp -i $ifinternet --dport 36008 -j DNAT
> --to 192.168.1.10
>
>   iptables -t nat -A PREROUTING -p tcp -i $ifinternet --dport 37001 -j DNAT
> --to 192.168.1.10
>   iptables -t nat -A PREROUTING -p tcp -i $ifinternet --dport 37002 -j DNAT
> --to 192.168.1.6
>    iptables -t nat -A PREROUTING -p tcp -i $ifinternet --dport 37003 -j
> DNAT --to 192.168.1.8
>   iptables -t nat -A PREROUTING -p tcp -i $ifinternet --dport 37004 -j DNAT
> --to 192.168.1.7
>
>   echo "redir realizado com sucesso"
>
>   echo ""
>   echo "> Regras do firewall e compartilhamento ativadas"
> }
>
> parar(){
>   iptables -F
>   iptables -t nat -F
>   iptables -P INPUT ACCEPT
>   iptables -P OUTPUT ACCEPT
>   echo 0 > /proc/sys/net/ipv4/ip_forward
>   echo "Regras de firewall desativadas"
> }
>
> case $1 in
>   "start") iniciar ;;
>   "stop") parar ;;
>   "restart") parar; iniciar ;;
>   *) echo "use: start ou stop"
> esac
>
> T.·.F.·.A.·.     S+F
>
> *Fellipe Henrique P. Soares*
>
> Analista e Desenvolvedor de Softwares for Win32
> Linux Administrator
>
>
>
>
> Em 30 de junho de 2011 14:37, Gracco Guimar√£es <gracco.cerqueira em gmail.com
> > escreveu:
>
> Você vai configurar o bloqueio no próprio iptables. Ja que tudo passa por
>> ele.
>>
>> Em 30 de junho de 2011 14:12, Fellipe Henrique <fellipeh em gmail.com>escreveu:
>>
>> tenho sim.. utilizo o iptables+squid.. no servidor, e todos passam por ele
>>> pra ir na internet..
>>>
>>> ah.. estou tentando colocar o squidguard... rsrs.. apanhando aqui, mas
>>> vamos ver se consigo..
>>>
>>> []s
>>>
>>> T.·.F.·.A.·.     S+F
>>>
>>> *Fellipe Henrique P. Soares*
>>>
>>> Analista e Desenvolvedor de Softwares for Win32
>>> Linux Administrator
>>>
>>>
>>>
>>>
>>> Em 30 de junho de 2011 14:09, Gracco Guimar√£es <
>>> gracco.cerqueira em gmail.com> escreveu:
>>>
>>> Você tem um firewall na rede? Ou apenas um roteador? Alguém sabe se tem
>>>> como bloquear torrent no squid? A forma mais simples seria pelo firewall.
>>>>
>>>> Em 30 de junho de 2011 13:36, Fellipe Henrique <fellipeh em gmail.com>escreveu:
>>>>
>>>> Desculpe-me, mas iniciante como sou, como eu faço isso?
>>>>>
>>>>> T.·.F.·.A.·.     S+F
>>>>>
>>>>> *Fellipe Henrique P. Soares*
>>>>>
>>>>> Analista e Desenvolvedor de Softwares for Win32
>>>>> Linux Administrator
>>>>>
>>>>>
>>>>>
>>>>>
>>>>> Em 30 de junho de 2011 11:31, GRIFFO Consultoria & Treinamentos -
>>>>> Rodrigo Griffo <rodrigogriffo em gmail.com> escreveu:
>>>>>
>>>>>> bloqueia no firewall por string
>>>>>>
>>>>>> Em 30 de junho de 2011 11:20, Gracco Guimar√£es <
>>>>>> gracco.cerqueira em gmail.com> escreveu:
>>>>>>
>>>>>> Bloqueia no firewall um range grande de portas altas, o torrent pode
>>>>>>> mudar as portas, ou libera apenas as portas 80, 443.
>>>>>>>
>>>>>>> Em 30 de junho de 2011 11:00, Fellipe Henrique <fellipeh em gmail.com>escreveu:
>>>>>>>
>>>>>>> Amigos,
>>>>>>>>
>>>>>>>> Consegui descobrir o problema do "chupa-banda" aqui da firma.. s√£o
>>>>>>>> downloads de vídeos e etc.. consegui barrar os downloads pelo squid.. se for
>>>>>>>> um link direto.. mas se for um link que seja dentro de um e-mail por exemplo
>>>>>>>> eu nao consigo barrar.. ou mesmo o seguinte.. consegui barrar o download do
>>>>>>>> .torrent ... mas se alguem traz o arquivo de casa, e entra no torrent ele
>>>>>>>> deixa baixar... :(
>>>>>>>>
>>>>>>>> Alguma dica de como proceder nesse caso?
>>>>>>>>
>>>>>>>> T.·.F.·.A.·.     S+F
>>>>>>>>
>>>>>>>> *Fellipe Henrique P. Soares*
>>>>>>>>
>>>>>>>> Analista e Desenvolvedor de Softwares for Win32
>>>>>>>> Linux Administrator
>>>>>>>>
>>>>>>>>
>>>>>>>>
>>>>>>>>
>>>>>>>> Em 30 de junho de 2011 08:30, Felipe Nolasco <
>>>>>>>> felipenolasco em gmail.com> escreveu:
>>>>>>>>
>>>>>>>>> Rafael,
>>>>>>>>>
>>>>>>>>> Apenas para conhecimento, mas creio que para n√ļmeros n√£o √©
>>>>>>>>> necess√°rio
>>>>>>>>> o uso do par√Ęmetro -i no grep, no filtro do IP.
>>>>>>>>> Esse par√Ęmetro -i √© usado apenas para o grep n√£o distinguir
>>>>>>>>> mai√ļsculo
>>>>>>>>> de minusculo. #ficadica
>>>>>>>>>
>>>>>>>>> 2011/6/29 Rafael Henrique da Silva Correia <
>>>>>>>>> rafael em abraseucodigo.com.br>:
>>>>>>>>> > Complementando o F√°bioTux ...
>>>>>>>>> >
>>>>>>>>> > Faz uns anos que trabalho com Squid e realmente o tail -f foi o
>>>>>>>>> que mais me
>>>>>>>>> > ajudou... claro que temos que lembrar dos filtros grep !
>>>>>>>>> >
>>>>>>>>> > Exemplo:
>>>>>>>>> >
>>>>>>>>> > # tail -f /var/log/squid3/access.log | grep -i 192.168.0.40 |
>>>>>>>>> grep -i
>>>>>>>>> > tcp_denied
>>>>>>>>> >
>>>>>>>>> > Com este comando consigo ver todos os bloqueios que o squid faz
>>>>>>>>> ao ip
>>>>>>>>> > 192.168.0.40 em tempo real!
>>>>>>>>> >
>>>>>>>>> > Me ajudou muito sempre!
>>>>>>>>> >
>>>>>>>>> > Espero que a dica seja √ļtil! Abra√ßo!
>>>>>>>>> >
>>>>>>>>> > Em 27-06-2011 18:00, F√°bioTux¬ģ escreveu:
>>>>>>>>> >
>>>>>>>>> > ahaha! Boa, Giovanni.
>>>>>>>>> > tail -f é o arroz/feijão, mas tem tanta info no access.log que dá
>>>>>>>>> pra
>>>>>>>>> > enlouquecer (se bem que basta usar umas express√Ķes regulares pra
>>>>>>>>> filtrar só
>>>>>>>>> > o que interessa).
>>>>>>>>> > Ah, aproveitando que você falou em "abuso", o que normalmente
>>>>>>>>> faço é dar uma
>>>>>>>>> > olhada com um pequeno utilit√°rio chamado bwn-ng, que mostra o
>>>>>>>>> consumo de
>>>>>>>>> > banda por interface de rede. Se percebo que "a coisa t√° feia",
>>>>>>>>> acesso o
>>>>>>>>> > iptraf e filtro as conex√Ķes que est√£o acessando o squid (porta
>>>>>>>>> 3389 por
>>>>>>>>> > padr√£o) pra identificar o host que eventualmente est√° abusando ou
>>>>>>>>> acabo
>>>>>>>>> > usando o tail -f /var/log/squid/access.log.
>>>>>>>>> > Isso me d√° a chance de dar uma resposta imediata aos entraves do
>>>>>>>>> acesso à
>>>>>>>>> > Internet e os Logs do SARG serverm para documentar o abuso
>>>>>>>>> naquele acesso em
>>>>>>>>> > particular.
>>>>>>>>> > Enfim...é isso aí!
>>>>>>>>> > Abraço!
>>>>>>>>> >
>>>>>>>>> >
>>>>>>>>> >
>>>>>>>>> >
>>>>>>>>> >
>>>>>>>>> >
>>>>>>>>> >
>>>>>>>>> > 2011/6/27 Giovanni Tirloni <gtirloni em sysdroid.com>
>>>>>>>>> >>
>>>>>>>>> >> 2011/6/27 F√°bioTux¬ģ <fabiotux em gmail.com>
>>>>>>>>> >>>
>>>>>>>>> >>> Opa...
>>>>>>>>> >>> O Giovanni trouxe outra ferramenta bacana, mas assim como SARG
>>>>>>>>> ela é de
>>>>>>>>> >>> monitoramento passivo.
>>>>>>>>> >>> A dica do iptraf é pra monitoramento ativo, ou seja, o que está
>>>>>>>>> >>> acontecendo naquele exato momento.
>>>>>>>>> >>
>>>>>>>>> >> O problema com o IPTraf √© que voc√™ s√≥ estar√° vendo as conex√Ķes
>>>>>>>>> (o que j√°
>>>>>>>>> >> ajuda para identificar algum abuso). Mas achei que a pergunta
>>>>>>>>> era mais
>>>>>>>>> >> direcionada às páginas acessadas pelo Squid.
>>>>>>>>> >>
>>>>>>>>> >>>
>>>>>>>>> >>> Eu uso SARG h√° v√°rios anos em v√°rios servidores proxy e gosto
>>>>>>>>> bastante.
>>>>>>>>> >>> Aproveitando, se existir algum software que faz a leitura "ao
>>>>>>>>> vivo" do
>>>>>>>>> >>> access.log, por favor, indiquem!
>>>>>>>>> >>
>>>>>>>>> >> tail -f
>>>>>>>>> >> :-)
>>>>>>>>> >> --
>>>>>>>>> >> Giovanni Tirloni
>>>>>>>>> >>
>>>>>>>>> >> _______________________________________________
>>>>>>>>> >> CentOS-pt-br mailing list
>>>>>>>>> >> CentOS-pt-br em centos.org
>>>>>>>>> >> http://lists.centos.org/mailman/listinfo/centos-pt-br
>>>>>>>>> >>
>>>>>>>>> >
>>>>>>>>> >
>>>>>>>>> >
>>>>>>>>> > --
>>>>>>>>> > See ya!
>>>>>>>>> > FabioTux¬ģ
>>>>>>>>> >
>>>>>>>>> > _______________________________________________
>>>>>>>>> > CentOS-pt-br mailing list
>>>>>>>>> > CentOS-pt-br em centos.org
>>>>>>>>> > http://lists.centos.org/mailman/listinfo/centos-pt-br
>>>>>>>>> >
>>>>>>>>> >
>>>>>>>>> > --
>>>>>>>>> > Rafael Henrique da Silva Correia
>>>>>>>>> > http://abraseucodigo.blogspot.com
>>>>>>>>> >
>>>>>>>>> > Administrador de Sistemas Linux
>>>>>>>>> > Certificado pela LPIC - 101
>>>>>>>>> > ID: LPI000160699
>>>>>>>>> >
>>>>>>>>> > _______________________________________________
>>>>>>>>> > CentOS-pt-br mailing list
>>>>>>>>> > CentOS-pt-br em centos.org
>>>>>>>>> > http://lists.centos.org/mailman/listinfo/centos-pt-br
>>>>>>>>> >
>>>>>>>>> >
>>>>>>>>>
>>>>>>>>>
>>>>>>>>>
>>>>>>>>> --
>>>>>>>>> Felipe Nolasco aka 'xfnolx'
>>>>>>>>> ICQ: 120505047
>>>>>>>>> MSN: felipenolasco at gmail.com
>>>>>>>>> _______________________________________________
>>>>>>>>> CentOS-pt-br mailing list
>>>>>>>>> CentOS-pt-br em centos.org
>>>>>>>>> http://lists.centos.org/mailman/listinfo/centos-pt-br
>>>>>>>>>
>>>>>>>>
>>>>>>>>
>>>>>>>> _______________________________________________
>>>>>>>> CentOS-pt-br mailing list
>>>>>>>> CentOS-pt-br em centos.org
>>>>>>>> http://lists.centos.org/mailman/listinfo/centos-pt-br
>>>>>>>>
>>>>>>>>
>>>>>>>
>>>>>>>
>>>>>>> --
>>>>>>> Gracco Guimar√£es - +55 (61) 8167-8225
>>>>>>>
>>>>>>> www.linuxlivre.wordpress.com
>>>>>>>
>>>>>>> _______________________________________________
>>>>>>> CentOS-pt-br mailing list
>>>>>>> CentOS-pt-br em centos.org
>>>>>>> http://lists.centos.org/mailman/listinfo/centos-pt-br
>>>>>>>
>>>>>>>
>>>>>>
>>>>>>
>>>>>> --
>>>>>> Desde já agradeço
>>>>>>
>>>>>> RODRIGO GRIFFO
>>>>>> Gestor de TI
>>>>>> 27-9999-5733
>>>>>>
>>>>>> http://rodrigogriffo.blogspot.com
>>>>>> MSN: rodrigogriffo em gmail.com
>>>>>> SKYPE: rodrigogriffo
>>>>>>
>>>>>> SERVIDORES WINDOWS E LINUX
>>>>>>        Squid-Samba-Iptables
>>>>>>        Bloqueios de Sites
>>>>>>        Monitoramento e Relatorios
>>>>>>        Rede Sem Fio   - WPA2
>>>>>>        Contratos de Manutençao
>>>>>>
>>>>>> _______________________________________________
>>>>>> CentOS-pt-br mailing list
>>>>>> CentOS-pt-br em centos.org
>>>>>> http://lists.centos.org/mailman/listinfo/centos-pt-br
>>>>>>
>>>>>>
>>>>>
>>>>> _______________________________________________
>>>>> CentOS-pt-br mailing list
>>>>> CentOS-pt-br em centos.org
>>>>> http://lists.centos.org/mailman/listinfo/centos-pt-br
>>>>>
>>>>>
>>>>
>>>>
>>>> --
>>>> Gracco Guimar√£es - +55 (61) 8167-8225
>>>>
>>>> www.linuxlivre.wordpress.com
>>>>
>>>> _______________________________________________
>>>> CentOS-pt-br mailing list
>>>> CentOS-pt-br em centos.org
>>>> http://lists.centos.org/mailman/listinfo/centos-pt-br
>>>>
>>>>
>>>
>>> _______________________________________________
>>> CentOS-pt-br mailing list
>>> CentOS-pt-br em centos.org
>>> http://lists.centos.org/mailman/listinfo/centos-pt-br
>>>
>>>
>>
>>
>> --
>> Gracco Guimar√£es - +55 (61) 8167-8225
>>
>> www.linuxlivre.wordpress.com
>>
>> _______________________________________________
>> CentOS-pt-br mailing list
>> CentOS-pt-br em centos.org
>> http://lists.centos.org/mailman/listinfo/centos-pt-br
>>
>>
>
> _______________________________________________
> CentOS-pt-br mailing list
> CentOS-pt-br em centos.org
> http://lists.centos.org/mailman/listinfo/centos-pt-br
>
>
-------------- Průxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://lists.centos.org/pipermail/centos-pt-br/attachments/20110630/84f34f74/attachment.html 


Mais detalhes sobre a lista de discuss„o CentOS-pt-br