iptables - bloquear destino

ae galera, to com um problema pra usar o iptables:
https://under-linux.org/modules.php?...wtopic&t=31353

$iptables -A INPUT -p tcp -s $lan -d toolbar.msn.com --dport 8080 -j DROP
$iptables -A INPUT -p tcp -s $lan --dport 8080 -j ACCEPT
$iptables -A INPUT -p tcp -s $vpn --dport 8080 -j ACCEPT
$iptables -A INPUT -p tcp --dport 8080 -j DROP

pq o squid tá aceitando a conexão da lan com destino ao toolbar.msn.com ?
tá errada a regra? a ordem tá certa?

Re: iptables - bloquear destino

Citação:

Postado originalmente por whinston

ae galera, to com um problema pra usar o iptables:
https://under-linux.org/modules.php?...wtopic&t=31353

$iptables -A INPUT -p tcp -s $lan -d toolbar.msn.com --dport 8080 -j DROP
$iptables -A INPUT -p tcp -s $lan --dport 8080 -j ACCEPT
$iptables -A INPUT -p tcp -s $vpn --dport 8080 -j ACCEPT
$iptables -A INPUT -p tcp --dport 8080 -j DROP

pq o squid tá aceitando a conexão da lan com destino ao toolbar.msn.com ?
tá errada a regra? a ordem tá certa?

Nesse caso quem acessa a página é o squid, a menos q esteja utilizando proxy transparente.
Ideal é bloquear no squid, tipo
ACL msn dst domain "/etc/squid/msn.txt" <- dentro do arquivo .txt vc adiciona os domínios msn q deverão ser bloqueados..
access allow !msn

( )'s

vc não entendeu

vc não entendeu amigo..
meu squid já está bloqueando!

o problema é que o msn maldito, do inferno (etc etc etc) fica tentando 10x por segundo e isto gera muitos logs, sobrecarregando o sistema e fazendo com que o arquivo de log chegue a 2gb rápido, travando o squid. pegou ?

eu quero saber se a sintaxe está correta
valeu

iptables - bloquear destino

você colocou a porta 8080 no firewall .... o squid nao usa a porta 3128?

eu mudei :)

eu mudei a porta padrão :)

agora que eu me toquei como eu to sendo burro!!!
99,9999% que não dá pra bloquear a entrada (INPUT) de alguma coisa com destino fora deste host onde tá a regra, por isto que não tá funcionando.

iptables - bloquear destino

eu tb nem percebi isso.... vc usa a chain FORWARD para isso!

não não não

não, rs.. eu não to sendo muito claro
eu não uso forward na rede, todo mundo passa por proxy
no proxy, tem uma acl negando o MSN
o problema é que o MSN fica tentando d+, oq me gera muitos logs

eu queria travar via iptables, pra nem gerar logs de denied no squid.

iptables - bloquear destino

eu entendi!

coloca esse escript no setor de inicializaçao que vc resolve o problema
$!/bin/bash

echo "Carregando Firewall..."

# Definindo politica padrao

iptables -P FORWARD DROP

# Limpando todas as regras

iptables -F
iptables -X
iptables -Z

# Habilitando o roteamento

echo 1 > /proc/sys/net/ipv4/ip_forward

# Redirecionando os pacotes usando a porta 1863 para outro pc da rede

iptables -t nat -A PREROUTING --dport 1863 -j DNAT --to 192.168.0.1

pronto ... "Nunca usei isso ... mas acho que pode dar certo" tb nao sei se pode dar erro ... pq vc ta direcionando para um pc qualquer da rede

e eu nunca fiz isso ...

iptables - bloquear destino

usa essa regra aqui ...

iptables -t nat -A PREROUTING -p tcp --dport 1863 -j DNAT --to 192.168.0.1

esqueci do parametro -p tcp