Re: Não consigo liberar o MSN!!!!!!
Citação:
Postado originalmente por durban
Seguinte galera!!!!
Tenho uma regra no meu IPTABLES, que está bloqueando os MSN da minha empresa.... Mas olha que engraçado, consegui bloquear, mas para as pessoas que eu quero liberar, eu não consigo!!!!! De vez em quando, eu consigo entrar, mas não consigo enviar msg.
Abaixo está o meu script de bloqueio:
for IPLIBERADOS in "192.168.4.222"
do
$IPTABLES -A FORWARD -s $IPLIBERADOS -p tcp --dport 1863 -j ACCEPT
$IPTABLES -A FORWARD -s $IPLIBERADOS -d 64.4.13.0/24 -j ACCEPT
$IPTABLES -A FORWARD -s $IPLIBERADOS -d gtwy.messenger.hotmail.com -j ACCEPT
$IPTABLES -A FORWARD -s $IPLIBERADOS -d gateway.messenger.hotmail.com -j ACCEPT
$IPTABLES -A FORWARD -s $IPLIBERADOS -d messenger.hotmail.com -j ACCEPT
$IPTABLES -A FORWARD -s $IPLIBERADOS -d svcs.microsoft.com -j ACCEPT
$IPTABLES -A FORWARD -s $IPLIBERADOS -d 72.21.56.243/24 -j ACCEPT
done
$IPTABLES -A FORWARD -s 192.168.4.0/24 -p tcp --dport 1863 -j DROP
$IPTABLES -A FORWARD -s 192.168.4.0/24 -d 64.4.13.0/24 -j DROP
$IPTABLES -A FORWARD -s 192.168.4.0/24 -d gtwy.messenger.hotmail.com -j DROP
$IPTABLES -A FORWARD -s 192.168.4.0/24 -d gateway.messenger.hotmail.com -j DROP
$IPTABLES -A FORWARD -s 192.168.4.0/24 -d messenger.hotmail.com -j DROP
$IPTABLES -A FORWARD -s 192.168.4.0/24 -d svcs.microsoft.com -j DROP
$IPTABLES -A FORWARD -s 192.168.4.0/24 -d 72.21.56.243/24 -j DROP
tenta colocar essa regrinha tb
iptables -A FORWARD -s IPLIBERADO/32 -d loginnet.passport.com -j ACCEPT
Posta ae se deu certo
Re: Não consigo liberar o MSN!!!!!!
Seguinte...
Spyderlinux..... Não entendi ainda o que vc quis dizer com fazer outra regra no começo, vc diz fazer 2 regras iguais, uma no começo do firewall e outra onde ela está? Ou deixar só ela no começo do código??? Tentei usar a sua regra e não deu certo aqui!!!!
Mastellaro...... Tentei colocar a sua linha de código e não deu certo, mas só vendo se eu estou errado.... Acho que no final, não é .com e sim .net .... Mas do mesmo jeito tentei os 2 e nada.....
Brenno...... Mesmo colocando IP solitário, todo mundo ficou liberado.... será mesmo que esse -I é para ler primeiro, e não para passar por cima das regras??
Ainda não encontrei solução para o meu problema!!!!!
Re: Não consigo liberar o MSN!!!!!!
Citação:
Postado originalmente por durban
Seguinte...
Spyderlinux..... Não entendi ainda o que vc quis dizer com fazer outra regra no começo, vc diz fazer 2 regras iguais, uma no começo do firewall e outra onde ela está? Ou deixar só ela no começo do código??? Tentei usar a sua regra e não deu certo aqui!!!!
Mastellaro...... Tentei colocar a sua linha de código e não deu certo, mas só vendo se eu estou errado.... Acho que no final, não é .com e sim .net .... Mas do mesmo jeito tentei os 2 e nada.....
Brenno...... Mesmo colocando IP solitário, todo mundo ficou liberado.... será mesmo que esse -I é para ler primeiro, e não para passar por cima das regras??
Ainda não encontrei solução para o meu problema!!!!!
Citação:
10.2.4 Inserindo uma regra - I
Precisamos que o tráfego vindo de 192.168.1.15 não seja rejeitado pelo nosso firewall. Não podemos adicionar uma nova regra (-A) pois esta seria incluída no final do chain e o tráfego seria rejeitado pela primeira regra (nunca atingindo a segunda). A solução é inserir a nova regra antes da regra que bloqueia todo o tráfego ao endereço 127.0.0.1 na posição 1:
iptables -t filter -I INPUT 1 -s 192.168.1.15 -d 127.0.0.1 -j ACCEPT
Após este comando, temos a regra inserida na primeira posição do chain (repare no número 1 após INPUT) e a antiga regra número 1 passa a ser a número 2. Desta forma a regra acima será consultada, se a máquina de origem for 192.168.1.15 então o tráfego estará garantido, caso contrário o tráfego com o destino 127.0.0.1 será bloqueado na regra seguinte.
a unica explicação e sua politica estejá como ACCEPT, teria como vc colocar o retorno do comando iptables -L -v ?
Re: Não consigo liberar o MSN!!!!!!
Olha só Brenno
Eu criei meu firewall deixando organizado.
regras input
regras nat
regras forward
como a politica do output está accept nao criei regras pra ele porque nao precisa
O que eu falei foi
para bloquear o msn você usa essas regras
echo "# FECHANDO MESSENGER "
$IPTABLES -A FORWARD -s 192.168.0.0/24 -p tcp --dport 1863 -j REJECT
$IPTABLES -A FORWARD -s 192.168.0.0/24 -d 65.54.239.80 -j REJECT
$IPTABLES -A FORWARD -s 192.168.0.0/24 -d 65.54.179.192 -j REJECT
########### REGRA ACIMA IGUAL A DE
########### BAIXO POREM COM O IP PARA RESOLVER
# iptables -A FORWARD -s 192.168.0.0/24 -d loginnet.passport.com -j REJECT
# iptables -A FORWARD -s 192.168.0.0/24 -d messenger.hotmail.com -j REJECT
#$IPTABLES -A FORWARD -s 192.168.0.0/24 -d webmessenger.msn.com -j DROP
$IPTABLES -A FORWARD -p tcp --dport 1080 -j DROP
$IPTABLES -A FORWARD -s 192.168.0.0/24 -p tcp --dport 1080 -j REJECT
Então o que você tem que fazer não só com o msn mas com todos os programas que alguns podem e outros não é
coloca em cima da primeira linha
no caso a linha -> echo "# FECHANDO MESSENGER "
em cima dela você discrimina quem vai fazer a solicitação pro acesso ao msn (porta 1863)
ou seja
supondo que eu que estou com o ip .171
# SpYdErLiNuX
$IPTABLES -A FORWARD -s 192.168.0.171 -p tcp --dport 1863 -j ACCEPT
$IPTABLES -A FORWARD -d 192.168.0.171 -p tcp --sport 1863 -j ACCEPT
eu uso so essa regra e ja era.
Entao você pega essas 2 linhas e coloca antes das que estão DROPando
Se isso não rolar é seu firewall que não está correto.
Rode o comando
iptables -L -v
como dito anteriormente.
E poste aqui pra tentarmos achar caso não conecte onde está o erro nas suas regras
FUI !!!
Re: Não consigo liberar o MSN!!!!!!
Citação:
Postado originalmente por spyderlinux
Olha só Brenno
Eu criei meu firewall deixando organizado.
regras input
regras nat
regras forward
como a politica do output está accept nao criei regras pra ele porque nao precisa
O que eu falei foi
para bloquear o msn você usa essas regras
echo "# FECHANDO MESSENGER "
$IPTABLES -A FORWARD -s 192.168.0.0/24 -p tcp --dport 1863 -j REJECT
$IPTABLES -A FORWARD -s 192.168.0.0/24 -d 65.54.239.80 -j REJECT
$IPTABLES -A FORWARD -s 192.168.0.0/24 -d 65.54.179.192 -j REJECT
########### REGRA ACIMA IGUAL A DE
########### BAIXO POREM COM O IP PARA RESOLVER
# iptables -A FORWARD -s 192.168.0.0/24 -d loginnet.passport.com -j REJECT
# iptables -A FORWARD -s 192.168.0.0/24 -d messenger.hotmail.com -j REJECT
#$IPTABLES -A FORWARD -s 192.168.0.0/24 -d webmessenger.msn.com -j DROP
$IPTABLES -A FORWARD -p tcp --dport 1080 -j DROP
$IPTABLES -A FORWARD -s 192.168.0.0/24 -p tcp --dport 1080 -j REJECT
Então o que você tem que fazer não só com o msn mas com todos os programas que alguns podem e outros não é
coloca em cima da primeira linha
no caso a linha -> echo "# FECHANDO MESSENGER "
em cima dela você discrimina quem vai fazer a solicitação pro acesso ao msn (porta 1863)
ou seja
supondo que eu que estou com o ip .171
# SpYdErLiNuX
$IPTABLES -A FORWARD -s 192.168.0.171 -p tcp --dport 1863 -j ACCEPT
$IPTABLES -A FORWARD -d 192.168.0.171 -p tcp --sport 1863 -j ACCEPT
eu uso so essa regra e ja era.
Entao você pega essas 2 linhas e coloca antes das que estão DROPando
Se isso não rolar é seu firewall que não está correto.
Rode o comando
iptables -L -v
como dito anteriormente.
E poste aqui pra tentarmos achar caso não conecte onde está o erro nas suas regras
FUI !!!
Blz spyder, a unica coisa que eu falei, foi por nas regras que você vai liberar o msn o -I, com isso, tanto faz elas estarem acima ou abaixo das regras de drop, pois elas por terem o -I terão prioridade em relação as outras regras, mas do seu jeito tmb ta certo.
por isso que eu pedir pra ele verificar a politica das chains FORWARD E INPUT , caso esteja drop, só analizando o script pois concerteza tem algo errado.