-
Olá amigo!
Se eu fosse você tentaria o seguinte
iptables -A FORWARD -m layer7 --l7proto msnmessenger -d $FULANO -j ACCEPT
iptables -A FORWARD -m layer7 --l7proto msnmessenger -d $FULANO -j RETURN
iptables -A FORWARD -m layer7 --l7proto msnmessenger -d $LAN -j DROP
Eu imagino que ele esta dropando o pessoal que você liberou pois ele continua a ler as regras e quando ele chega "-d $LAN" o endereço que você liberou pertence a $LAN! Por isso eu imagino que ele ta dropando os pacotes!
O return vai ajudar pois ele quando chegar nesse ponto vai parar de ler essas regras! Tenta isso ai manow!
Falows!
André
-
Zenun, tentei fazer o que vc me disse, mas não deu certo não!!!! Tem outra maneira??/ Alguem pode tentar me ajudar/??
-
Quando o script substitui as variáveis elas ficam assim por exemplo:
iptables -A FORWARD -m layer7 --l7proto msnmessenger -d 192.168.2.2 -j ACCEPT
iptables -A FORWARD -m layer7 --l7proto msnmessenger -d 192.168.2.2 -j RETURN
iptables -A FORWARD -m layer7 --l7proto msnmessenger -d 192.168.2.0/255.255.255.0 -j DROP
Claro que não necessariamente esse mesmo ip/rede.
Como estão as suas outras regras de iptables?
Falows...
-
Sim, ele fica com esses IP's sim....
Aproveitando a deixa, vou colocar a conf do meu firewall para ver onde estou errado, e queria se alguem ver, analisar ele todo, para ver se tem algo desnecessario.
OBS: IP'S FICTÍCIOS.......
# Variaveis usadas no IPTABLES
LAN=192.168.1.0/24
WAN=200.122.173.213
LIDIANE=192.168.1.183
CAIO=192.168.1.190
ELIZANGELA=192.168.1.188
VALNI=192.168.1.157
FERNANDO=192.168.1.123
TELMA=192.168.1.122
SERVIDOR_BD=192.168.1.50
OLEANDRO=192.168.1.195
# Limpa todas as regras do IPTABLES anteriores
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -t filter -F
# Politica padrao da Prefeitura (Bloquear entradas e liberar saidas)
#iptables -P INPUT DROP
#iptables -P FORWARD DROP
#iptables -P OUTPUT ACCEPT
# ================== PROTECOES CONTRA INVASOES DIVERSAS ================================
# Protecao contra Worm
iptables -A FORWARD -p tcp --dport 135 -i eth1 -j DROP
# Bloqueio contra ataques Spoofing
#iptables -t nat -A PREROUTING -i eth1 -s 10.0.0.0/8 -j DROP
#iptables -t nat -A PREROUTING -i eth1 -s 172.16.0.0/16 -j DROP
#iptables -t nat -A PREROUTING -i eth1 -s $LAN -j DROP
# Bloqueio contra WinCrash
iptables -A FORWARD -p tcp --dport 5042 -j DROP
# Bloqueando Back Orifice
iptables -A INPUT -p tcp -i $WAN --dport 31337 -j DROP
iptables -A INPUT -p udp -i $WAN --dport 31337 -j DROP
# Bloqueando NetBus
iptables -A INPUT -p tcp -i $WAN --dport 12345:12346 -j DROP
iptables -A INPUT -p udp -i $WAN --dport 12345:12346 -j DROP
# Bloqueando Trin00
iptables -A INPUT -p tcp -i eth1 --dport 1524 -j DROP
iptables -A INPUT -p tcp -i eth1 --dport 27444 -j DROP
iptables -A INPUT -p tcp -i eth1 --dport 27665 -j DROP
iptables -A INPUT -p tcp -i eth1 --dport 31335 -j DROP
iptables -A INPUT -p tcp -i eth1 --dport 34555 -j DROP
iptables -A INPUT -p tcp -i eth1 --dport 35555 -j DROP
# Bloqueando ataques Syn-flood, DoS
iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
# Fechando portas TIME e o SERVER X
iptables -A INPUT -i eth1 -p tcp --dport 37 -j DROP
# Bloqueando o Death Ping
iptables -A FORWARD -p ICMP --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
# Bloqueando nmap-port scanning
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
iptables -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
# Bloqueando pacotes quebrados ou suspeitos
#iptables -A FORWARD -m unclean -j DROP
# Protecao contra ataques
iptables -A INPUT -m state --state INVALID -j DROP
# Bloqueando Tracertroute
iptables -A INPUT -p udp -s 0/0 -i eth1 --dport 33435:33525 -j DROP
# ========================================== FIM ============================================
# Coloca o proxy transparente
#iptables -t nat -A PREROUTING -s $LAN -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
# Distribui internet a rede interna
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
# Redireciona a porta do Aplication Server
iptables -t nat -A PREROUTING -j DNAT -p tcp -i eth1 -d $WAN --dport 10000 --to $SERVIDOR_BD:10000
# Redirecionar a porta do VNC Repeater para o Servidor de Dados
iptables -t nat -A PREROUTING -j DNAT -p tcp -i eth1 -d $WAN --dport 5901 --to $SERVIDO_BD:5901
# Redireciona a porta do FIREBIRD (3050) para o Servidor de Dados
iptables -t nat -A PREROUTING -j DNAT -p tcp -i eth1 -d $WAN --dport 3050 --to $SERVIDOR_BD:3050
# Liberar porta para o Net Support Manager (Duralex)
iptables -A FORWARD -s $LAN -p tcp --dport 3085 -j ACCEPT
# Uso do TOS para TS, Firebird e FTP
iptables -t mangle -A OUTPUT -o eth1 -p tcp --dport 3389 -j TOS --set-tos 16
iptables -t mangle -A PREROUTING -i eth1 -p tcp --sport 3389 -j TOS --set-tos 16
iptables -t mangle -A OUTPUT -o eth1 -p tcp --dport 3050 -j TOS --set-tos 8
iptables -t mangle -A PREROUTING -i eth1 -p tcp --sport 3050 -j TOS --set-tos 8
iptables -t mangle -A OUTPUT -o eth1 -p tcp --dport 21 -j TOS --set-tos 16
iptables -t mangle -A PREROUTING -i eth1 -p tcp --sport 21 -j TOS --set-tos 16
iptables -t mangle -A OUTPUT -o eth1 -p tcp --dport 22 -j TOS --set-tos 8
iptables -t mangle -A PREROUTING -i eth1 -p tcp --sport 22 -j TOS --set-tos 8
iptables -t mangle -A OUTPUT -o eth1 -p tcp --dport 2401 -j TOS --set-tos 16
iptables -t mangle -A PREROUTING -i eth1 -p tcp --sport 2401 -j TOS --set-tos 16
# Bloqueio de internet por IP
#iptables -A FORWARD -s $LIDIANE -j DROP
iptables -A FORWARD -s $CAIO -j DROP
#iptables -A FORWARD -s $OLEANDRO -j DROP
#iptables -A FORWARD -s 192.168.0.185 -j DROP
# Bloquear ORKUT via HTTPS
#for BLOCK_ORKUT in `cat /etc/rc.d/orkut.block`
#do
#iptables -A FORWARD -d $BLOCK_ORKUT -p tcp -s $VALNI --dport 443 -j ACCEPT
#iptables -A INPUT -d $BLOCK_ORKUT -p tcp -s $VALNI --dport 443 -j ACCEPT
#iptables -A FORWARD -d $BLOCK_ORKUT -p tcp -s $TELMA --dport 443 -j ACCEPT
#iptables -A INPUT -d $BLOCK_ORKUT -p tcp -s $TELMA --dport 443 -j ACCEPT
#iptables -A FORWARD -d $BLOCK_ORKUT -p tcp --dport 443 -j DROP
#iptables -A INPUT -d $BLOCK_ORKUT -p tcp --dport 443 -j DROP
#done
# Bloquear todos os programas P2P
iptables -A FORWARD -m ipp2p --edk --kazaa --gnu --dc --bit --apple --winmx --soul --ares -j DROP
############################################ Bloqueio de IM #################################
# Bloqueando ICQ
iptables -A FORWARD -p tcp --dport 5190 -j DROP
iptables -A FORWARD -d login.icq.com -j DROP
# Bloqueando AIM
iptables -A FORWARD -d login.oscar.aol.com -j DROP
# Bloqueando Yahoo Messenger
iptables -A FORWARD -d cs.yahoo.com -j DROP
iptables -A FORWARD -d scsa.yahoo.com -j DROP
# Bloquear MSN
#for IPVALIDOMSN in `cat /etc/rc.d/ip.msn.valido | cut -f1 -d#`
#do
#iptables -A FORWARD -m layer7 --l7proto msnmessenger -s $IPVALIDOMSN -j ACCEPT
#iptables -A FORWARD -m layer7 --l7proto msnmessenger -s $IPVALIDOMSN -j RETURN
#iptables -A FORWARD -m layer7 --l7proto msnmessenger -s $LAN -j DROP
#done
# ============================================== FIM ===================================
# ================================ Configuracao para OPENVPN ==========================
# Libera a porta para conexao com o HOME_FERNANDO e redireciona a porta para o SERVIDOR
iptables -A INPUT -p udp --dport 64569 -j ACCEPT
#Permite que pacotes vindo de uma interface TUN/TAP entrem na rede.
iptables -A INPUT -i tun+ -j ACCEPT
#iptables -A INPUT -i tap+ -j ACCEPT
iptables -A FORWARD -i tun+ -j ACCEPT
#iptables -A FORWARD -i tap+ -j ACCEPT
# =========================================== FIM =====================================
# Bloqueio de Downloads e Uploads de arquivos de extensao EXE
iptables -A FORWARD -m layer7 --l7proto exe -d $LAN -j DROP
#Bloqueio de streaming de Audio e Video na net
iptables -A FORWARD -p TCP --dport 554 -j REJECT # Bloqueio Real Player
iptables -A FORWARD -p TCP --dport 1775 -j REJECT # Bloqueio WindowsMedia
iptables -A FORWARD -p TCP --dport 7001 -j REJECT # Voz no MSN
# Bloqueia qualquer tentativa de conexao de fora para dentro por TCP
#iptables -A INPUT -i eth1 -p tcp --syn -j DROP
-
Ah cara, dá um
E posta pra gente.