Gente to querendo saber como faço para bloquear, instant messengers, p2p's em geral, emule, kazaa, aquelas radios online e tals, tanto por iptables ou squid o que for mais eficiênte.
Gente to querendo saber como faço para bloquear, instant messengers, p2p's em geral, emule, kazaa, aquelas radios online e tals, tanto por iptables ou squid o que for mais eficiênte.
Você pode utilizar os protocolos disponíveis em /etc/l7-protocols/protocols para fechar umas regras assim:
Código :# iptables -t filter -A FORWARD -s $REDE_INTERNA -m layer7 --l7proto $PROTOCOLO -j DROP
Agora, quanto às rádios, é melhor utilizar o Squid para bloqueá-las.
Abraços!
Use as regras de firewall para fechar os p2p.
Apesar de que você vai ter um trabalhinho pra isso.
Use um firewall com nat para as portas necessárias, acredito que assim vá dá certo pois o emule precisa se conectar com um DNAT para ter um ID alto.
Se vc manter a politica default como DROP para forward ja era tb.
Eu testei com o MSN e utilizando o squid tb para fechar junto com o firewall.
Agora não cheguei fazer testes com o p2p.
#Bloqueando completamente P2P
iptables -I FORWARD -m layer7 --l7proto edonkey -d any/0 -j DROP
iptables -I FORWARD -m layer7 --l7proto edonkey -s any/0 -j DROP
iptables -I FORWARD -m layer7 --l7proto fasttrack -d any/0 -j DROP
iptables -I FORWARD -m layer7 --l7proto fasttrack -s any/0 -j DROP
iptables -I FORWARD -m layer7 --l7proto directconnect -d any/0 -j DROP
iptables -I FORWARD -m layer7 --l7proto directconnect -s any/0 -j DROP
iptables -I FORWARD -m layer7 --l7proto bittorrent -d any/0 -j DROP
iptables -I FORWARD -m layer7 --l7proto bittorrent -s any/0 -j DROP
iptables -I FORWARD -m layer7 --l7proto napster -d any/0 -j DROP
iptables -I FORWARD -m layer7 --l7proto napster -s any/0 -j DROP
iptables -I FORWARD -m layer7 --l7proto soulseek -d any/0 -j DROP
iptables -I FORWARD -m layer7 --l7proto soulseek -s any/0 -j DROP
iptables -I FORWARD -m layer7 --l7proto gnutella -d any/0 -j DROP
iptables -I FORWARD -m layer7 --l7proto gnutella -s any/0 -j DROP
Espero ter ajudado.
Essas regras são para liberar as conexões.
Se você fizer as regras do NAT somente nas suas portas de conexão da net (80, 20, 21, 443, 25, 110, 53) mantendo uma política drop vc pode conseguir segurar isso.
senão fecha na mão essas portas abaixo.
echo " Liberando portas para realizar ID ALTO nas conexoes Emule + Azureus "
echo " liberando portas Emule tcp = 4662 / 4661 / 4711/ udp= 4672/ 4665 "
echo " Liberando portas Azureus udp = 6419 / 65535 / 6429 / 61450 / 24044 tcp = 61540 / 45998 / "
/usr/sbin/iptables -t nat -A PREROUTING -p tcp -i ppp0 --dport 4661 -j DNAT --to 192.168.0.171:4661
/usr/sbin/iptables -t nat -A PREROUTING -p udp -i ppp0 --dport 4662 -j DNAT --to 192.168.0.171:4662
/usr/sbin/iptables -t nat -A PREROUTING -p udp -i ppp0 --dport 6419 -j DNAT --to 192.168.0.171:6419
/usr/sbin/iptables -t nat -A PREROUTING -p udp -i ppp0 --dport 4665 -j DNAT --to 192.168.0.171:4665
/usr/sbin/iptables -t nat -A PREROUTING -p udp -i ppp0 --dport 65535 -j DNAT --to 192.168.0.171:65535
/usr/sbin/iptables -t nat -A PREROUTING -p udp -i ppp0 --dport 6429 -j DNAT --to 192.168.0.171:6429
/usr/sbin/iptables -t nat -A PREROUTING -p udp -i ppp0 --dport 4672 -j DNAT --to 192.168.0.171:4672
/usr/sbin/iptables -t nat -A PREROUTING -p udp -i ppp0 --dport 61450 -j DNAT --to 192.168.0.171:61450
/usr/sbin/iptables -t nat -A PREROUTING -p tcp -i ppp0 --dport 45998 -j DNAT --to 192.168.0.171:45998
/usr/sbin/iptables -t nat -A PREROUTING -p udp -i ppp0 --dport 24044 -j DNAT --to 192.168.0.171:24044
/usr/sbin/iptables -t nat -A PREROUTING -p tcp -i ppp0 --dport 61540 -j DNAT --to 192.168.0.171:61540
O eMule utiliza a rede do eDonkey para conectar. Ali ele já bloqueia.
Abraços!
só valew.
[UPDATE]
Então gente, finalmente coloquei o servidor final no ar, e posso dizer que tive um ganho significativo na performance da rede, graças a ajuda de vocês...
Como aqui tinha muitas estações, ficava difícil ficar pegando os cara pelos pé, vendo que tava sobrecarregando a rede, então agora com o iptraf, layer7, iptables consegui liberar um pouco a rede para quem realmente quer trabalhar. A solução só não foi completa pois o lance do squid ainda continua, e resolvi tirá-lo, se eu ativo o squid meu upload cola nos 100% de uso e a navegabilidade fica horrível.
No mais esta tudo muito bem, agradeço a todos a ajuda.
Última edição por juniovitorino; 12-02-2007 às 14:26.