+ Responder ao Tópico



  1. #1
    silmar
    Visitante

    Padrão bloqueio do msn não funciona mais

    Eu tinha um link só no servidor de internet e funcionava as regras do bloqueio do MSN, mas agora por ter colocado mais um link

    não esta mais funcionando..
    meu linux e red hat 9.0

    e aee esta as regras se alguem ja teve esse mesmo problema e puder me ajudar fico grato

    #!/bin/sh
    IF_LAN='eth0'
    IF_ADSL2='eth2'
    GW_ADSL2='200.xxx.xxx.xx2'
    /sbin/iptables -F INPUT
    /sbin/iptables -F FORWARD
    /sbin/iptables -P INPUT DROP
    /sbin/iptables -P FORWARD DROP
    /sbin/iptables -t nat -F
    /sbin/iptables -t mangle -F

    /sbin/iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
    /sbin/iptables -A INPUT -s 192.168.0.0/24 -j ACCEPT
    /sbin/iptables -A INPUT -p tcp --dport 22 -j ACCEPT
    /sbin/iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
    /sbin/iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT

    route add default gw 200.xxx.xxx.xxx
    route add default gw 200.xxx.xxx.xx2

    iptables -t mangle -A PREROUTING -i $IF_LAN -p tcp --dport 80 -j MARK --set-mark 2
    iptables -t mangle -A PREROUTING -i $IF_LAN -p tcp --dport 443 -j MARK --set-mark 2
    iptables -t mangle -A PREROUTING -i $IF_LAN -p tcp --dport 8080 -j MARK --set-mark 2
    iptables -t mangle -A OUTPUT -p tcp --dport 80 -j MARK --set-mark 2
    iptables -t mangle -A OUTPUT -p tcp --dport 443 -j MARK --set-mark 2
    iptables -t mangle -A OUTPUT -p tcp --dport 8080 -j MARK --set-mark 2
    ip rule add fwmark 2 table 30 prio 30
    ip route add default via 200.xxx.xxx.xx2 dev $IF_ADSL2 table 30

    CHATPORT="1863,5190"
    /sbin/iptables -I INPUT -p tcp -m multiport --dport ${CHATPORT} -j DROP
    /sbin/iptables -A FORWARD -p tcp -m multiport --dport ${CHATPORT} -j DROP
    /sbin/iptables -A FORWARD -p tcp -s 192.168.0.0/24 -d 207.46.110.0/24 -j DROP
    /sbin/iptables -A FORWARD -p tcp -s 192.168.7.0/24 -d 207.46.104.0/24 -j DROP
    /sbin/iptables -A FORWARD -p tcp -s 192.168.7.0/24 -d 64.4.13.0/24 -j DROP
    /sbin/iptables -A FORWARD -p tcp --dport 1863 -j REJECT --reject-with tcp-reset
    /sbin/iptables -t mangle -A PREROUTING -p tcp --dport 1863 -j DROP
    /sbin/iptables -t mangle -A PREROUTING -d 63.208.13.126 -j DROP
    /sbin/iptables -t mangle -A PREROUTING -d 64.4.12.200 -j DROP
    /sbin/iptables -t mangle -A PREROUTING -d 64.4.12.201 -j DROP
    /sbin/iptables -t mangle -A PREROUTING -d 65.54.131.249 -j DROP
    /sbin/iptables -t mangle -A PREROUTING -d 65.54.194.118 -j DROP
    /sbin/iptables -t mangle -A PREROUTING -d 65.54.211.61 -j DROP
    /sbin/iptables -t mangle -A PREROUTING -d 207.46.104.20 -j DROP
    /sbin/iptables -t mangle -A PREROUTING -d 207.46.110.2 -j DROP
    /sbin/iptables -A FORWARD -d 64.4.13.0/24 -j REJECT
    /sbin/iptables -t nat -A POSTROUTING -j MASQUERADE

    /sbin/modprobe ip_nat_ftp
    /sbin/modprobe ip_conntrack_ftp

    ip route flush cache

    .. aee esta ele .. sempre funcionou .. quando era apenas um link mas agora por estar dois links não bloqueia mais

  2. #2

    Padrão bloqueio do msn não funciona mais

    explica melhor, que eu n to entendendo, que link eh esse que vc ta falando?

  3. #3
    silmar
    Visitante

    Padrão bloqueio do msn não funciona mais

    Bom antes eu tinha apenas um speedy bussines.
    E tinha essas regras que bloqueava o uso e acesso ao msn.
    Agora houve uma necessidade de ter mais um link porem na
    mesma maquina e ao colocar esse link(speed bussines) deixou de funcionar essas regras.
    Do resto esta tudo funcionando normal
    acesso de ssh
    saida pelas duas placas

    pode entender ?

  4. #4

    Padrão bloqueio do msn não funciona mais

    cara vc usa redhat e n usa RH-Lokkit?

    bom, bora tenta resolver teu pro, vc agora ta com 2 ip fixo?
    vc tem quantas interfaces na sua maquina?
    qual interface vc ta usando pra compartilha a internet?
    a interface local eh eth0?

    responde isso que posso te ajudar

  5. #5
    silmar
    Visitante

    Padrão bloqueio do msn não funciona mais

    isso mesmo ..a interface local é eth0
    meu eu nunca usei esse RH-Lokkit..

  6. #6

    Padrão bloqueio do msn não funciona mais

    vc devia usar, vc ia apanha no começo mas no futuro ia facilitar sua vida, alen do mais eu posso te ajudar a usar RH-Lokkit,

    agora me fala qual a interface que ta sendo usada pra net, vc esqueceu de fala isso, ja ja to indo almoçar, se n responde agora na volta eu responde ok?

  7. #7
    silmar
    Visitante

    Padrão bloqueio do msn não funciona mais

    bom na realidade são as duas ..
    eth1 e eth2 que tem a saida pra internet

  8. #8
    Danilo_Montagna
    Visitante

    Padrão bloqueio do msn não funciona mais

    route add default gw 200.xxx.xxx.xxx
    route add default gw 200.xxx.xxx.xx2
    vc nao pode fazer isso ..

    se quizer usar dois links no mesmo servidor vc tera que configurar as rotas default via IPROUTE2 e nao via a tabela main do linux...

    a unica coisa que vc ta fazendo é marcar os pacotes para um determinado link.. mais para qualquer outro pacote nao marcado por regra.. vai sair pela tabela main.. onde tem duas rotas.. e nunca ira funcionar.. pois o retorno de pacotes nunca sera pela mesma interface..

  9. #9
    silmar
    Visitante

    Padrão bloqueio do msn não funciona mais

    humm não sei como fazer tem como dar uma força a mexer com isso ?

  10. #10
    Danilo_Montagna
    Visitante

    Padrão bloqueio do msn não funciona mais

    da uma estudada nisso aqui..

    http://lartc.org/howto/lartc.rpdb.html

  11. #11
    Danilo_Montagna
    Visitante

    Padrão bloqueio do msn não funciona mais

    e tem mais..

    nao vejo como isso poderia estar funcionando antes..

    olha so suas regras..

    /sbin/iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT

    CHATPORT="1863,5190"
    /sbin/iptables -I INPUT -p tcp -m multiport --dport ${CHATPORT} -j DROP
    /sbin/iptables -A FORWARD -p tcp -m multiport --dport ${CHATPORT} -j DROP
    /sbin/iptables -A FORWARD -p tcp -s 192.168.0.0/24 -d 207.46.110.0/24 -j DROP
    /sbin/iptables -A FORWARD -p tcp -s 192.168.7.0/24 -d 207.46.104.0/24 -j DROP
    /sbin/iptables -A FORWARD -p tcp -s 192.168.7.0/24 -d 64.4.13.0/24 -j DROP

    a primeira regra da chain FORWARD a ser adicionar sera a:

    /sbin/iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT

    nao adianta nada vc colocar regras com DROP para essa rede abaixo dessa regra no iptables, pois a primeira regra acima ja condiciona o ACCEPT do pacote.. e as regras de DROP nunca irao ser lidas.. pois a regra ja foi checada no 1 ACCEPT.. e por ae parou o processamento das regras.. uma vez que essa regra for lida por primeiro.. nunca sera lida as regras de DROP na chain FORWARD..

  12. #12

    Padrão bloqueio do msn não funciona mais

    pow danilo, parabens , vc ta majando muito do firewall, continua assim


    ja ultima regra do mesquerade, usar a opcao -o interface, para especificar qual a interface que vc vai compartilha a internet com as maquinas clientes

  13. #13
    silmar
    Visitante

    Padrão bloqueio do msn não funciona mais

    Ficaria assim sem as regras do msn é isso ... Danilo


    /sbin/iptables -F INPUT
    /sbin/iptables -F FORWARD
    /sbin/iptables -P INPUT DROP
    /sbin/iptables -P FORWARD DROP
    /sbin/iptables -t nat -F
    /sbin/iptables -t mangle -F

    #Regras de chegada
    /sbin/iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
    /sbin/iptables -A INPUT -s 192.168.0.0/24 -j ACCEPT
    /sbin/iptables -A INPUT -p tcp --dport 22 -j ACCEPT


    #Regras de Passagem
    /sbin/iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
    /sbin/iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT

    default via 200.204.154.xxx dev eth1
    default via 200.168.1.xxx dev eth2
    echo 200 shura >> /etc/iproute2/rt_tables
    echo 201 ikki >> /etc/iproute2/rt_tables
    ip rule add from 192.168.0.1 table shura
    ip rule add from 192.168.0.1 table ikki
    ip rule ls

    #Regras de NAT
    /sbin/iptables -t nat -A POSTROUTING -j MASQUERADE

  14. #14
    Danilo_Montagna
    Visitante

    Padrão bloqueio do msn não funciona mais

    seguinte...

    eu nao sei exatamente o que vc quer.. mais com essas regras ae.. nao ira ter bloqueio nenhum para a rede internet para fora.. ok .. se for isso mesmo que vc quer.. esta certo..

    agora isso aqui..

    ----------------------------------------------------
    default via 200.204.154.xxx dev eth1
    default via 200.168.1.xxx dev eth2
    echo 200 shura >> /etc/iproute2/rt_tables
    echo 201 ikki >> /etc/iproute2/rt_tables
    ip rule add from 192.168.0.1 table shura
    ip rule add from 192.168.0.1 table ikki
    ip rule ls
    ----------------------------------------------------

    nao ira funcionar... da uma estudada melhor no iproute2

  15. #15
    silmar
    Visitante

    Padrão bloqueio do msn não funciona mais

    ops faltou uma parte do iprout

    /sbin/iptables -F INPUT
    /sbin/iptables -F FORWARD
    /sbin/iptables -P INPUT DROP
    /sbin/iptables -P FORWARD DROP
    /sbin/iptables -t nat -F
    /sbin/iptables -t mangle -F

    #Regras de chegada
    /sbin/iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
    /sbin/iptables -A INPUT -s 192.168.0.0/24 -j ACCEPT
    /sbin/iptables -A INPUT -p tcp --dport 22 -j ACCEPT


    #Regras de Passagem
    /sbin/iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
    /sbin/iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT

    default via 200.204.xxx.xxx dev eth1
    default via 200.168.xxx.xxx dev eth2
    echo 200 shura >> /etc/iproute2/rt_tables
    echo 201 ikki >> /etc/iproute2/rt_tables
    ip rule add from 192.168.0.1 table shura
    ip rule add from 192.168.0.1 table ikki
    ip rule ls
    ip route add default via 200.204.xxx.xxx dev eth1 table shura
    ip route add default via 200.168.xxx.xxx dev eth2 table ikki
    ip route flush cache

    #Regras de NAT
    /sbin/iptables -t nat -A POSTROUTING -j MASQUERADE

  16. #16
    Danilo_Montagna
    Visitante

    Padrão bloqueio do msn não funciona mais

    como eu ja falei antes..

    suas regras de iproute2 nao esta corretas..

    olha so isso aqui..

    ip rule add from 192.168.0.1 table shura
    ip rule add from 192.168.0.1 table ikki

    vc esta criando duas regras para um mesmo host passar por duas rotas diferentes.. o kernel usara sempre a com maior prioridade.. e a segunda nunca ira ser lida... nao se faz dessa forma..

    -------------------------
    ip route add default via 200.204.xxx.xxx dev eth1 table shura
    ip route add default via 200.168.xxx.xxx dev eth2 table ikki

    aqui ainda falta coisa.. e ate esse momento vc ainda nao definiu para o kernel qual sera sua rota de saida.. ou o proprio balanceamento... isso ae so define que um pacote que entre por uma interface siga sempre por um gateay especifico da tabela X... mais ainda assim vc nao informou para o ip route qual sera a rede que sera influenciada por cada rota..

    -----------------------------------------
    default via 200.204.xxx.xxx dev eth1
    default via 200.168.xxx.xxx dev eth2

    isso ae acima nao faz sentido estar aqui..

  17. #17
    silmar
    Visitante

    Padrão bloqueio do msn não funciona mais

    Bom eu uso o squid para filtrar as paginas no entanto não uso o proxy trasparente.
    Mas agora eu quero somente bloquear o msn .. mais nada ...

    é assim que se configura dois links com o iprout2

  18. #18
    Danilo_Montagna
    Visitante

    Padrão bloqueio do msn não funciona mais

    Citação Postado originalmente por silmar
    Bom eu uso o squid para filtrar as paginas no entanto não uso o proxy trasparente.
    Mas agora eu quero somente bloquear o msn .. mais nada ...
    Bom.. se vc quer bloquear MSN.. essa regra aqui.. nao podera ficar ae..

    /sbin/iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT

    nao adianta vc bloquear o MSN pelo squid.. tendo essa regra ae no iptables.. isso ae esta dizendo que tudo o que a estacao requisitar para fora.. sera atendido.. e repassado o pacote.. se quer trancar o msn.. tera que ser mais restritivo no iptables.. e so liberar as portas que lhe interessa..

    é assim que se configura dois links com o iprout2
    não. Esta faltando regras ae e concordancia de roteamento...
    da uma estudada melhor no iproute2 naquele link que te passei..

  19. #19
    silmar
    Visitante

    Padrão bloqueio do msn não funciona mais

    obrigado pela sua paciencia em corrigir meus erros...

    eu fiz o seguinte .. como não consegui entender esse site do iprout2
    e procurei no google. achei varias condições.. mas acabei de fazer o seguinte .. peguei outra maquina que ja estava com linux e coloquei o outro link ..

    outra hora irei a fundo em relação a esse iprout2, para poder entao aprender e poder usar esse potencial dele ..

  20. #20
    Danilo_Montagna
    Visitante

    Padrão bloqueio do msn não funciona mais

    sem problemas..

    qualquer duvida.. é so perguntar..