+ Responder ao Tópico



  1. #1

    Padrão Firewall não bloqueia MSN e P2P.

    Bom dia,

    Estou usando o iptables para compartilhar minha conexão, fazer um proxy transparente com o Dansguardian e o Squid, e utilizar bloqueios de portas, pricipalmente para MSN e P2P, atualmente minhas regras estão assim:

    #!/bin/bash

    # Carrega os móos
    modprobe ip_tables
    modprobe iptable_nat

    # Compartilha a conexao modprobe iptable_nat
    iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
    echo 1 > /proc/sys/net/ipv4/ip_forward

    # Abre para a rede local
    iptables -A INPUT -p tcp --syn -s 192.168.1.0/255.255.255.0 -j ACCEPT

    # Redireciona todo o trafego da porta 80 para o Squid
    #iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
    #iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
    #iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 80 -j REDIRECT --to-port 3128

    # Redireciona todo o trafego da porta 80 para o DansGuardian
    iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 8080

    # Redireciona todo o trafego da porta 21 para o DansGuardian
    iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 21 -j REDIRECT --to-port 8080

    # Bloqueia MSN
    iptables -A FORWARD -s 192.168.1.0/24 -p tcp --dport 1863 -j DROP
    iptables -A FORWARD -s 192.168.1.0/24 -d loginnet.passport.com -j DROP

    # Bloqueia Kazaa
    iptables -A FORWARD -d 213.248.112.0/24 -j DROP
    iptables -A FORWARD -p TCP --dport 1214 -j DROP

    # Bloqueia LImewire
    iptables -A FORWARD -p TCP --dport 6346 -j DROP

    # Bloqueia BitTorrent
    iptables -A INPUT -p tcp --destination-port 6881:6999 -j DROP
    iptables -A OUTPUT -p tcp --source-port 6881:6999 -j DROP

    # iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 6881:6889 -j DNAT --to-dest 192.168.1.0/24
    # iptables -A FORWARD -p tcp -i eth0 --dport 6881:6889 -d 192.168.1.0/24 -j REJECT

    # Fecha o resto
    # #iptables -A INPUT -p tcp --syn -j DROP

    Porém nem o bloqueio de MSN, e nenhum dos bloqueios de P2P está funcionando. Minhas dúvidas são:

    1 - Porque o bloqueio do MSN não está sendo aplicado?
    2 - Porque p bloqueio do P2P, não está sendo aplicado?
    3 - Vou precisar realmente instalar o Layer7 para aplicar um bloqueio eficiente aos P2P?

  2. #2

    Padrão

    Olá

    As novas versão do MSN tbém utilizam a porta 80 e 443 para conexão. Barre as mesmas com destino ao servidores do MSN. Tenho esta politica abaixo em um servidor de cliente e está bloqueando.

    # Bloqueia de MSN
    iptables -A FORWARD -d 207.46.0.0/16 -p tcp -m multiport --dports 80,443 -j DROP
    iptables -A FORWARD -d 65.54.0.0/16 -p tcp -m multiport --dports 80,443 -j DROP
    iptables -A FORWARD -d 65.54.0.0/16 -p tcp -m multiport --dports 80,443 -j DROP
    iptables -A FORWARD -p tcp --dport 1863 -j REJECT
    iptables -A FORWARD -d loginnet.passport.com -j REJECT
    iptables -A FORWARD -d messenger.hotmail.com -j REJECT
    iptables -A FORWARD -d webmessenger.msn.com -j REJECT
    iptables -A FORWARD -p tcp --dport 1080 -j REJECT

    Com relação ao P2P, realmente terá que instalar o Layer7 para aplicar um bloqueio eficiente ou então um PC com MTK em bridge antes deste seu firewall.

    Você pode tbém bloquear todas as portas e liberando conforme sua necessidade, dá trabalho, mas é uma alternativa eficiente

    Atenciosamente



  3. #3

    Padrão

    Citação Postado originalmente por bauer Ver Post
    Olá

    As novas versão do MSN tbém utilizam a porta 80 e 443 para conexão. Barre as mesmas com destino ao servidores do MSN. Tenho esta politica abaixo em um servidor de cliente e está bloqueando.

    # Bloqueia de MSN
    iptables -A FORWARD -d 207.46.0.0/16 -p tcp -m multiport --dports 80,443 -j DROP
    iptables -A FORWARD -d 65.54.0.0/16 -p tcp -m multiport --dports 80,443 -j DROP
    iptables -A FORWARD -d 65.54.0.0/16 -p tcp -m multiport --dports 80,443 -j DROP
    iptables -A FORWARD -p tcp --dport 1863 -j REJECT
    iptables -A FORWARD -d loginnet.passport.com -j REJECT
    iptables -A FORWARD -d messenger.hotmail.com -j REJECT
    iptables -A FORWARD -d webmessenger.msn.com -j REJECT
    iptables -A FORWARD -p tcp --dport 1080 -j REJECT

    Com relação ao P2P, realmente terá que instalar o Layer7 para aplicar um bloqueio eficiente ou então um PC com MTK em bridge antes deste seu firewall.

    Você pode tbém bloquear todas as portas e liberando conforme sua necessidade, dá trabalho, mas é uma alternativa eficiente

    Atenciosamente
    Bom, quero saber agora o que é um MTK em Bridge, não achei nenhuma referência sobre o assunto na internet. Pode me dar mais detalhes?

  4. #4

    Padrão

    Ola

    É um Computador instalado o sistema operacional Mikrotik, configurado em bridge (de forma transparente em fazer NAT)

    Att.