Bom dia,
Estou usando o iptables para compartilhar minha conexão, fazer um proxy transparente com o Dansguardian e o Squid, e utilizar bloqueios de portas, pricipalmente para MSN e P2P, atualmente minhas regras estão assim:
#!/bin/bash
# Carrega os móos
modprobe ip_tables
modprobe iptable_nat
# Compartilha a conexao modprobe iptable_nat
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
# Abre para a rede local
iptables -A INPUT -p tcp --syn -s 192.168.1.0/255.255.255.0 -j ACCEPT
# Redireciona todo o trafego da porta 80 para o Squid
#iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
#iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
#iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 80 -j REDIRECT --to-port 3128
# Redireciona todo o trafego da porta 80 para o DansGuardian
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 8080
# Redireciona todo o trafego da porta 21 para o DansGuardian
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 21 -j REDIRECT --to-port 8080
# Bloqueia MSN
iptables -A FORWARD -s 192.168.1.0/24 -p tcp --dport 1863 -j DROP
iptables -A FORWARD -s 192.168.1.0/24 -d loginnet.passport.com -j DROP
# Bloqueia Kazaa
iptables -A FORWARD -d 213.248.112.0/24 -j DROP
iptables -A FORWARD -p TCP --dport 1214 -j DROP
# Bloqueia LImewire
iptables -A FORWARD -p TCP --dport 6346 -j DROP
# Bloqueia BitTorrent
iptables -A INPUT -p tcp --destination-port 6881:6999 -j DROP
iptables -A OUTPUT -p tcp --source-port 6881:6999 -j DROP
# iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 6881:6889 -j DNAT --to-dest 192.168.1.0/24
# iptables -A FORWARD -p tcp -i eth0 --dport 6881:6889 -d 192.168.1.0/24 -j REJECT
# Fecha o resto
# #iptables -A INPUT -p tcp --syn -j DROP
Porém nem o bloqueio de MSN, e nenhum dos bloqueios de P2P está funcionando. Minhas dúvidas são:
1 - Porque o bloqueio do MSN não está sendo aplicado?
2 - Porque p bloqueio do P2P, não está sendo aplicado?
3 - Vou precisar realmente instalar o Layer7 para aplicar um bloqueio eficiente aos P2P?
-
23-12-2009, 11:54 #1
- Ingresso
- Sep 2009
- Posts
- 60
Firewall não bloqueia MSN e P2P.
-
24-12-2009, 11:29 #2
- Ingresso
- Nov 2001
- Posts
- 707
Olá
As novas versão do MSN tbém utilizam a porta 80 e 443 para conexão. Barre as mesmas com destino ao servidores do MSN. Tenho esta politica abaixo em um servidor de cliente e está bloqueando.
# Bloqueia de MSN
iptables -A FORWARD -d 207.46.0.0/16 -p tcp -m multiport --dports 80,443 -j DROP
iptables -A FORWARD -d 65.54.0.0/16 -p tcp -m multiport --dports 80,443 -j DROP
iptables -A FORWARD -d 65.54.0.0/16 -p tcp -m multiport --dports 80,443 -j DROP
iptables -A FORWARD -p tcp --dport 1863 -j REJECT
iptables -A FORWARD -d loginnet.passport.com -j REJECT
iptables -A FORWARD -d messenger.hotmail.com -j REJECT
iptables -A FORWARD -d webmessenger.msn.com -j REJECT
iptables -A FORWARD -p tcp --dport 1080 -j REJECT
Com relação ao P2P, realmente terá que instalar o Layer7 para aplicar um bloqueio eficiente ou então um PC com MTK em bridge antes deste seu firewall.
Você pode tbém bloquear todas as portas e liberando conforme sua necessidade, dá trabalho, mas é uma alternativa eficiente
Atenciosamente
-
28-12-2009, 09:27 #3
- Ingresso
- Sep 2009
- Posts
- 60
Bom, quero saber agora o que é um MTK em Bridge, não achei nenhuma referência sobre o assunto na internet. Pode me dar mais detalhes?
Postado originalmente por bauer
-
28-12-2009, 14:15 #4
- Ingresso
- Nov 2001
- Posts
- 707
Ola
É um Computador instalado o sistema operacional Mikrotik, configurado em bridge (de forma transparente em fazer NAT)
Att.
Citação