+ Responder ao Tópico



  1. #1

    Padrão Liberar o MSN por MAC

    Boa Tarde,

    Possuo no meu iptables as regras abaixo para bloqueio do MSN:

    iptables -A FORWARD -d 207.46.0.0/16 -p tcp -m multiport --dports 80,443 -j DROP
    iptables -A FORWARD -d 65.54.0.0/16 -p tcp -m multiport --dports 80,443 -j DROP
    iptables -A FORWARD -d 65.54.0.0/16 -p tcp -m multiport --dports 80,443 -j DROP
    iptables -A FORWARD -p tcp --dport 1863 -j REJECT

    Preciso liberar o acesso de algusn endereços MAC ao MSN, tentei fazer da seguinte maneira:

    iptables -A FORWARD -m mac --mac-source xx:xx:xx:xx:xx:xx -d 207.46.0.0/16 -p tcp -m multiport --dports 80,443 -j ACCEPT
    iptables -A FORWARD -m mac --mac-source xx:xx:xx:xx:xx:xx -d 65.54.0.0/16 -p tcp -m multiport --dports 80,443 -j ACCEPT
    iptables -A FORWARD -m mac --mac-source xx:xx:xx:xx:xx:xx -d 65.54.0.0/16 -p tcp -m multiport --dports 80,443 -j ACCEPT
    iptables -A FORWARD -m mac --mac-source xx:xx:xx:xx:xx:xx -p tcp --dport 1863 -j ACCEPT

    POrém não liberou, o notebook não conecta ao MSN.
    A regra está errada?

  2. #2

    Padrão

    Primeiro, precisamos saber como está sua politica de acesso, e a ordem das regras. Cola suas regras com iptables -nvL aqui.

    Dica: Para ter um êxito no bloqueio do msn via iptables, sugiro que você recompile o kernel com suporte ao layer7.

  3. #3

    Padrão

    netserver:~# iptables -nvL
    Chain INPUT (policy ACCEPT 45M packets, 33G bytes)
    pkts bytes target prot opt in out source destination
    878K 49M ACCEPT tcp -- * * 192.168.1.0/24 0.0.0.0/0 tcp flags:0x17/0x02
    0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:1723
    0 0 ACCEPT 47 -- * * 0.0.0.0/0 0.0.0.0/0
    19 4267 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpts:6881:6999

    Chain FORWARD (policy ACCEPT 26M packets, 14G bytes)
    pkts bytes target prot opt in out source destination
    3859 4936K ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 1723,1701
    15 1642 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 1723,1701
    0 0 ACCEPT 47 -- * * 0.0.0.0/0 0.0.0.0/0
    985 41272 DROP tcp -- * * 0.0.0.0/0 207.46.0.0/16 multiport dports 80,443
    3825 193K DROP tcp -- * * 0.0.0.0/0 65.54.0.0/16 multiport dports 80,443
    0 0 DROP tcp -- * * 0.0.0.0/0 65.54.0.0/16 multiport dports 80,443
    2014 105K REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:1863 reject-with icmp-port-unreachable
    45 2204 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:1080 reject-with icmp-port-unreachable
    0 0 DROP all -- * * 0.0.0.0/0 213.248.112.0/24
    44 2152 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:1214
    144 6944 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:6346
    0 0 ACCEPT tcp -- * * 0.0.0.0/0 207.46.0.0/16 MAC xx:xx:xx:xx:xx:xx multiport dports 80,443
    0 0 ACCEPT tcp -- * * 0.0.0.0/0 65.54.0.0/16 MAC xx:xx:xx:xx:xx:xx multiport dports 80,443
    0 0 ACCEPT tcp -- * * 0.0.0.0/0 65.54.0.0/16 MAC xx:xx:xx:xx:xx:xx multiport dports 80,443
    0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 MAC xx:xx:xx:xx:xx:xx tcp dpt:1863

    Chain OUTPUT (policy ACCEPT 46M packets, 34G bytes)
    pkts bytes target prot opt in out source destination
    721 508K ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:1723
    0 0 ACCEPT 47 -- * * 0.0.0.0/0 0.0.0.0/0
    0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spts:6881:6999

  4. #4

    Padrão

    Pois bem amigo, como seu List do iptables mostra, você está bloqueando todo acesso ao msn primeiro e depois liberando quem você quer liberar, porem entenda que o firewall segue a regra da lista, ou seja, quando ele passar pela cadeia forward, a primeira coisa que ele vai ver é o bloqueio, e quem estiver depois do bloqueio, liberado ou não estará bloqueado. Mude as regras de lugar, coloque as que liberam os macs primeiro, e depois coloque as que bloqueiam, ou troque -A por -I atualmente aonde estão as regras de liberação.

    att,

  5. #5

  6. #6

    Padrão

    Só tirar uma dúvida, o IPTABLES é top to bottom?

    Ele lê as regras de cima pra baixo e vai aplicando de cima pra baixo?

  7. #7

    Padrão

    Sim, ele pega de cima pra baixo, e vai seguindo a ordem.

  8. #8
    Avatar de BThiagoR
    Ingresso
    Jan 2010
    Localização
    Vitória da Conquista - BA
    Posts
    36

    Padrão

    Para o tópico ficar mais completo para os mais leigos que tem apenas noção do IPTABLES, vocês poderiam colocar todo o script e/ou dizer explicando os passos de como fazer o bloqueio?


    Grato
    Thiago Alvarenga

  9. #9

    Padrão

    Se você tem proxy na empresa, bloqueia login.passaport.net na porta 443 e pronto. O msn não vai conectar. Ou seja, https://login.live.com/.

  10. #10

    Padrão

    BthiagoR

    As regras para o bloqueio estão no primeiro post do tópico.

    Eu utilizo os bloqueios para porta 443 pelo firewall, alguns sistemeas sm SSL pela porta 443 não funcionam direito quando passam por proxy. O LogMeIn é um exemplo.

  11. #11

    Padrão

    Citação Postado originalmente por brunosimoes Ver Post
    BthiagoR

    As regras para o bloqueio estão no primeiro post do tópico.

    Eu utilizo os bloqueios para porta 443 pelo firewall, alguns sistemeas sm SSL pela porta 443 não funcionam direito quando passam por proxy. O LogMeIn é um exemplo.
    Ok, so tentei mostrar uma alternativa facil para bloquear o msn. So quis dizer que não precisa de um monte de regras no iptables se vc possui proxy. Vc pode usar o squid para o bloqueio. Sendo que o squid não pode estar em modo transparente para poder monitorar as conexões SSL.
    Última edição por ppastoriza; 20-01-2010 às 09:05.

  12. #12
    Avatar de BThiagoR
    Ingresso
    Jan 2010
    Localização
    Vitória da Conquista - BA
    Posts
    36

    Padrão

    Todo conhecimento é bem vindo, acredito que é na troca de informações e experiências que aprende-se mais.

    Caros,

    Tenho um humilde provedor, comecei pouco menos de quatro meses. A minha rede está segmentada assim: Todos Access Points estão em Bridge alguns em modo cliente e outros em modo AP, todo trafego está sendo direcionado a partir de um Micro com o Microtik v2.9 que também está como bridge.

    Pretendo criar algum método de bloqueio à alguns serviços (msn, orkut, etc) quando o cliente atrasa a mensalidade.

    Alguém tem alguma sugestão?

  13. #13

    Padrão

    Faça roteamentos. Se alguem pegar virus spyware na sua rede, verá que usar bridge não é o ideal para seu caso. Não sei como funciona o bloqueio a serviços no microtik, porem, como eu já disse em post anterior, maneira eficaz de bloqueio do msn é layer no iptables.

  14. #14
    Avatar de BThiagoR
    Ingresso
    Jan 2010
    Localização
    Vitória da Conquista - BA
    Posts
    36

    Padrão

    Valeu pela resposta. Mas se alguém pegar vírus na rede não terei problemas porque uso um programa comumente usado em lanhouses que ao reiniciar a máquina todo e/ou qualquer arquivo será apagado e o sistema fica congelado preservando a integridade.

  15. #15

    Padrão

    Será que seu software consegue fazer bloqueio de broadcast? Meu amigo, você não noção do que ta fazendo usando em bridge

  16. #16
    Avatar de BThiagoR
    Ingresso
    Jan 2010
    Localização
    Vitória da Conquista - BA
    Posts
    36

    Padrão

    Rsssrsrs,

    Tem razão quanto o risco, no entanto se algum usuário pegar vírus eu também lucro, pois sou mesmo que dou manutenção. Mais não deixo a ética de lado. Pesquise sobre o "Deep Freeze 6" ele deixa o S.O. isento de qualquer falha, fora isto o McAfee deia o Windows bem protegido! Compreendo que não há nada totalmente protegido, mas querendo ou não lucro de qualquer forma.