Página 3 de 4 PrimeiroPrimeiro 1234 ÚltimoÚltimo
+ Responder ao Tópico



  1. #11
    Danilo_Montagna
    ReiserFS

    nao sei se vc percebeu.. mais essa regra aqui de protecao..

    iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT

    isso deixa qualquer porta sobre o protocolo tcp seja aceita.. porem a unica coisa que ela ira fazer é limitar as aberturas de conexao em 1 vez por segundo..

    tire essa regra que o resto ira funcionar como vc quer..

    vc tem que saber como usar essas protecoes.. no seu script essa regra vai atrapalhar.. pois ele nao limita portas.. apenas aberturas de conexoes..

  2. #12
    ReiserFS
    humm beleza vou tentar mas creio que nao vai pegar pq ja testei tirando essas protecoes ai. e colocando o que o psy falou, tipo antes estava assim com voce falou e tabem nao pegava, mas vou tentar

    tipo mudar dakilo que voce falou psy para como esta agora
    iptables -A FORWARD -p tcp --dport 25 -j ACCEPT
    iptables -A FORWARD -p tcp --dport 110 -j ACCEPT
    acho q nao muda muito mas vou tentar
    vlw ai



  3. #13
    ReiserFS
    pow nao rolou ainda,eu tentei algo diferente mas tb nao rolou saca isso:

    colokei pra logar o foward e ver oq ta acontecendo:

    iptables -A FORWARD -j LOG --log-prefix "FORWARD PACKETS:"

    depois criei umas regras assim:
    iptables -A FORWARD -p tcp --dport 25 -j ACCEPT
    iptables -A FORWARD -p tcp --dport 110 -j ACCEPT
    iptables -A FORWARD -p tcp --dport 53 -j ACCEPT
    iptables -A FORWARD -p udp --dport 53 -j ACCEPT

    bom depois vi que eu tinha que liberar portas do src para comunicacao
    iptables -A FORWARD -p tcp --sport 1:9999 -j ACCEPT

    depois fechei o resto:
    iptables -A FORWARD -p tcp --dport 1:24 -j DROP
    iptables -A FORWARD -p tcp --dport 26:52 -j DROP
    iptables -A FORWARD -p tcp --dport 54:109 -j DROP
    iptables -A FORWARD -p tcp --dport 111:9999 -j DROP

    o padrao do FORWARD em drop. iptables -P FORWARD DROP

    bom ai eu fui testar em um pc cliente

    WEB - Usa proxy do server OK
    EMAIL - Usa SMTP do SERVER e o POP e um ip do server redirecionado para o pop na net OK
    DNS - Nao resolve nome, mas nao tem pro pq o squid resolve.
    MSN - KAZAA - Infelizmente essas bostas funcionaram.

    colocando o FORWARD com padrao em ACCEPT o DNS funciona. mas nao vem em conta.

    bom e no log mostra com ha conexoes nas portas que eu bloquiei! look:

    May 27 19:07:15 fw kernel: FORWARD PACKETS:IN=eth0 OUT=eth2 SRC=192.168.82.18 DST=64.247.112.101 LEN=40 TOS=0x00 PREC=0x00 TTL=127 ID=8062 DF PROTO=TCP SPT=1439 DPT=1972 WINDOW=17520 RES=0x00 ACK FIN URGP=0
    May 27 19:07:15 fw kernel: FORWARD PACKETS:IN=eth2 OUT=eth0 SRC=64.247.112.101 DST=192.168.82.18 LEN=1500 TOS=0x00 PREC=0x00 TTL=105 ID=11857 DF PROTO=TCP SPT=1972 DPT=1439 WINDOW=17110 RES=0x00 ACK URGP=0
    May 27 19:07:15 fw kernel: FORWARD PACKETS:IN=eth0 OUT=eth2 SRC=192.168.82.18 DST=64.247.112.101 LEN=60 TOS=0x00 PREC=0x00 TTL=127 ID=8063 DF PROTO=TCP SPT=1439 DPT=1972 WINDOW=17520 RES=0x00 ACK URGP=0
    May 27 19:07:15 fw kernel: FORWARD PACKETS:IN=eth2 OUT=eth0 SRC=64.247.112.101 DST=192.168.82.18 LEN=1500 TOS=0x00 PREC=0x00 TTL=105 ID=11859 DF PROTO=TCP SPT=1972 DPT=1439 WINDOW=17110 RES=0x00 ACK URGP=0


    algo assim. nao aguento mais alguem me de uma luz de como bloquear esse kazaa lite filho de uma vaca!!!


  4. #14
    Speed
    ReiserFS,

    Desculpa, mas na sua primeira pergunta vc falou q ñ adinta passar aqueles tutoriais para bloquear p2p. Deixa eu apenas lhe perguntar, vc já tentou essas regras para o Kaazar e o MSN:

    Bloquear KaZaA:
    iptables -A FORWARD -d 213.248.112.0/24 -j REJECT
    iptables -A FORWARD -p TCP --dport 1214 -j REJECT

    Bloquear MSN Messenger:
    iptables -A FORWARD -p TCP --dport 1863 -j REJECT
    iptables -A FORWARD -d 64.4.13.0/24 -j REJECT

    Espero ter ajudado!!!! <IMG SRC="images/forum/icons/icon_smile.gif">



  5. #15
    Danilo_Montagna
    cara.. eu aidna acho que tem alguam coisa de errado em alguma regra que vc ta fazendo..

    eu nao aconselho a usar regras de SRC no forward... utilize-se de regras de stado de conexao.. sao bem mais seguras..

    outra coisa... nao existe a necessidade de se DROPAR alguma coisa em uma politica padrao que o default já e DROP.. eu acho que ae esta o seu erro..

    deve estar havendo inconsistencia de regras...

    eu tenho um client que usa um esquema parecido com esse que vc quer manter.. e te garanto que nao passsa nada de P2P.. porem.. meu sistema de firewall usa conceitos diferentes...






Tópicos Similares

  1. IPTables - Problema com politica padrão DROP
    Por NightMareCBA no fórum Servidores de Rede
    Respostas: 2
    Último Post: 25-03-2009, 09:34
  2. simples, DROP = NAO LIBERA NADA nem com ACCEPT na 80
    Por jvictorfc no fórum Servidores de Rede
    Respostas: 8
    Último Post: 25-04-2007, 02:50
  3. nao passam os email
    Por focianc no fórum Servidores de Rede
    Respostas: 1
    Último Post: 30-03-2004, 12:16
  4. squid nao ler ALCS
    Por no fórum Servidores de Rede
    Respostas: 6
    Último Post: 07-02-2003, 19:27
  5. Motorola não respeita os clientes
    Por eliseus no fórum Servidores de Rede
    Respostas: 1
    Último Post: 04-02-2003, 01:41

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L