+ Responder ao Tópico



  1. #1
    msantos
    Visitante

    Padrão IPTABLES

    Caros amigos, gerencio uma rede que utiliza dois servidores linux, sendo que um roteia nossa internet e o outro armazena nossa base de dados (os dois independentes).
    Para restringir o acesso à Web por alguns usuários, criei a seguinte regra no iptables:

    iptables -A FORWARD -p tcp -s [endereço_ip_da_máquina_que_desejo_bloquear] -j DROP

    Com essa regra, a estação não acessa mais a internet, contudo, também não acessa mais o nossa base de dados.
    Como faço para resolver esse problema?

  2. #2

    Padrão IPTABLES

    iptables -A FORWARD -s ipdamaquina -p tcp --dport 80 -j DROP

    acredito que se vc colocar a porta ele vai se limitar em apenas bloquear ela

    se naum funfar posta ai que a galera mais ninja em firewall ajuda.



  3. #3
    msantos
    Visitante

    Padrão IPTABLES

    Gabriel, tentei executar a chain que vc colocou, mas não funcionou. Desta vez, a estação continuou acessando tanto o servidor net quanto o de dados. Teria alguma outra sugestão?

  4. #4

    Padrão IPTABLES

    vc pode criar um masquerade pra cada maquina q for usar a net e deixar tua rede liberada

    tipow...

    iptables -t nat -A PREROUTING -s ip_maquina/32 -o eth_internet -j MASQUERADE

    []'s



  5. #5
    dispatcher
    Visitante

    Padrão IPTABLES

    Citação Postado originalmente por demiurgo
    vc pode criar um masquerade pra cada maquina q for usar a net e deixar tua rede liberada

    tipow...

    iptables -t nat -A PREROUTING -s ip_maquina/32 -o eth_internet -j MASQUERADE

    []'s
    demiurgo , estive dando uma olhada nessa sessao e nao consegui entender como essa regra poderia resolver o problema do msantos. poderia me explicar melhor?

  6. #6
    Visitante

    Padrão iptables

    De alguma forma, após usar a chain: iptables -t filter -A INPUT -p tcp -s ENDERECO_IP -j DROP, e reiniciar o servidor e a estação (não consegui descobrir se há alguma relação), consegui fazer com que o ip que desejava bloquear o acesso à internet, fosse de fato bloqueado sem interferir com o outro servidor, consequentemente, com o sistema. Contudo, tentei usar a mesma chain para outro ip e - para minha surpresa - não funcionou! Será que deixei de observar algum detalhe importante? Além disso, conectei-me ao server como root e executei o comando: iptables -L, para listar as chains criadas, mas a menságem que me retornou foi que não havia nenhuma chain. Como pode?



  7. #7
    dispatcher
    Visitante

    Padrão Re: iptables

    Citação Postado originalmente por Anonymous
    De alguma forma, após usar a chain: iptables -t filter -A INPUT -p tcp -s ENDERECO_IP -j DROP, e reiniciar o servidor e a estação (não consegui descobrir se há alguma relação), consegui fazer com que o ip que desejava bloquear o acesso à internet, fosse de fato bloqueado sem interferir com o outro servidor, consequentemente, com o sistema. Contudo, tentei usar a mesma chain para outro ip e - para minha surpresa - não funcionou! Será que deixei de observar algum detalhe importante? Além disso, conectei-me ao server como root e executei o comando: iptables -L, para listar as chains criadas, mas a menságem que me retornou foi que não havia nenhuma chain. Como pode?
    Em primeiro lugar , soh pra separarmos melhor as coisas , vamos chamar a maquina que executa funcoes de roteamento de roteador (nome bastante apropriado nao?)
    Agora o negocio eh o seguinte: quando vc insere regras na linha de comando e reinicia a maquina , essas regras se perdem... portanto vc deve inserir essas regras num arquivo e torna-lo executavel. um nome apropriado seria rc.firewall. depois acrescente a seguinte linha no rc.local para carregar as regras toda vez que a maquina for reiniciada: /caminho_do_arquivo/rc.firewall.
    Outra coisa : se vc tiver inserindo essas regras no roteador o correto eh usar a chain FORWARD e nao INPUT. FORWARD eh usado pra pacotes que atravessam a maquina e INPUT pra pacotes que sao destinados à maquina. como o roteador soh faz o repasse de pacotes o correto eh utilizar FORWARD.
    Por isso acredito que a regra postada pelo noir deveria funcionar.

  8. #8

    Padrão IPTABLES

    Citação Postado originalmente por noir
    iptables -A FORWARD -s ipdamaquina -p tcp --dport 80 -j DROP

    acredito que se vc colocar a porta ele vai se limitar em apenas bloquear ela

    se naum funfar posta ai que a galera mais ninja em firewall ajuda.
    nao se esqueca de bloquear a porta 443 tb (https)...

    [] dotta



  9. #9
    gmlinux
    Visitante

    Padrão Re: IPTABLES

    Citação Postado originalmente por msantos
    Caros amigos, gerencio uma rede que utiliza dois servidores linux, sendo que um roteia nossa internet e o outro armazena nossa base de dados (os dois independentes).
    Para restringir o acesso à Web por alguns usuários, criei a seguinte regra no iptables:

    iptables -A FORWARD -p tcp -s [endereço_ip_da_máquina_que_desejo_bloquear] -j DROP

    Com essa regra, a estação não acessa mais a internet, contudo, também não acessa mais o nossa base de dados.
    Como faço para resolver esse problema?
    iptables -A FORWARD -p tcp -s [ip_bloqueado] -d ! [ip_base] -j DROP