Página 2 de 3 PrimeiroPrimeiro 123 ÚltimoÚltimo
+ Responder ao Tópico



  1. de tanto posta sobre proxy transparente e barrando o msn eu fiz um mini howto, espero q te ajude.


    O msn ele utiliza duas maneiras pra se autenticar, uma eh a porta 1863, e a outra ele utiliza a porta 80 e busca o arquivo chamado gateway.dll, pra barra o msn vc precisa do squid + iptables

    iptables vc barra a porta de forward 1863
    squid vc utiliza pra barra o gateway.dll

    então no arquivo onde vc coloca os sites que n deveram acessa, vc coloca esse nome gateway.dll

    agora bora deixa seu squid transparente...

    iptables -t nat -A PREROUTING -s 192.168.1.0/24 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.1:3128

    se squid tiver na mesma maquina onde ta o firewall, troque o DNAT por REDIRECT

    iptables -t nat -A PREROUTING -s 192.168.1.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128

    lembrando que 192.168.1.0/24 é o ip da sua rede interna e o 192.168.1.1 é o ip onde ta o squid.

    aqui, como ta tudo drop, eu n barro a porta 1863, eu só faço liberar pra algumas maquinas, mas vou manda a regra pra barra-la

    iptables -A FORWARD -s 182.168.1.0/24 -p tcp --dport 1863 -j DROP
    t+

  2. Brenno ! Valeu ! Mas consegui bloquear o msn bloqueando o acesso a pagina onde ele executa o login que é : loginnet.passport.com . Pelo menos funcionou aqui, não conseuia logar....

    Não sei se fiz errado, mas o q eu tenho q conseguir bloquear agora é Emule, Kazaa, Shareaza e coisa do tipo... Nem tive muito tempo de mecher devido a outros problemas se tornaram prioritarios... Já tentei algumas regras que encontrei aqui nos tutorias, mas sem sucesso. Só que tenho certeza que as utilizei de forma errada. Caso tenham uma iideia, postem ae, por gentileza. Assim que conseguir terminar meu script de firewall, eu posto aqui pra vcs darem uma opinião e uma validada, se não tiver problemas é claro. O que vcs me dizem ??

    Abraços



  3. se vc barra loginnet.passport.com , alem do msn ele barra o e-mail, ou seja, seus usuarios n vao conseguir acessar a conta do hotmail via browser, por isso recomendo usar o squid e barra o gateway.dll, espero q consiga monta seu firewall

    boa sorte

  4. Certo Brenno, entendi, gateway.dll, valeu a dica, mas isso apenas o msn usa certo ? Fico grato mesmo!

    Meu caros do Fórum da UnderLinux, podem avaliar como está esse script ??

    #Carregando os modulos necessarios
    #
    modprobe iptable_nat
    modprobe ip_nat_ftp
    modprobe ip_conntrack
    modprobe ip_conntrack_ftp
    modprobe ip_conntrack_irc

    #Limpar as regras
    #
    iptables --flush
    iptables --delete-chain
    iptables -t nat -F
    iptables -F
    iptables -X
    iptables -Z

    #Politicas (regras default: serão tomadas qdo não houver uma regra especifica para o caso)
    #
    iptables -P INPUT DROP #Rejeita todos pacotes que entram
    iptables -P OUTPUT ACCEPT #Permite a saida de qualquer pacote
    iptables -P FORWARD ACCEPT #Aceita redirecionamento do pacote
    iptables -t nat -P PREROUTING ACCEPT # Aceita os NAT de prerouting
    iptables -t nat -P POSTROUTING ACCEPT # Aceita os NAT de postrouting

    #Para forçar a utilização do proxy
    iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -m multiport -p tcp --dport 80,81,8080,8081,3128 -j ACCEPT

    #Regra de NAT
    #
    iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE

    #Liberando LoopBack
    #
    iptables -A INPUT -i lo -j ACCEPT

    #Liberar acesso ao WTS
    #
    iptables -A PREROUTING -t nat -p tcp --dport 3389 -d 200.183.142.130 -j DNAT --to 192.168.0.4
    iptables -A POSTROUTING -t nat -p tcp --dport 3389 -d 192.168.0.4 -j MASQUERADE

    #Bloquear KaZaA
    iptables -A FORWARD -d 213.248.112.0/24 -j REJECT
    iptables -A FORWARD -p TCP --dport 1214 -j REJECT

    #Liberar Rede Local
    #
    iptables -A INPUT -s 192.168.0.0/24 -j ACCEPT


    #Regras para INPUT
    #Regras Para INPUT de portas TCP

    iptables -A INPUT -p TCP -i eth1 --dport 20 -j ACCEPT
    iptables -A INPUT -p TCP -i eth1 --dport 21 -j ACCEPT
    iptables -A INPUT -p TCP -i eth1 --dport 22 -j ACCEPT
    iptables -A INPUT -p TCP -i eth0 --dport 22 -j ACCEPT
    iptables -A INPUT -p TCP -i eth1 --dport 25 -j ACCEPT
    iptables -A INPUT -p TCP -i eth1 --dport 53 -j ACCEPT
    iptables -A INPUT -p TCP -i eth1 --dport 80 -j ACCEPT
    iptables -A INPUT -p TCP -i eth1 --dport 143 -j ACCEPT
    iptables -A INPUT -p TCP -i eth1 --dport 199 -j ACCEPT
    iptables -A INPUT -p TCP -i eth1 --dport 443 -j ACCEPT
    iptables -A INPUT -p TCP -i eth1 --dport 783 -j ACCEPT
    iptables -A INPUT -p TCP -i eth1 --dport 1984 -j ACCEPT
    iptables -A INPUT -p TCP -i eth1 --dport 3000 -j ACCEPT
    iptables -A INPUT -p TCP -i eth1 --dport 10000 -j ACCEPT

    #Regras Para INPUT de portas UDP

    iptables -A INPUT -p UDP -i eth1 --dport 20 -j ACCEPT
    iptables -A INPUT -p UDP -i eth1 --dport 21 -j ACCEPT
    iptables -A INPUT -p UDP -i eth1 --dport 22 -j ACCEPT
    iptables -A INPUT -p UDP -i eth1 --dport 25 -j ACCEPT
    iptables -A INPUT -p UDP -i eth1 --dport 53 -j ACCEPT
    iptables -A INPUT -p UDP -i eth1 --dport 80 -j ACCEPT
    iptables -A INPUT -p UDP -i eth1 --dport 123 -j ACCEPT
    iptables -A INPUT -p UDP -i eth1 --dport 143 -j ACCEPT
    iptables -A INPUT -p UDP -i eth1 --dport 161 -j ACCEPT
    iptables -A INPUT -p UDP -i eth1 --dport 443 -j ACCEPT
    iptables -A INPUT -p UDP -i eth1 --dport 1024 -j ACCEPT
    iptables -A INPUT -p UDP -i eth1 --dport 3000 -j ACCEPT
    iptables -A INPUT -p UDP -i eth1 --dport 3130 -j ACCEPT
    iptables -A INPUT -p UDP -i eth1 --dport 10000 -j ACCEPT

    Só não humilhem muito hehehe... é o primeiro que monto, ainda estou estudando iptables. Qualquer dica e sugestão com certeza é bem vinda!
    Agradeço desde já!



  5. #Carregando os modulos necessarios
    #
    modprobe iptable_nat
    modprobe ip_nat_ftp
    modprobe ip_conntrack
    modprobe ip_conntrack_ftp
    modprobe ip_conntrack_irc

    #Limpar as regras
    #
    iptables --flush
    iptables --delete-chain
    iptables -t nat -F
    iptables -F
    iptables -X
    iptables -Z

    #Politicas (regras default: serão tomadas qdo não houver uma regra especifica para o caso)
    #
    iptables -P INPUT DROP #Rejeita todos pacotes que entram
    iptables -P OUTPUT ACCEPT #Permite a saida de qualquer pacote
    iptables -P FORWARD ACCEPT #Aceita redirecionamento do pacote
    iptables -t nat -P PREROUTING ACCEPT # Aceita os NAT de prerouting
    iptables -t nat -P POSTROUTING ACCEPT # Aceita os NAT de postrouting

    #Para forçar a utilização do proxy
    iptables -t nat -A POSTROUTING -s 192.168.0.30/32 -j MASQUERADE
    iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -m multiport -p tcp --dport 80,81,8080,8081,3128 -j ACCEPT

    #Regra de NAT
    #
    iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
    echo 1 > /proc/sys/net/ipv4/ip_forward

    #Liberando LoopBack
    #
    iptables -A INPUT -i lo -j ACCEPT

    #Liberar acesso ao WTS
    #
    iptables -A PREROUTING -t nat -p tcp --dport 3389 -d 200.183.142.130 -j DNAT --to 192.168.0.4
    iptables -A POSTROUTING -t nat -p tcp --dport 3389 -d 192.168.0.4 -j MASQUERADE

    #Bloquear KaZaA
    iptables -A FORWARD -d 213.248.112.0/24 -j REJECT
    iptables -A FORWARD -p TCP --dport 1214 -j REJECT

    #Liberar Rede Local
    #
    iptables -A INPUT -s 192.168.0.0/24 -j ACCEPT


    #Regras para INPUT
    #Regras Para INPUT de portas TCP

    iptables -A INPUT -p TCP --dport 20 -j ACCEPT
    iptables -A INPUT -p TCP --dport 21 -j ACCEPT
    iptables -A INPUT -p TCP --dport 22 -j ACCEPT
    iptables -A INPUT -p TCP --dport 22 -j ACCEPT
    iptables -A INPUT -p TCP --dport 25 -j ACCEPT
    iptables -A INPUT -p TCP --dport 53 -j ACCEPT
    iptables -A INPUT -p TCP --dport 80 -j ACCEPT
    iptables -A INPUT -p TCP --dport 143 -j ACCEPT
    iptables -A INPUT -p TCP --dport 199 -j ACCEPT
    iptables -A INPUT -p TCP --dport 443 -j ACCEPT
    iptables -A INPUT -p TCP --dport 783 -j ACCEPT
    iptables -A INPUT -p TCP --dport 1984 -j ACCEPT
    iptables -A INPUT -p TCP --dport 3000 -j ACCEPT
    iptables -A INPUT -p TCP --dport 10000 -j ACCEPT

    #Regras Para INPUT de portas UDP

    iptables -A INPUT -p UDP --dport 20 -j ACCEPT
    iptables -A INPUT -p UDP --dport 21 -j ACCEPT
    iptables -A INPUT -p UDP --dport 22 -j ACCEPT
    iptables -A INPUT -p UDP --dport 25 -j ACCEPT
    iptables -A INPUT -p UDP --dport 53 -j ACCEPT
    iptables -A INPUT -p UDP --dport 80 -j ACCEPT
    iptables -A INPUT -p UDP --dport 123 -j ACCEPT
    iptables -A INPUT -p UDP --dport 143 -j ACCEPT
    iptables -A INPUT -p UDP --dport 161 -j ACCEPT
    iptables -A INPUT -p UDP --dport 443 -j ACCEPT
    iptables -A INPUT -p UDP --dport 1024 -j ACCEPT
    iptables -A INPUT -p UDP --dport 3000 -j ACCEPT
    iptables -A INPUT -p UDP --dport 3130 -j ACCEPT
    iptables -A INPUT -p UDP --dport 10000 -j ACCEPT

    Bom, meu script esta assim até o presente momento. Mas o que acontece é o seguinte, não consigo navegar com proxy!!! Se mudo a politica do INPUT pra ACCEPT, blza navega... se deixo eu DROP, nada de navegar com proxy... Não sei o que fazer mesmo para liberar isso.

    Aqui o proxy eu uso SQUID, configurado na porta 3000. Quem puder dar uma luz.....






Tópicos Similares

  1. Dúvida sobre uma regra de QoS
    Por EdilsonLSouza no fórum Redes
    Respostas: 1
    Último Post: 10-12-2014, 11:23
  2. Dúvida sobre uma instalação
    Por NerdOwned no fórum Redes
    Respostas: 10
    Último Post: 18-03-2014, 15:31
  3. Duvida em uma Regra de IPTABLES
    Por wallacef no fórum Segurança
    Respostas: 9
    Último Post: 10-01-2006, 15:41
  4. Duvida sobre uma coisa do underlinux...........
    Por _Luigi_ no fórum UnderLinux
    Respostas: 7
    Último Post: 07-12-2002, 22:51

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L