+ Responder ao Tópico



  1. #1
    whinston
    Visitante

    Padrão iptables - bloquear destino

    ae galera, to com um problema pra usar o iptables:
    https://under-linux.org/modules.php?...wtopic&t=31353

    $iptables -A INPUT -p tcp -s $lan -d toolbar.msn.com --dport 8080 -j DROP
    $iptables -A INPUT -p tcp -s $lan --dport 8080 -j ACCEPT
    $iptables -A INPUT -p tcp -s $vpn --dport 8080 -j ACCEPT
    $iptables -A INPUT -p tcp --dport 8080 -j DROP

    pq o squid tá aceitando a conexão da lan com destino ao toolbar.msn.com ?
    tá errada a regra? a ordem tá certa?

  2. #2
    Beto
    Visitante

    Padrão Re: iptables - bloquear destino

    Citação Postado originalmente por whinston
    ae galera, to com um problema pra usar o iptables:
    https://under-linux.org/modules.php?...wtopic&t=31353

    $iptables -A INPUT -p tcp -s $lan -d toolbar.msn.com --dport 8080 -j DROP
    $iptables -A INPUT -p tcp -s $lan --dport 8080 -j ACCEPT
    $iptables -A INPUT -p tcp -s $vpn --dport 8080 -j ACCEPT
    $iptables -A INPUT -p tcp --dport 8080 -j DROP

    pq o squid tá aceitando a conexão da lan com destino ao toolbar.msn.com ?
    tá errada a regra? a ordem tá certa?
    Nesse caso quem acessa a página é o squid, a menos q esteja utilizando proxy transparente.
    Ideal é bloquear no squid, tipo
    ACL msn dst domain "/etc/squid/msn.txt" <- dentro do arquivo .txt vc adiciona os domínios msn q deverão ser bloqueados..
    access allow !msn

    ( )'s

  3. #3
    whinston
    Visitante

    Padrão vc não entendeu

    vc não entendeu amigo..
    meu squid já está bloqueando!

    o problema é que o msn maldito, do inferno (etc etc etc) fica tentando 10x por segundo e isto gera muitos logs, sobrecarregando o sistema e fazendo com que o arquivo de log chegue a 2gb rápido, travando o squid. pegou ?

    eu quero saber se a sintaxe está correta
    valeu

  4. #4
    Lion_Black
    Visitante

    Padrão iptables - bloquear destino

    você colocou a porta 8080 no firewall .... o squid nao usa a porta 3128?

  5. #5
    whinston
    Visitante

    Padrão eu mudei :)

    eu mudei a porta padrão

    agora que eu me toquei como eu to sendo burro!!!
    99,9999% que não dá pra bloquear a entrada (INPUT) de alguma coisa com destino fora deste host onde tá a regra, por isto que não tá funcionando.

  6. #6
    Lion_Black
    Visitante

    Padrão iptables - bloquear destino

    eu tb nem percebi isso.... vc usa a chain FORWARD para isso!

  7. #7
    whinston
    Visitante

    Padrão não não não

    não, rs.. eu não to sendo muito claro
    eu não uso forward na rede, todo mundo passa por proxy
    no proxy, tem uma acl negando o MSN
    o problema é que o MSN fica tentando d+, oq me gera muitos logs

    eu queria travar via iptables, pra nem gerar logs de denied no squid.

  8. #8
    Lion_Black
    Visitante

    Padrão iptables - bloquear destino

    eu entendi!

    coloca esse escript no setor de inicializaçao que vc resolve o problema
    $!/bin/bash

    echo "Carregando Firewall..."


    # Definindo politica padrao

    iptables -P FORWARD DROP


    # Limpando todas as regras

    iptables -F
    iptables -X
    iptables -Z

    # Habilitando o roteamento

    echo 1 > /proc/sys/net/ipv4/ip_forward

    # Redirecionando os pacotes usando a porta 1863 para outro pc da rede

    iptables -t nat -A PREROUTING --dport 1863 -j DNAT --to 192.168.0.1






    pronto ... "Nunca usei isso ... mas acho que pode dar certo" tb nao sei se pode dar erro ... pq vc ta direcionando para um pc qualquer da rede

    e eu nunca fiz isso ...

  9. #9
    Lion_Black
    Visitante

    Padrão iptables - bloquear destino

    usa essa regra aqui ...

    iptables -t nat -A PREROUTING -p tcp --dport 1863 -j DNAT --to 192.168.0.1

    esqueci do parametro -p tcp