+ Responder ao Tópico



  1. #11
    Sup0rt3
    Cara de boa isso é muito facil de fazer. Axo que devia dar uma pesquisada primeiro e depois postar aqui suas duvidas.

  2. #12
    Th3Cr0w
    Carinha, dá uma olhada no script que postei no tópico, na seção:

    ## Secao para lidar com port forwarding ##

    Basta descomentar a linha do $IPC (que é para porta 80), colocando o endereço do destino. Para os outros serviços, basta copiar e colar.

    Meu script tem função para bloquear/liberar/forward. Dá uma olhadinha nos comentários. Podem existir funções úteis para você. :good:

    []'s

    Luis Falcão



  3. #13
    Caro Suport 3, realmente isso parece muito fácil mas depois de 4 dias apanhando, achando-me uma besta pois como fala na rede , "qualquer uma faz um comparilhamento de internet" e depois acabar descobrindo que nao funcionava por causa de compartilhamento de IRQ de placa !!! e isso eu descobri por acaso no google ao ver uma postagem de um sofredor que nao conseguia colocar a quinta placa no firewall e ai descobri uma tal ACPI ( nao tem nada a ver com CPMI/CPI/CPMF :@: ), ai nesse ponto eu acho que :
    iptables -A INPUT -s 10.0.10.10/24 -p tcp --dport 20:2000 -j ACCEPT para acesso local de uma máquina ao server e
    iptables -A FORWARD -s 10.0.10.0/24 -d 200.234.200.9 -j DROP para nao acessar um site em especifico é fácil realmente, mas em que ponto do script é que é o caso ?!? pois algumas regras nao compreendo e nao posso mais parar a Internet o serviço ficou muito atrasado

  4. #14
    Sup0rt3
    vc disse que queria que a rede 10.0.10.0/24 tenha acesso ao servidor 10.0.10.254. Parace que eles estão na mesma rede intão não tem nada a ver com o firewall. Se vc esta tentando fazer uma DMZ ela não esta certa. alguem da internet acessa esse servidor ??? intão não tem porque ele estar atras de um firewall. Se acessar vc tem que refazer a topologia da sua rede.

    internet................................rede interna
    -------------| firewall |--------------|
    .....................................................|
    .....................................................|
    ...............10.0.10.254................|...........................10.0.10.0/24
    .................| servidor |----------| switch |-------------rede interna

    Viu o servidor não passa pelo firewall...o desenho de cima é sem DM e niguem acessa esse servidor pela internet.
    Se alguem acessar o seu servidor pel ainternet ai vc vai ter que colocar outra paca de rede no seu firewall e fazer isso:


    internet........................................rede interna
    --------------| firewall |------------------|
    ............................|...............................|
    ............................|...............................|
    ............................|...............................|
    ...................192.168.1.254...............|
    .....................| servidor |.....................|...........................10.0.10.0/24
    ....................................................| switch|---------------rede interna

    No desenho desconsidere os pontos. Ta vendo que o servidor esta ligado ao firewall e pra que a rede interna acessar o servidor tem que passar pelo firewall..Essa alternatica é muito mais segura.

    Esplica melhor ende ta esse servidor:
    heheh gostei de desenhar

    estranho que vc tenha problemas em bloquear algo ja que vc ta usando
    as politicas
    ptables -A INPUT -p tcp --syn -j DROP
    iptables -A OUTPUT -p tcp --syn -j DROP
    iptables -A FORWARD -p tcp --syn -j DROP

    mas enfim:
    Para bloquear o MSN da 10.0.10.83:
    Host que não acessam MSN
    # maquinas que NÂO acessão MSN
    $NO_MSN= "10.0.10.83"

    for HOSTS in $NO_MSN; do
    iptables -A FORWARD -p tcp -i $ENT -s $HOSTS -o $SAI --dport 1863 -j DROP
    iptables -t nat -A POSTROUTING -p tcp -s $HOSTS -o $SAI --dport 1863 -j SNAT --to $IP_NET
    done

    maquinas que É PERMITIDO MSN
    # coloque entre " " as maquinas que acessão MSN
    $YES_MSN= ""

    for HOSTS in $YES_MSN; do
    iptables -A FORWARD -p tcp -i $ENT -s $HOSTS -o $SAI --dport 1863 -j ACCEPT
    iptables -t nat -A POSTROUTING -p tcp -s $HOSTS -o $SAI --dport 1863 -j SNAT --to $IP_NET
    done


    Ufa. :good:



  5. Obrigado pela resposta mas cheguei a bloquear a porta 1863 e mesmo assim o infeliz do MSN abre e o webmsn nem esta ai.
    Como preciso bloquear alguns sites pelo dominio, instalei o squid e a velocidade das paginas aumentou em muito.

    mas criei as seguintes regras


    acl LAN 10.0.10.0/24 192.168.254.0/24
    acl site1 dstdomain arquivosex.com
    acl site2 loginnet.passport.com
    acl site3 webmessenger.msn.com


    http_access allow LAN
    http_access deny site1
    http_access deny site2
    http_access deny site3

    http_access deny all

    e mesmo assim o site e o msn continua a funcionar, poderiam me ajudar

    Quanto a questao do acesso ao servidor bastou eu fazer

    iptables -A INPUT -s 10.0.10.0/24 -p tcp --dport 20:2000 -j ACCEPT e ai as maquinas conseguiram acessar o http/ftp/telnet/swat que roda na maquina que é firewal e agora proxy também.






Tópicos Similares

  1. Respostas: 3
    Último Post: 08-12-2015, 13:14
  2. Alguem por favor poderia me ajudar com o squid....
    Por fisiconuclear18 no fórum Servidores de Rede
    Respostas: 8
    Último Post: 28-12-2005, 09:54
  3. Por favor alguém me ajuda com meu dhcp?
    Por fisiconuclear18 no fórum Servidores de Rede
    Respostas: 5
    Último Post: 28-10-2005, 08:38
  4. Por Favor estou a ponto de surtar !!!
    Por Germano_Silva no fórum Servidores de Rede
    Respostas: 1
    Último Post: 30-10-2003, 21:55
  5. Respostas: 1
    Último Post: 12-09-2003, 07:36

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L