+ Responder ao Tópico



  1. Citação Postado originalmente por durban
    Seguinte galera!!!!

    Tenho uma regra no meu IPTABLES, que está bloqueando os MSN da minha empresa.... Mas olha que engraçado, consegui bloquear, mas para as pessoas que eu quero liberar, eu não consigo!!!!! De vez em quando, eu consigo entrar, mas não consigo enviar msg.

    Abaixo está o meu script de bloqueio:

    for IPLIBERADOS in "192.168.4.222"
    do
    $IPTABLES -A FORWARD -s $IPLIBERADOS -p tcp --dport 1863 -j ACCEPT
    $IPTABLES -A FORWARD -s $IPLIBERADOS -d 64.4.13.0/24 -j ACCEPT
    $IPTABLES -A FORWARD -s $IPLIBERADOS -d gtwy.messenger.hotmail.com -j ACCEPT
    $IPTABLES -A FORWARD -s $IPLIBERADOS -d gateway.messenger.hotmail.com -j ACCEPT
    $IPTABLES -A FORWARD -s $IPLIBERADOS -d messenger.hotmail.com -j ACCEPT
    $IPTABLES -A FORWARD -s $IPLIBERADOS -d svcs.microsoft.com -j ACCEPT
    $IPTABLES -A FORWARD -s $IPLIBERADOS -d 72.21.56.243/24 -j ACCEPT
    done
    $IPTABLES -A FORWARD -s 192.168.4.0/24 -p tcp --dport 1863 -j DROP
    $IPTABLES -A FORWARD -s 192.168.4.0/24 -d 64.4.13.0/24 -j DROP
    $IPTABLES -A FORWARD -s 192.168.4.0/24 -d gtwy.messenger.hotmail.com -j DROP
    $IPTABLES -A FORWARD -s 192.168.4.0/24 -d gateway.messenger.hotmail.com -j DROP
    $IPTABLES -A FORWARD -s 192.168.4.0/24 -d messenger.hotmail.com -j DROP
    $IPTABLES -A FORWARD -s 192.168.4.0/24 -d svcs.microsoft.com -j DROP
    $IPTABLES -A FORWARD -s 192.168.4.0/24 -d 72.21.56.243/24 -j DROP
    tenta colocar essa regrinha tb

    iptables -A FORWARD -s IPLIBERADO/32 -d loginnet.passport.com -j ACCEPT


    Posta ae se deu certo

  2. Seguinte...

    Spyderlinux..... Não entendi ainda o que vc quis dizer com fazer outra regra no começo, vc diz fazer 2 regras iguais, uma no começo do firewall e outra onde ela está? Ou deixar só ela no começo do código??? Tentei usar a sua regra e não deu certo aqui!!!!


    Mastellaro...... Tentei colocar a sua linha de código e não deu certo, mas só vendo se eu estou errado.... Acho que no final, não é .com e sim .net .... Mas do mesmo jeito tentei os 2 e nada.....


    Brenno...... Mesmo colocando IP solitário, todo mundo ficou liberado.... será mesmo que esse -I é para ler primeiro, e não para passar por cima das regras??


    Ainda não encontrei solução para o meu problema!!!!!



  3. Citação Postado originalmente por durban
    Seguinte...

    Spyderlinux..... Não entendi ainda o que vc quis dizer com fazer outra regra no começo, vc diz fazer 2 regras iguais, uma no começo do firewall e outra onde ela está? Ou deixar só ela no começo do código??? Tentei usar a sua regra e não deu certo aqui!!!!


    Mastellaro...... Tentei colocar a sua linha de código e não deu certo, mas só vendo se eu estou errado.... Acho que no final, não é .com e sim .net .... Mas do mesmo jeito tentei os 2 e nada.....


    Brenno...... Mesmo colocando IP solitário, todo mundo ficou liberado.... será mesmo que esse -I é para ler primeiro, e não para passar por cima das regras??


    Ainda não encontrei solução para o meu problema!!!!!
    10.2.4 Inserindo uma regra - I

    Precisamos que o tráfego vindo de 192.168.1.15 não seja rejeitado pelo nosso firewall. Não podemos adicionar uma nova regra (-A) pois esta seria incluída no final do chain e o tráfego seria rejeitado pela primeira regra (nunca atingindo a segunda). A solução é inserir a nova regra antes da regra que bloqueia todo o tráfego ao endereço 127.0.0.1 na posição 1:

    iptables -t filter -I INPUT 1 -s 192.168.1.15 -d 127.0.0.1 -j ACCEPT

    Após este comando, temos a regra inserida na primeira posição do chain (repare no número 1 após INPUT) e a antiga regra número 1 passa a ser a número 2. Desta forma a regra acima será consultada, se a máquina de origem for 192.168.1.15 então o tráfego estará garantido, caso contrário o tráfego com o destino 127.0.0.1 será bloqueado na regra seguinte.
    a unica explicação e sua politica estejá como ACCEPT, teria como vc colocar o retorno do comando iptables -L -v ?

  4. Olha só Brenno

    Eu criei meu firewall deixando organizado.

    regras input
    regras nat
    regras forward

    como a politica do output está accept nao criei regras pra ele porque nao precisa

    O que eu falei foi

    para bloquear o msn você usa essas regras



    echo "# FECHANDO MESSENGER "
    $IPTABLES -A FORWARD -s 192.168.0.0/24 -p tcp --dport 1863 -j REJECT
    $IPTABLES -A FORWARD -s 192.168.0.0/24 -d 65.54.239.80 -j REJECT
    $IPTABLES -A FORWARD -s 192.168.0.0/24 -d 65.54.179.192 -j REJECT
    ########### REGRA ACIMA IGUAL A DE
    ########### BAIXO POREM COM O IP PARA RESOLVER
    # iptables -A FORWARD -s 192.168.0.0/24 -d loginnet.passport.com -j REJECT
    # iptables -A FORWARD -s 192.168.0.0/24 -d messenger.hotmail.com -j REJECT

    #$IPTABLES -A FORWARD -s 192.168.0.0/24 -d webmessenger.msn.com -j DROP
    $IPTABLES -A FORWARD -p tcp --dport 1080 -j DROP
    $IPTABLES -A FORWARD -s 192.168.0.0/24 -p tcp --dport 1080 -j REJECT




    Então o que você tem que fazer não só com o msn mas com todos os programas que alguns podem e outros não é

    coloca em cima da primeira linha
    no caso a linha -> echo "# FECHANDO MESSENGER "

    em cima dela você discrimina quem vai fazer a solicitação pro acesso ao msn (porta 1863)
    ou seja

    supondo que eu que estou com o ip .171

    # SpYdErLiNuX
    $IPTABLES -A FORWARD -s 192.168.0.171 -p tcp --dport 1863 -j ACCEPT
    $IPTABLES -A FORWARD -d 192.168.0.171 -p tcp --sport 1863 -j ACCEPT


    eu uso so essa regra e ja era.

    Entao você pega essas 2 linhas e coloca antes das que estão DROPando

    Se isso não rolar é seu firewall que não está correto.
    Rode o comando
    iptables -L -v

    como dito anteriormente.

    E poste aqui pra tentarmos achar caso não conecte onde está o erro nas suas regras

    FUI !!!



  5. Citação Postado originalmente por spyderlinux
    Olha só Brenno

    Eu criei meu firewall deixando organizado.

    regras input
    regras nat
    regras forward

    como a politica do output está accept nao criei regras pra ele porque nao precisa

    O que eu falei foi

    para bloquear o msn você usa essas regras



    echo "# FECHANDO MESSENGER "
    $IPTABLES -A FORWARD -s 192.168.0.0/24 -p tcp --dport 1863 -j REJECT
    $IPTABLES -A FORWARD -s 192.168.0.0/24 -d 65.54.239.80 -j REJECT
    $IPTABLES -A FORWARD -s 192.168.0.0/24 -d 65.54.179.192 -j REJECT
    ########### REGRA ACIMA IGUAL A DE
    ########### BAIXO POREM COM O IP PARA RESOLVER
    # iptables -A FORWARD -s 192.168.0.0/24 -d loginnet.passport.com -j REJECT
    # iptables -A FORWARD -s 192.168.0.0/24 -d messenger.hotmail.com -j REJECT

    #$IPTABLES -A FORWARD -s 192.168.0.0/24 -d webmessenger.msn.com -j DROP
    $IPTABLES -A FORWARD -p tcp --dport 1080 -j DROP
    $IPTABLES -A FORWARD -s 192.168.0.0/24 -p tcp --dport 1080 -j REJECT




    Então o que você tem que fazer não só com o msn mas com todos os programas que alguns podem e outros não é

    coloca em cima da primeira linha
    no caso a linha -> echo "# FECHANDO MESSENGER "

    em cima dela você discrimina quem vai fazer a solicitação pro acesso ao msn (porta 1863)
    ou seja

    supondo que eu que estou com o ip .171

    # SpYdErLiNuX
    $IPTABLES -A FORWARD -s 192.168.0.171 -p tcp --dport 1863 -j ACCEPT
    $IPTABLES -A FORWARD -d 192.168.0.171 -p tcp --sport 1863 -j ACCEPT


    eu uso so essa regra e ja era.

    Entao você pega essas 2 linhas e coloca antes das que estão DROPando

    Se isso não rolar é seu firewall que não está correto.
    Rode o comando
    iptables -L -v

    como dito anteriormente.

    E poste aqui pra tentarmos achar caso não conecte onde está o erro nas suas regras

    FUI !!!
    Blz spyder, a unica coisa que eu falei, foi por nas regras que você vai liberar o msn o -I, com isso, tanto faz elas estarem acima ou abaixo das regras de drop, pois elas por terem o -I terão prioridade em relação as outras regras, mas do seu jeito tmb ta certo.

    por isso que eu pedir pra ele verificar a politica das chains FORWARD E INPUT , caso esteja drop, só analizando o script pois concerteza tem algo errado.






Tópicos Similares

  1. Não consigo liberar porta para jabber
    Por Dedao no fórum Servidores de Rede
    Respostas: 8
    Último Post: 10-05-2007, 15:59
  2. iptables, não consigo liberar acesso ao servidor dns....
    Por vitorsjc no fórum Servidores de Rede
    Respostas: 2
    Último Post: 14-09-2006, 14:36
  3. Não consigo bloquear o MSN
    Por Tatanka no fórum Servidores de Rede
    Respostas: 5
    Último Post: 20-04-2006, 16:53
  4. Nao consigo liberar conexao de webcam no MSN por nat
    Por Daniels no fórum Servidores de Rede
    Respostas: 6
    Último Post: 21-09-2004, 17:09
  5. Não consigo liberar SSH em Firewall com iptables ?
    Por no fórum Servidores de Rede
    Respostas: 1
    Último Post: 11-04-2003, 13:31

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L