+ Responder ao Tópico



  1. #1

    Padrão Bloquear Msn, e liberar alguns?? alguem ajuda?

    Boa Tarde Amigos


    Tenho um servidor debian com proxy e firewall, preciso bloquear o msn de algumas maquinas e liberar de algumas... Tentei usar essa regra para bloquear iptables -A FORWARD -s 192.168.50.0/24 -p tcp --dport 1863 -j REJECT
    iptables -A FORWARD -s 192.168.50.0/24 -d loginnet.passport.com -j REJECT

    e depois usei essa para liberar somente alguns ips
    iptables -A FORWARD -s 192.168.50.10 -p tcp --dport 1863 -j ACCEPT
    iptables -A FORWARD -s 192.168.50.10 -d loginnet.passport.com -j ACCEPT
    e no squid coloquei para bloquear a palavras gateway.dll.. Não esta funcionando ele bloqueou tudo... Alguem pode ajudar?

    Att

  2. #2

    Padrão

    Citação Postado originalmente por gilbertoandrade Ver Post
    Boa Tarde Amigos


    Tenho um servidor debian com proxy e firewall, preciso bloquear o msn de algumas maquinas e liberar de algumas... Tentei usar essa regra para bloquear iptables -A FORWARD -s 192.168.50.0/24 -p tcp --dport 1863 -j REJECT
    iptables -A FORWARD -s 192.168.50.0/24 -d loginnet.passport.com -j REJECT

    e depois usei essa para liberar somente alguns ips
    iptables -A FORWARD -s 192.168.50.10 -p tcp --dport 1863 -j ACCEPT
    iptables -A FORWARD -s 192.168.50.10 -d loginnet.passport.com -j ACCEPT
    e no squid coloquei para bloquear a palavras gateway.dll.. Não esta funcionando ele bloqueou tudo... Alguem pode ajudar?

    Att
    não é o contrario? primeiro os permitidos depois bloqueia o resto?
    tenta fazer assim:
    #Liberados
    iptables -A FORWARD -s 192.168.50.10 -p tcp --dport 1863 -j ACCEPT
    iptables -A FORWARD -s 192.168.50.10 -d loginnet.passport.com -j ACCEPT
    #bloqueados
    iptables -A FORWARD -s 192.168.50.0/24 -p tcp --dport 1863 -j REJECT
    iptables -A FORWARD -s 192.168.50.0/24 -d loginnet.passport.com -j REJECT



  3. #3

  4. #4

    Smile da certo

    #============ LIVRES PARA ACESSO ==================
    acl livre dstdom_regex "/etc/squid/livre"
    #dentro os sites que tem permissao
    http_access allow livre
    # aqui dei acesso total os sites dentro do txt
    #========= LIBERACAO PARA PATRAO=====================
    acl rede src 192.168.1.0/24
    #aqui estipulei a rede do dhcp que configurei
    acl especial src "/etc/squid/especial"
    #dentro ips que tem permissao geral P/ sites e messenger
    http_access deny rede !especial
    aqui bloquei toda a rede usei "!" p/ acesso total


    #===BLOQUEIO MESSENGER E OUTROS ========================
    # so adicionar no fireall

    iptables -A FORWARD -s 192.168.1.0/24 -p tcp --dport 6890:6902 -j DROP
    iptables -A FORWARD -s 192.168.1.0/24 -p tcp --dport 1863 -j DROP
    iptables -A FORWARD -s 192.168.1.0/24 -p UDP --dport 1863 -j DROP
    iptables -A FORWARD -s 192.168.1.0/24 -p UDP --dport 5190 -j DROP
    iptables -A FORWARD -s 192.168.1.0/24 -p UDP --dport 6901 -j DROP

    vai da certo blzinha.....
    abraco



  5. #5

    Padrão

    Olha, eu recomendo que você faça o bloqueio do MSN total no iptables e libere quem precisar utilizar por meio do Squid. Crie um esquema de ACL assim:

    Código :
    acl msn url_regex -i gateway.dll
    acl caraquevaiusarmsn src 192.168.0.1
    ...
    ...
    ...
    http_access allow msn caraquevaiusarmsn

  6. #6

    Padrão

    Como estão suas regras de MASQUERADE, você está "mascarando" apenas nas portas necessárias?
    Uma política interessante e segura seria você usar INPUT e FORWARD como padrão DROP e liberar apenas os serviços necessários.

    O msn conecta ou pela porta 1863 ou pela porta 80. Se você não está fazendo MASQUERADE da porta 1863 e no proxy você fez igual o amigo acima, crio uma ACL com url_regex para a palavra gateway.dll, o msn na sua rede não irá funcionar.

    Feito isso, você pode ir liberando por ip as máquina que você quer que use o msn:

    iptables -t nat -A POSTROUTING -s 192.168.50.10 -p tcp --dport 1863 -j MASQUERADE

    E assim por diante para os ips que dejesa liberar.

    Esperto ter ajudado, qualquer dúvida é só gritar.

    Abraços