Página 2 de 3 PrimeiroPrimeiro 123 ÚltimoÚltimo
+ Responder ao Tópico



  1. Olá amigo!

    Se eu fosse você tentaria o seguinte

    iptables -A FORWARD -m layer7 --l7proto msnmessenger -d $FULANO -j ACCEPT
    iptables -A FORWARD -m layer7 --l7proto msnmessenger -d $FULANO -j RETURN
    iptables -A FORWARD -m layer7 --l7proto msnmessenger -d $LAN -j DROP

    Eu imagino que ele esta dropando o pessoal que você liberou pois ele continua a ler as regras e quando ele chega "-d $LAN" o endereço que você liberou pertence a $LAN! Por isso eu imagino que ele ta dropando os pacotes!

    O return vai ajudar pois ele quando chegar nesse ponto vai parar de ler essas regras! Tenta isso ai manow!

    Falows!

    André

  2. Zenun, tentei fazer o que vc me disse, mas não deu certo não!!!! Tem outra maneira??/ Alguem pode tentar me ajudar/??



  3. Quando o script substitui as variáveis elas ficam assim por exemplo:

    iptables -A FORWARD -m layer7 --l7proto msnmessenger -d 192.168.2.2 -j ACCEPT
    iptables -A FORWARD -m layer7 --l7proto msnmessenger -d 192.168.2.2 -j RETURN
    iptables -A FORWARD -m layer7 --l7proto msnmessenger -d 192.168.2.0/255.255.255.0 -j DROP

    Claro que não necessariamente esse mesmo ip/rede.
    Como estão as suas outras regras de iptables?

    Falows...
    Última edição por zenun; 19-12-2006 às 19:55.

  4. Sim, ele fica com esses IP's sim....

    Aproveitando a deixa, vou colocar a conf do meu firewall para ver onde estou errado, e queria se alguem ver, analisar ele todo, para ver se tem algo desnecessario.

    OBS: IP'S FICTÍCIOS.......

    # Variaveis usadas no IPTABLES
    LAN=192.168.1.0/24
    WAN=200.122.173.213
    LIDIANE=192.168.1.183
    CAIO=192.168.1.190
    ELIZANGELA=192.168.1.188
    VALNI=192.168.1.157
    FERNANDO=192.168.1.123
    TELMA=192.168.1.122
    SERVIDOR_BD=192.168.1.50
    OLEANDRO=192.168.1.195

    # Limpa todas as regras do IPTABLES anteriores
    iptables -F
    iptables -t nat -F
    iptables -t mangle -F
    iptables -t filter -F

    # Politica padrao da Prefeitura (Bloquear entradas e liberar saidas)
    #iptables -P INPUT DROP
    #iptables -P FORWARD DROP
    #iptables -P OUTPUT ACCEPT

    # ================== PROTECOES CONTRA INVASOES DIVERSAS ================================

    # Protecao contra Worm
    iptables -A FORWARD -p tcp --dport 135 -i eth1 -j DROP

    # Bloqueio contra ataques Spoofing
    #iptables -t nat -A PREROUTING -i eth1 -s 10.0.0.0/8 -j DROP
    #iptables -t nat -A PREROUTING -i eth1 -s 172.16.0.0/16 -j DROP
    #iptables -t nat -A PREROUTING -i eth1 -s $LAN -j DROP

    # Bloqueio contra WinCrash
    iptables -A FORWARD -p tcp --dport 5042 -j DROP

    # Bloqueando Back Orifice
    iptables -A INPUT -p tcp -i $WAN --dport 31337 -j DROP
    iptables -A INPUT -p udp -i $WAN --dport 31337 -j DROP

    # Bloqueando NetBus
    iptables -A INPUT -p tcp -i $WAN --dport 12345:12346 -j DROP
    iptables -A INPUT -p udp -i $WAN --dport 12345:12346 -j DROP

    # Bloqueando Trin00
    iptables -A INPUT -p tcp -i eth1 --dport 1524 -j DROP
    iptables -A INPUT -p tcp -i eth1 --dport 27444 -j DROP
    iptables -A INPUT -p tcp -i eth1 --dport 27665 -j DROP

    iptables -A INPUT -p tcp -i eth1 --dport 31335 -j DROP
    iptables -A INPUT -p tcp -i eth1 --dport 34555 -j DROP
    iptables -A INPUT -p tcp -i eth1 --dport 35555 -j DROP

    # Bloqueando ataques Syn-flood, DoS
    iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT
    echo 1 > /proc/sys/net/ipv4/tcp_syncookies

    # Fechando portas TIME e o SERVER X
    iptables -A INPUT -i eth1 -p tcp --dport 37 -j DROP

    # Bloqueando o Death Ping
    iptables -A FORWARD -p ICMP --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

    # Bloqueando nmap-port scanning
    iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
    iptables -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

    # Bloqueando pacotes quebrados ou suspeitos
    #iptables -A FORWARD -m unclean -j DROP

    # Protecao contra ataques
    iptables -A INPUT -m state --state INVALID -j DROP

    # Bloqueando Tracertroute
    iptables -A INPUT -p udp -s 0/0 -i eth1 --dport 33435:33525 -j DROP

    # ========================================== FIM ============================================

    # Coloca o proxy transparente
    #iptables -t nat -A PREROUTING -s $LAN -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

    # Distribui internet a rede interna
    iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

    # Redireciona a porta do Aplication Server
    iptables -t nat -A PREROUTING -j DNAT -p tcp -i eth1 -d $WAN --dport 10000 --to $SERVIDOR_BD:10000

    # Redirecionar a porta do VNC Repeater para o Servidor de Dados
    iptables -t nat -A PREROUTING -j DNAT -p tcp -i eth1 -d $WAN --dport 5901 --to $SERVIDO_BD:5901

    # Redireciona a porta do FIREBIRD (3050) para o Servidor de Dados
    iptables -t nat -A PREROUTING -j DNAT -p tcp -i eth1 -d $WAN --dport 3050 --to $SERVIDOR_BD:3050

    # Liberar porta para o Net Support Manager (Duralex)
    iptables -A FORWARD -s $LAN -p tcp --dport 3085 -j ACCEPT

    # Uso do TOS para TS, Firebird e FTP
    iptables -t mangle -A OUTPUT -o eth1 -p tcp --dport 3389 -j TOS --set-tos 16
    iptables -t mangle -A PREROUTING -i eth1 -p tcp --sport 3389 -j TOS --set-tos 16
    iptables -t mangle -A OUTPUT -o eth1 -p tcp --dport 3050 -j TOS --set-tos 8
    iptables -t mangle -A PREROUTING -i eth1 -p tcp --sport 3050 -j TOS --set-tos 8
    iptables -t mangle -A OUTPUT -o eth1 -p tcp --dport 21 -j TOS --set-tos 16
    iptables -t mangle -A PREROUTING -i eth1 -p tcp --sport 21 -j TOS --set-tos 16
    iptables -t mangle -A OUTPUT -o eth1 -p tcp --dport 22 -j TOS --set-tos 8
    iptables -t mangle -A PREROUTING -i eth1 -p tcp --sport 22 -j TOS --set-tos 8
    iptables -t mangle -A OUTPUT -o eth1 -p tcp --dport 2401 -j TOS --set-tos 16
    iptables -t mangle -A PREROUTING -i eth1 -p tcp --sport 2401 -j TOS --set-tos 16

    # Bloqueio de internet por IP
    #iptables -A FORWARD -s $LIDIANE -j DROP
    iptables -A FORWARD -s $CAIO -j DROP
    #iptables -A FORWARD -s $OLEANDRO -j DROP
    #iptables -A FORWARD -s 192.168.0.185 -j DROP

    # Bloquear ORKUT via HTTPS
    #for BLOCK_ORKUT in `cat /etc/rc.d/orkut.block`
    #do
    #iptables -A FORWARD -d $BLOCK_ORKUT -p tcp -s $VALNI --dport 443 -j ACCEPT
    #iptables -A INPUT -d $BLOCK_ORKUT -p tcp -s $VALNI --dport 443 -j ACCEPT
    #iptables -A FORWARD -d $BLOCK_ORKUT -p tcp -s $TELMA --dport 443 -j ACCEPT
    #iptables -A INPUT -d $BLOCK_ORKUT -p tcp -s $TELMA --dport 443 -j ACCEPT
    #iptables -A FORWARD -d $BLOCK_ORKUT -p tcp --dport 443 -j DROP
    #iptables -A INPUT -d $BLOCK_ORKUT -p tcp --dport 443 -j DROP
    #done

    # Bloquear todos os programas P2P
    iptables -A FORWARD -m ipp2p --edk --kazaa --gnu --dc --bit --apple --winmx --soul --ares -j DROP


    ############################################ Bloqueio de IM #################################
    # Bloqueando ICQ
    iptables -A FORWARD -p tcp --dport 5190 -j DROP
    iptables -A FORWARD -d login.icq.com -j DROP

    # Bloqueando AIM
    iptables -A FORWARD -d login.oscar.aol.com -j DROP

    # Bloqueando Yahoo Messenger
    iptables -A FORWARD -d cs.yahoo.com -j DROP
    iptables -A FORWARD -d scsa.yahoo.com -j DROP

    # Bloquear MSN
    #for IPVALIDOMSN in `cat /etc/rc.d/ip.msn.valido | cut -f1 -d#`
    #do
    #iptables -A FORWARD -m layer7 --l7proto msnmessenger -s $IPVALIDOMSN -j ACCEPT
    #iptables -A FORWARD -m layer7 --l7proto msnmessenger -s $IPVALIDOMSN -j RETURN
    #iptables -A FORWARD -m layer7 --l7proto msnmessenger -s $LAN -j DROP
    #done

    # ============================================== FIM ===================================

    # ================================ Configuracao para OPENVPN ==========================

    # Libera a porta para conexao com o HOME_FERNANDO e redireciona a porta para o SERVIDOR
    iptables -A INPUT -p udp --dport 64569 -j ACCEPT

    #Permite que pacotes vindo de uma interface TUN/TAP entrem na rede.
    iptables -A INPUT -i tun+ -j ACCEPT
    #iptables -A INPUT -i tap+ -j ACCEPT
    iptables -A FORWARD -i tun+ -j ACCEPT
    #iptables -A FORWARD -i tap+ -j ACCEPT

    # =========================================== FIM =====================================

    # Bloqueio de Downloads e Uploads de arquivos de extensao EXE
    iptables -A FORWARD -m layer7 --l7proto exe -d $LAN -j DROP

    #Bloqueio de streaming de Audio e Video na net
    iptables -A FORWARD -p TCP --dport 554 -j REJECT # Bloqueio Real Player
    iptables -A FORWARD -p TCP --dport 1775 -j REJECT # Bloqueio WindowsMedia
    iptables -A FORWARD -p TCP --dport 7001 -j REJECT # Voz no MSN

    # Bloqueia qualquer tentativa de conexao de fora para dentro por TCP
    #iptables -A INPUT -i eth1 -p tcp --syn -j DROP



  5. Ah cara, dá um

    Código :
    # iptables -n -L

    E posta pra gente.






Tópicos Similares

  1. Problemas Com Layer7
    Por martysouza no fórum Servidores de Rede
    Respostas: 0
    Último Post: 28-02-2007, 09:30
  2. Problema com IPtables+layer7
    Por nikollas no fórum Servidores de Rede
    Respostas: 3
    Último Post: 27-12-2006, 12:13
  3. Problemas com Perl
    Por adcorp no fórum Servidores de Rede
    Respostas: 1
    Último Post: 17-08-2002, 11:52
  4. Problema com o ssh pelo windows !!!
    Por embbr no fórum Servidores de Rede
    Respostas: 1
    Último Post: 01-07-2002, 18:10
  5. problemas com o IMP
    Por marlonfuchs no fórum Servidores de Rede
    Respostas: 0
    Último Post: 27-06-2002, 08:13

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L