+ Responder ao Tópico



  1. #1

    Padrão Regra para bloquer MSN

    Pessoal depois de recompilado e instalado o iptables com os patchs de Layer 7 como faço para saber se esta realmente funcionando., queria criar uma regra para bloquear o uso do msnmessenger e o windows live messenger.

  2. #2

    Padrão

    para testar se está funcionando você pode aplicar algumas regras...

    bloquear msn layer7 - Pesquisa Google

    valeu

  3. #3

    Padrão

    Ficou complicado de testar agora pq tentando usar o proxy transparente as pessoas não conseguem se quer navegar o que faço?? só navegam se eu for no navegador e colocar la o endereço do proxy e a porta.

  4. #4

    Padrão

    Olha o erro que da no navegador

    The following error was encountered:

    Invalid Request
    Some aspect of the HTTP Request is invalid. Possible problems:

    Missing or unknown request method
    Missing URL
    Missing HTTP Identifier (HTTP/1.0)
    Request is too large
    Content-Length missing for POST or PUT requests
    Illegal character in hostname; underscores are not allowed

  5. #5

    Padrão

    Pessoal será que o problema pode ser o iptables ?? olha só quando uso o comando modprobe

    [root@Informatica2 ~]# modprobe iptables
    FATAL: Module iptables not found.

  6. #6

    Padrão

    cara...

    como tá sua regra de redirecionamento para a porta do proxy?

    com o comando "lsmod" você consegue identificar algum módulo do iptables???

  7. #7

    Padrão

    O comando que vc indicou retornou isso:

    [root@Informatica2 ~]# lsmod
    Module Size Used by
    ipt_layer7 16772 1
    ipt_REDIRECT 6784 1
    xt_state 6400 2
    xt_limit 7040 1
    xt_mac 6144 3
    xt_tcpudp 7296 94
    i915 23552 2
    drm 80276 3 i915
    ip_nat_ftp 7808 0
    iptable_nat 12164 1
    ipt_MASQUERADE 8448 2
    ip_nat 22956 4 ipt_REDIRECT,ip_nat_ftp,iptable_nat,ipt_MASQUERADE
    ip_conntrack_ftp 12176 1 ip_nat_ftp
    ip_conntrack 58436 7 ipt_layer7,xt_state,ip_nat_ftp,iptable_nat,ipt_MASQUERADE,ip_nat,ip_conntrack_ftp
    nfnetlink 11288 2 ip_nat,ip_conntrack
    ipt_LOG 10752 18
    ipt_TOS 6528 70
    iptable_mangle 7168 1
    iptable_filter 7296 1
    ip_tables 18116 3 iptable_nat,iptable_mangle,iptable_filter
    x_tables 19972 11 ipt_layer7,ipt_REDIRECT,xt_state,xt_limit,xt_mac,xt_tcpudp,iptable_nat,ipt_MASQUERADE,ipt_LOG,ipt_TOS,ip_tables
    autofs4 25604 2
    hidp 24448 2
    l2cap 31872 5 hidp
    bluetooth 61796 2 hidp,l2cap
    sunrpc 164284 1
    fuse 49940 4
    dm_mirror 26832 0
    dm_multipath 23176 0
    dm_mod 62872 2 dm_mirror,dm_multipath
    video 21124 0
    sbs 20160 0
    i2c_ec 9344 1 sbs
    button 11152 0
    battery 14596 0
    ac 9604 0
    ipv6 272576 22
    lp 16968 0
    sg 38940 0
    snd_intel8x0 37148 1
    snd_ac97_codec 99748 1 snd_intel8x0
    snd_ac97_bus 6656 1 snd_ac97_codec
    i2c_i801 11916 0
    snd_seq_dummy 8196 0
    floppy 61540 0
    iTCO_wdt 15044 0
    i2c_core 26112 2 i2c_ec,i2c_i801
    ide_cd 42528 0
    snd_seq_oss 37120 0
    snd_seq_midi_event 11904 1 snd_seq_oss
    snd_seq 57072 5 snd_seq_dummy,snd_seq_oss,snd_seq_midi_event
    serio_raw 11396 0
    snd_seq_device 12428 3 snd_seq_dummy,snd_seq_oss,snd_seq
    8139too 31232 0
    8139cp 28288 0
    cdrom 38816 1 ide_cd
    pcspkr 7424 0
    snd_pcm_oss 46336 0
    snd_mixer_oss 20608 1 snd_pcm_oss
    tg3 108036 0
    mii 9728 2 8139too,8139cp
    snd_pcm 81156 3 snd_intel8x0,snd_ac97_codec,snd_pcm_oss
    parport_pc 31396 1
    parport 40776 2 lp,parport_pc
    cdc_acm 20000 0
    snd_timer 26628 2 snd_seq,snd_pcm
    snd 58244 11 snd_intel8x0,snd_ac97_codec,snd_seq_oss,snd_seq,snd_seq_device,snd_pcm_oss,snd_mixer_oss,snd_pcm,snd_timer
    soundcore 12384 1 snd
    snd_page_alloc 14472 2 snd_intel8x0,snd_pcm
    ata_piix 19848 3
    libata 107028 1 ata_piix
    sd_mod 24960 4
    scsi_mod 140588 3 sg,libata,sd_mod
    ext3 135816 1
    jbd 63144 1 ext3
    ehci_hcd 34952 0
    ohci_hcd 24324 0
    uhci_hcd 27788 0
    [root@Informatica2 ~]#

  8. #8

    Padrão

    meu arquivop de firewall
    #!/bin/sh
    #

    #=================================================================
    # MODULOS A SEREM CARREGADOS
    # ================================================================

    echo "Carregando mdulos...."

    modprobe \*
    modprobe iptable_filter
    modprobe iptable_mangle
    modprobe ipt_TOS
    modprobe ipt_LOG
    modprobe ip_conntrack
    modprobe ip_conntrack_ftp
    modprobe ipt_MASQUERADE
    modprobe iptable_nat
    modprobe ip_nat_ftp

    # ================================================================
    # LIMPAR REGRAS
    # ================================================================

    echo "Limpando regras..."

    iptables -Z
    iptables -t nat -F
    iptables -F
    iptables -X
    iptables -F -t nat
    iptables -X -t nat
    iptables -F -t filter
    iptables -X -t filter


    ########### TABELA FILTER ############

    echo "Iniciando tabela : FILTER...."

    iptables -t filter -P INPUT ACCEPT
    iptables -t filter -P OUTPUT ACCEPT
    iptables -t filter -P FORWARD ACCEPT

    ########### TABELA NAT ############

    echo "Iniciando tabela : NAT.... "

    iptables -t nat -P PREROUTING ACCEPT
    iptables -t nat -P OUTPUT ACCEPT
    iptables -t nat -P POSTROUTING DROP

    ########### TABELA MANGLE ############

    echo "Iniciando tabela : MANGLE...."

    iptables -t mangle -P PREROUTING ACCEPT
    iptables -t mangle -P OUTPUT ACCEPT

    #iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 192.168.1.3
    #iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT --to 192.168.1.3

    ################################################
    # Determina a política padrão
    #iptables -P INPUT DROP
    #iptables -P FORWARD DROP
    ########################################


    #----------
    # Regras para funcionamento do Conectividade Social da CEF
    #----------
    iptables -t nat -A PREROUTING -d 200.201.174.202 -p tcp -m tcp --dport 80 -j DNAT --to-destination 200.201.174.202:80
    iptables -t nat -A PREROUTING -d 200.201.174.203 -p tcp -m tcp --dport 80 -j DNAT --to-destination 200.201.174.203:80
    iptables -t nat -A PREROUTING -d 200.201.174.204 -p tcp -m tcp --dport 80 -j DNAT --to-destination 200.201.174.204:80
    iptables -t nat -A PREROUTING -d 200.201.174.205 -p tcp -m tcp --dport 80 -j DNAT --to-destination 200.201.174.205:80
    iptables -t nat -A PREROUTING -d 200.201.174.206 -p tcp -m tcp --dport 80 -j DNAT --to-destination 200.201.174.206:80
    iptables -t nat -A PREROUTING -d 200.201.174.207 -p tcp -m tcp --dport 80 -j DNAT --to-destination 200.201.174.207:80
    iptables -t nat -A PREROUTING -d 200.201.174.208 -p tcp -m tcp --dport 80 -j DNAT --to-destination 200.201.174.208:80
    iptables -t nat -A PREROUTING -d 200.201.174.209 -p tcp -m tcp --dport 80 -j DNAT --to-destination 200.201.174.209:80

    ###### PROTECAO CONTRA IP SPOOFING ############

    echo "Proteᅵo contra : IP SPOOFING..."

    iptables -A INPUT -s 10.0.0.0/8 -i eth0 -j ACCEPT
    iptables -A INPUT -s 172.16.0.0/16 -i eth0 -j ACCEPT
    iptables -A INPUT -s 192.168.0.0/24 -i eth0 -j ACCEPT

    ########### PROTECAO CONTRA PING ############

    echo "Proteᅵo contra : PING"

    iptables -A INPUT -s 200.139.12.0/24 -p icmp --icmp-type echo-request -i eth0 -j ACCEPT


    ########### PROTECAO CONTRA PING OF DEATH ############

    echo "Proteᅵo contra : PING DA MORTE"

    ############iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT


    ########### PROTECAO CONTRA SYS-FLOODS ############

    echo "Proteᅵo contra : SYS-FLOODS"

    #iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT



    ########### PROTECAO CONTRA PORT SCANNERS ############

    echo "Proteᅵo contra : PORT SCANNERS"

    #iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

    ###### PROTECAO CONTRA PACOTES DANIFICADOS OU SUSPEITOS

    echo "Proteᅵo contra : PACOTES DANIFICADOS"

    #iptables -A FORWARD -m unclean -j DROP

    # ================================================================
    # ATIVANDO O REDIRECIONAMENTO DE PACOTES (NAT)
    # ================================================================

    echo "Ativando o ip_forward"

    echo 1 > /proc/sys/net/ipv4/ip_forward

    # ================================================================
    # TABELA FILTER
    # ================================================================

    # Criamos uma chain que sera usada para tratar o trafego vindo da internet

    echo "Criando chain de entrada..."

    iptables -N eth0-input

    # ########## ACEITA AS CONEXOES VINDO DA LOOPBACK E INDO PARA A LOOPBACK

    echo "Criando regra de loopback...."

    iptables -A INPUT -i lo -j ACCEPT


    # ########## TODO O TRAFEGO VINDO DA REDE INTERNA SERA ACEITO #########

    echo "Criando regra para Intranet...."

    iptables -A INPUT -s 192.168.1.0/24 -i eth1 -j ACCEPT
    iptables -A INPUT -s 200.139.12.0/24 -i eth1 -j ACCEPT


    # ### CONEXOES VINDAS DA ETH0 SERAO TRATADAS PELA CHAIN ETH0-INPUT ########

    echo "Regra de tratamento de entrada..."

    iptables -A INPUT -i eth0 -j eth0-input

    ### QUALQUER OUTRA CONEXᅵ DESCONHECIDA E IMEDIATAMENTE REGISTRADA E
    ### DERRUBADA

    echo "Regra geral..."

    iptables -A INPUT -j LOG --log-prefix "FIREWALL: INPUT "
    iptables -A INPUT -j ACCEPT

    ############# CHAIN FORWARD ##########################

    echo "Chain Forward..."

    iptables -A FORWARD -d 192.168.1.0/24 -i eth0 -o eth1 -j ACCEPT
    iptables -A FORWARD -s 192.168.1.0/24 -i eth1 -o eth0 -j ACCEPT

    iptables -A FORWARD -d 200.139.12.0/24 -i eth0 -o eth1 -j ACCEPT
    iptables -A FORWARD -s 200.139.12.0/24 -i eth1 -o eth0 -j ACCEPT

    iptables -A FORWARD -j LOG --log-prefix "FIREWALL: FORWARD "
    iptables -A FORWARD -j ACCEPT

    ### CHAIN ETH0-INPUT ######

    echo "Chain etho-input..."

    ###### Aceitamos todas as mensagens icmp vindas de eth0 com certa limitaᅵo #########
    iptables -A eth0-input -p icmp -m limit --limit 2/s -j ACCEPT

    iptables -A eth0-input -p tcp --dport 21 -j LOG --log-prefix "FIREWALL: ftp "
    iptables -A eth0-input -p tcp --dport 22 -j LOG --log-prefix "Porta SSH"
    iptables -A eth0-input -p tcp --dport 23 -j LOG --log-prefix "Porta TELNET"
    iptables -A eth0-input -p tcp --dport 25 -j LOG --log-prefix "FIREWALL: smtp "
    iptables -A eth0-input -p udp --dport 53 -j LOG --log-prefix "FIREWALL: dns "
    iptables -A eth0-input -p tcp --dport 113 -j LOG --log-prefix "FIREWALL: identd "

    iptables -A eth0-input -p udp --dport 111 -j LOG --log-prefix "FIREWALL: rpc"
    iptables -A eth0-input -p tcp --dport 111 -j LOG --log-prefix "FIREWALL: rpc"

    iptables -A eth0-input -p tcp --dport 3000 -j LOG --log-prefix " FIREWALL: squid "

    iptables -A eth0-input -p tcp --dport 137:139 -j LOG --log-prefix "FIREWALL: samba "
    # iptables -A eth0-input -p udp --dport 137:139 -j LOG --log-prefix "FIREWALL: samba "

    iptables -A eth0-input -p tcp --dport 5042 -j LOG --log-prefix "Servico: Wincrash"

    iptables -A eth0-input -p tcp --dport 12345 -j LOG --log-prefix "Servico: BackOrifice"

    # Bloqueia qualquer tentativa de nova conexᅵ de fora para esta mᅵuina

    iptables -A eth0-input -m state --state ! ESTABLISHED,RELATED -j LOG --log-prefix "FIREWALL: eth0-in "
    iptables -A eth0-input -m state --state ! ESTABLISHED,RELATED -j DROP

    # Qualquer outro tipo de trᅵego ᅵaceito
    iptables -A eth0-input -j ACCEPT

    # ================================================================
    # TABELA NAT
    # ================================================================

    ##### Chain POSTROUTING #####
    # Permite qualquer conexᅵ vinda com destino a lo e rede local para eth1
    iptables -t nat -A POSTROUTING -o lo -j ACCEPT
    iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth1 -j ACCEPT


    iptables -t nat -A POSTROUTING -s 200.139.12.0/24 -o eth1 -j ACCEPT



    iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE

    iptables -t nat -A POSTROUTING -s 200.139.12.0/24 -o eth0 -j MASQUERADE


    iptables -t nat -A POSTROUTING -o eth1 -d 192.168.1.0/24 -j LOG --log-prefix "FIREWALL: SNAT unknown"
    iptables -t nat -A POSTROUTING -o eth1 -d 192.168.1.0/24 -j DROP

    iptables -t nat -A POSTROUTING -o eth1 -d 200.139.12.0/24 -j LOG --log-prefix "FIREWALL: SNAT unknown"
    iptables -t nat -A POSTROUTING -o eth1 -d 200.139.12.0/24 -j DROP

    # ================================================================
    # TABELA MANGLE
    # ================================================================


    iptables -t mangle -A OUTPUT -o eth0 -p tcp --dport 21 -j TOS --set-tos 0x10
    iptables -t mangle -A OUTPUT -o eth0 -p tcp --dport 23 -j TOS --set-tos 0x10
    iptables -t mangle -A OUTPUT -o eth0 -p tcp --dport 6665:6668 -j TOS --set-tos 0x10
    iptables -t mangle -A OUTPUT -o eth0 -p udp --dport 53 -j TOS --set-tos 0x10

    # TAMBEM PARA HTTP
    iptables -t mangle -A OUTPUT -o eth0 -p tcp --dport 80 -j TOS --set-tos 0x10

    ##############################################################
    #
    # ATIVANDO O PROXY TRANSPARENTE
    #
    #############################################################

    iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

    # O trᅵego que entrar pela eth1 (rede local) e que solicitar conexᅵ
    # na porta 80 (www) serᅵredirecionado para a porta 3000 (proxy)

    # Obs : ver configuraᅵes adicionais no squid.conf (httpd_accel)

    #######################################################################
    echo "================================================================"
    echo " FIM DO FIREWALL"
    echo "================================================================"

  9. #9

    Padrão

    Citação Postado originalmente por lucianogf Ver Post
    cara...

    como tá sua regra de redirecionamento para a porta do proxy?

    com o comando "lsmod" você consegue identificar algum módulo do iptables???
    cara...

    se você mandar tudo pra mim não vai adiantar nada...

    tente responder as duas perguntas acima...

  10. #10

    Padrão

    ok amigão foi mal ta dessa forma:
    # ATIVANDO O REDIRECIONAMENTO DE PACOTES (NAT)

    echo "Ativando o ip_forward"

    echo 1 > /proc/sys/net/ipv4/ip_forward

    # ATIVANDO O PROXY TRANSPARENTE

    iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

    Com relação ao lsmod tassim :
    [root@Informatica2 ~]# lsmod
    Module Size Used by
    ipt_layer7 16772 1
    ipt_REDIRECT 6784 1
    xt_state 6400 2
    xt_limit 7040 1
    xt_mac 6144 3
    xt_tcpudp 7296 94
    i915 23552 2
    drm 80276 3 i915
    ip_nat_ftp 7808 0
    iptable_nat 12164 1
    ipt_MASQUERADE 8448 2
    ip_nat 22956 4 ipt_REDIRECT,ip_nat_ftp,iptable_nat,ipt_MASQUERADE
    ip_conntrack_ftp 12176 1 ip_nat_ftp
    ip_conntrack 58436 7 ipt_layer7,xt_state,ip_nat_ftp,iptable_nat,ipt_MAS QUERADE,ip_nat,ip_conntrack_ftp
    nfnetlink 11288 2 ip_nat,ip_conntrack
    ipt_LOG 10752 18
    ipt_TOS 6528 70
    iptable_mangle 7168 1
    iptable_filter 7296 1

  11. #11

    Padrão

    cara...

    não se ofenda... nada pessoal, mas com aquelas perguntas que fiz são mais pra você mesmo verificar se está tudo oq do que eu ver...

    faça uma análise do que eu perguntei...

    veja que em uma resposta você colocou que não conseguiu subir o módulo iptables, mas veja também que os módulos estão carregados normalmente...

    e a regra de redirecionamento está ok também, aparentemente está OK...

    a eth ligada a rede interna é a eth1??

  12. #12

    Padrão

    Obrigado ai pela atençãoe pela paciencia.

    sim é dessa forma :

    eth0: meu IP real
    eth1: 192.168.1.104

    Ta complidissimo ., o msn não bloqueia, e não consigo navegar

  13. #13

    Padrão

    Kra eu bloqueio o msn pelo iptables assim:

    # Bloqueia msn
    iptables -t filter -A FORWARD -s 192.168.0.0/27 -p tcp --dport 1863 -j DROP
    iptables -t filter -A FORWARD -d 192.168.0.0/27 -s loginnet.passport.com -j DROP
    iptables -A FORWARD -s 192.168.0.15/27 -p tcp --dport 1863 -j ACCEPT
    iptables -A FORWARD -s 192.168.0.15/27 -d loginnet.passport.com -j ACCEPT
    iptables -A FORWARD -p tcp --dport 1863 -j REJECT
    iptables -A FORWARD -d loginnet.passport.com -j REJECT
    iptables -t filter -A INPUT -d 72.232.16.75 -j DROP
    iptables -t filter -A FORWARD -d 72.232.16.75 -j DROP
    iptables -t filter -A OUTPUT -d 72.232.16.75 -j DROP

    tenho isso em 2 servers rodando e nunca tive problema...

  14. #14

    Padrão

    Olha, eu dei uma olhada rápida no seu script de firewall e eu gostaria de dar algumas sugestões para você.

    A primeira é: Quando nós escrevemos um script pequeno, tudo bem, mas quando nós começamos a escrever scripts maiores, é interessante dividir as regras em funções e criar novas chains.

    A segunda é: O iptables trabalha da seguinte maneira: Ele pega um pacote e vai comparando os dados do cabeçalho TCP/IP nas regras. Se ele tromba uma regra que casa e que libera primeiro e depois só que vem uma regra que bloqueia, ele vai ignorar a que bloqueia.

    A terceira é: Quando nós vamos recompilar o kernel, depois de aplicado o patch, nos é permitido habilitar também o suporte a um output que é mostrado dentro do arquivo /var/log/syslog. De vez em quando eu gosto de habilitar tal suporte.

    A quarta é: O nome do módulo para iptables não é "iptables", mas sim "ip_tables".

    A quinta é: Tente fazer o seguinte: Pegue o seu script de firewall e corte toda a gordura e deixe só o quê interessa. Nesses casos, é até melhor escrever um outro do zero. E teste para ver se consegue alguma coisa. Geralmente eu recomendo isso porque fica mais fácil de ir cercando a ordem que está dando problema no comportamento do firewall.



    Abraços!

  15. #15

    Padrão

    Pessoal descobri o motivo de não conseguir navegar o problema é que versão do squid que tava usando requeria uma regra diferente para que p proxy transparente funcionasse.,
    # NETWORK OPTIONS
    http_port 192.168.1.0:3128 transparent

    Com relação ao bloqueio do msn percebi que o msmmessenger bloqueia sem problemas ., ja o windows live messenger não consigo bloquer será que tem que ser aplicada uma regra especifica prar esse carinha?

    a regra que to usando é a seguinte
    iptables -A FORWARD -m layer7 --l7proto msnmessenger -j DROP

  16. #16

    Padrão

    cara...

    essa mesma questão está sendo discutida em outro tópico...
    https://under-linux.org/forums/proxy...tml#post245419