+ Responder ao Tópico



  1. #1

    Padrão Ajuda com Iptables no Aprouter 7.1

    Pessoal minha estou com um problema que ja esta me deixando doido
    tenho um roteador wireless wr254 (abocom) com firmware aprouter 7.1 - chipset rtl8186

    Resumo do config do sistema
    Mode de operaçao - gateway nat ativado ( ele esta recebendo o link de internet de um dlink di524)
    Block relay ativado
    Modo b 100mw
    Suporte a iptables com layer 7 e ipp2p

    Agora o problema preciso fazer o seguinte

    Bloquear sites , ips , e portas ( portas consegui mas só pq da para configurar via interface web )
    Bloquear p2p
    Bloquear netbios

    Regras que ja tentei
    Sites e ips=
    iptables -A FORWARD -s 192.168.0.0/24 -d 65.222.92.109 -j DROP
    iptables -A INPUT -s 65.222.92.109 -d 192.168.0.0/24 -j DROP

    Entaum sei que o post é longo mas agradeço qualquer ajuda , acho que um dos problemas é o nat e se algum souber explicar as regras do iptables sei que na net teu alguma coisa mas com o nat muda tudo normalmente para bloquear um site vc usaria algo do tipo :

    iptables -A FORWARD -d YouTube - Broadcast Yourself. -j DROP
    iptables -A INPUT -d YouTube - Broadcast Yourself. -j DROP
    iptables -A FORWARD -d youtube.com -j DROP
    iptables -A INPUT -d youtube.com -j DROP

    Mas simplesmente naum funciona ajuda ai galera que o povo ta me travando o sistema todo com o p2p e sites de video agradeço mesmo qualquer ajuda

    Ah e ia tentar essas regras mas naum sei se estao certas ( e naum posso ficar reiniciando o sistema pois to com carga de 4 a 8 usuarios e fica feio a net cair de 5 em 5 minutos )
    193.69.116.19=site do opera tb naum sei se ele aceita colocar o nome do site ou se eu teria que usar o --string que naum sei se esta disponivel.
    No caso o ip é do Opera Web Browser soh para teste
    1-
    iptables -I FORWARD -p tcp -d 193.69.116.19 -j DROP
    2-
    iptables -t nat -I PREROUTING -p tcp -d 193.69.116.19 -j DROP
    3-
    iptables -t nat -I FORWARD -p tcp -d 193.69.116.19 -j DROP

    Minhas regras no script pessoal para p2p -(mas o emule ainda conecta)

    iptables -t nat -I PREROUTING -m ipp2p --edk --kazaa --bit --gnu --dc --ares --soul --winmx --apple -j DROP

    iptables -t nat -I PREROUTING -p tcp -m iplimit --iplimit-above 8 -j DROP

    Ahh e mais uma coisa o -A FORWARD realmente parece naum funcionar , nao sei se o iptables soh aceita ips ou se é o comando errado por causa do nat mas pelo que eu andei vendo tambem posso bloquear por interface certo ? Seria o caso de usar o --string para pegar o nome do site .

    Todo mundo na net bloqueia sites e ips com o iptables mas no aprouter a coisa ta dificil , e olha que naum to mal de linux , ate o dlink 524 que é um router fraquinho faz isso é de deixar qualquer um doido( soh que o dlink esquenta demais com excesso de trafego)

    bem Valeu galera qualquer ajuda é bem vinda

  2. #2

    Padrão

    ### COMANDOS DO FIREWALL
    BLOQUEAR IPP2P
    iptables -t nat -I PREROUTING -m ipp2p --edk --kazaa --bit -j DROP
    mais examplos: Official IPP2P homepage

    LAYER7
    iptables -t nat -I PREROUTING -m layer7 --l7proto proto -j DROP
    mais exemplos: Application Layer Packet Classifier for Linux

    IPLIMIT
    iptables -t nat -I PREROUTING -p tcp -m iplimit --iplimit-above 20 -j DROP
    mais exemplos: Patch-o-matic base patch listing

    UDPLIMIT
    iptables -t nat -I PREROUTING -p udp -m udplimit --udplimit-above 20 -j DROP

    TIME
    exemplos: Patch-o-matic base patch listing

    Esses comandos eu recebi do proprio suporte da italbras.
    Abraço amigo!



  3. #3

    Padrão

    Valeu Ronaldo vou testar e depois posto aqui

  4. #4

    Padrão

    nao funcionou , estou colocando em script pessoal, vou tentar via ssh para ver se consigo , mas quando dei o comando iptables -L ele nao mostrou as regras ativadas



  5. #5

    Padrão

    Citação Postado originalmente por FIREFLY Ver Post
    nao funcionou , estou colocando em script pessoal, vou tentar via ssh para ver se consigo , mas quando dei o comando iptables -L ele nao mostrou as regras ativadas
    aqui eu fiz um script limitando numero de conexoes p/ cada ip (iplimit.sh), tornei ele executavel (chmod +x iplimit.sh) e coloquei uma referência a ele no final do init.sh (/etc/iplimit.sh)

    Apos isso, digite salvar

    Lembre-se que o o comando salvar, salva apenas o que esta na pasta /etc/ do aprouter. Logo, se vc criar o script em qualquer outra pasta, o mesmo será perdido assim que vc reiniciar o AP.
    Veja nos sites do post diversos exemplos de utilização.
    Vc utilizou nos script pessoal e reiniciou o AP, apos colocar la as regras?
    Arquivos Anexos Arquivos Anexos

  6. #6

    Padrão

    Pois é entrei via web coloquei as regras no script pessoal clickei em salvar e depois aplicar modificaçoes esperei o ap reiniciar mas simplesmente parece naum funcionar o skype continua entrando a unica coisa que parece funcionar sao algumas regras do ipp2p mas ai tb nao sei se é ele que esta bloqueando a rede gnutela e o limewire ou se sao as portas bloqueadas ( coloquei no filtro de portas de 3200-6500) .

    No caso como é que eu faço a referencia no init.sh ao iplimit.sh ? Tb pena que naum parece funcionar via web naum queria mexer muito no sistema .



  7. #7

    Padrão

    p/ vc bloquear o skype so pelo layer7, pq ele conecta em qualquer porta, ate mesmo a 80 (como o msn).

    P/ fazer o procedimento como no post acima, tem que ser por ssh.

  8. #8

    Padrão

    Bem valeu a ajuda realmente o script pessoal naum aceita nada mesmo , vou dar mais uma pesquisada e tentar o esquema que vc passou , e acho que no fim das contas vou comprar o wappro que ja tem o bloqueio por layer7 atraves da interface web ao menos ja ta mais avançado que o aprouter em termos de facilidade .

    Abraços obrigado pelas dicas .



  9. #9

    Padrão

    Eu ainda nao vi o wappro em funcionamento. A propaganda é boa, mas nao testei ele ainda.

  10. #10
    naelsilva3
    Visitante

    Unhappy nao funciona

    uso o aprouter desde a versao 5.3
    o script pessoal nao funciona de forma alguma, nem mesmo se o fizer via ssh como descrito acima, nao funciona mesmo, ja testei inumeras vezes com a versao 6 e 6.1.



  11. #11

    Padrão

    Antoni... dá uma explicacao ai pra rapaziada do que é o tráfego NETBIOS em uma rede e um comando do iptables para bloquea-lo

    Abraços meu veio

  12. #12

    Padrão

    P/ bloquear o netbios é só fechar as portas que ele usa.
    O netbios é o protocoo usado pelo windows para enxergar os outros micros da rede.



  13. #13

    Padrão

    Citação Postado originalmente por naelsilva3 Ver Post
    uso o aprouter desde a versao 5.3
    o script pessoal nao funciona de forma alguma, nem mesmo se o fizer via ssh como descrito acima, nao funciona mesmo, ja testei inumeras vezes com a versao 6 e 6.1.
    Então como todos os outros users conseguem???