Ajuda com Iptables no Aprouter 7.1

[FIREFLY]

Pessoal minha estou com um problema que ja esta me deixando doido
tenho um roteador wireless wr254 (abocom) com firmware aprouter 7.1 - chipset rtl8186

Resumo do config do sistema
Mode de operaçao - gateway nat ativado ( ele esta recebendo o link de internet de um dlink di524)
Block relay ativado
Modo b 100mw
Suporte a iptables com layer 7 e ipp2p

Agora o problema preciso fazer o seguinte

Bloquear sites , ips , e portas ( portas consegui mas só pq da para configurar via interface web )
Bloquear p2p
Bloquear netbios

Regras que ja tentei
Sites e ips=
iptables -A FORWARD -s 192.168.0.0/24 -d 65.222.92.109 -j DROP
iptables -A INPUT -s 65.222.92.109 -d 192.168.0.0/24 -j DROP

Entaum sei que o post é longo mas agradeço qualquer ajuda , acho que um dos problemas é o nat e se algum souber explicar as regras do iptables sei que na net teu alguma coisa mas com o nat muda tudo normalmente para bloquear um site vc usaria algo do tipo :

iptables -A FORWARD -d YouTube - Broadcast Yourself. -j DROP
iptables -A INPUT -d YouTube - Broadcast Yourself. -j DROP
iptables -A FORWARD -d youtube.com -j DROP
iptables -A INPUT -d youtube.com -j DROP

Mas simplesmente naum funciona ajuda ai galera que o povo ta me travando o sistema todo com o p2p e sites de video agradeço mesmo qualquer ajuda

Ah e ia tentar essas regras mas naum sei se estao certas ( e naum posso ficar reiniciando o sistema pois to com carga de 4 a 8 usuarios e fica feio a net cair de 5 em 5 minutos )
193.69.116.19=site do opera tb naum sei se ele aceita colocar o nome do site ou se eu teria que usar o --string que naum sei se esta disponivel.
No caso o ip é do Opera Web Browser soh para teste
1-
iptables -I FORWARD -p tcp -d 193.69.116.19 -j DROP
2-
iptables -t nat -I PREROUTING -p tcp -d 193.69.116.19 -j DROP
3-
iptables -t nat -I FORWARD -p tcp -d 193.69.116.19 -j DROP

Minhas regras no script pessoal para p2p -(mas o emule ainda conecta)

iptables -t nat -I PREROUTING -m ipp2p --edk --kazaa --bit --gnu --dc --ares --soul --winmx --apple -j DROP

iptables -t nat -I PREROUTING -p tcp -m iplimit --iplimit-above 8 -j DROP

Ahh e mais uma coisa o -A FORWARD realmente parece naum funcionar , nao sei se o iptables soh aceita ips ou se é o comando errado por causa do nat mas pelo que eu andei vendo tambem posso bloquear por interface certo ? Seria o caso de usar o --string para pegar o nome do site .

Todo mundo na net bloqueia sites e ips com o iptables mas no aprouter a coisa ta dificil , e olha que naum to mal de linux , ate o dlink 524 que é um router fraquinho faz isso é de deixar qualquer um doido( soh que o dlink esquenta demais com excesso de trafego)

bem Valeu galera qualquer ajuda é bem vinda

[antoni]

### COMANDOS DO FIREWALL
BLOQUEAR IPP2P
iptables -t nat -I PREROUTING -m ipp2p --edk --kazaa --bit -j DROP
mais examplos: Official IPP2P homepage

LAYER7
iptables -t nat -I PREROUTING -m layer7 --l7proto proto -j DROP
mais exemplos: Application Layer Packet Classifier for Linux

IPLIMIT
iptables -t nat -I PREROUTING -p tcp -m iplimit --iplimit-above 20 -j DROP
mais exemplos: Patch-o-matic base patch listing

UDPLIMIT
iptables -t nat -I PREROUTING -p udp -m udplimit --udplimit-above 20 -j DROP

TIME
exemplos: Patch-o-matic base patch listing

Esses comandos eu recebi do proprio suporte da italbras.
Abraço amigo!

[FIREFLY]

Valeu Ronaldo vou testar e depois posto aqui

[FIREFLY]

nao funcionou , estou colocando em script pessoal, vou tentar via ssh para ver se consigo , mas quando dei o comando iptables -L ele nao mostrou as regras ativadas

[antoni]

nao funcionou , estou colocando em script pessoal, vou tentar via ssh para ver se consigo , mas quando dei o comando iptables -L ele nao mostrou as regras ativadas

aqui eu fiz um script limitando numero de conexoes p/ cada ip (iplimit.sh), tornei ele executavel (chmod +x iplimit.sh) e coloquei uma referência a ele no final do init.sh (/etc/iplimit.sh)

Apos isso, digite salvar

Lembre-se que o o comando salvar, salva apenas o que esta na pasta /etc/ do aprouter. Logo, se vc criar o script em qualquer outra pasta, o mesmo será perdido assim que vc reiniciar o AP.
Veja nos sites do post diversos exemplos de utilização.
Vc utilizou nos script pessoal e reiniciou o AP, apos colocar la as regras?

[FIREFLY]

Pois é entrei via web coloquei as regras no script pessoal clickei em salvar e depois aplicar modificaçoes esperei o ap reiniciar mas simplesmente parece naum funcionar o skype continua entrando a unica coisa que parece funcionar sao algumas regras do ipp2p mas ai tb nao sei se é ele que esta bloqueando a rede gnutela e o limewire ou se sao as portas bloqueadas ( coloquei no filtro de portas de 3200-6500) .

No caso como é que eu faço a referencia no init.sh ao iplimit.sh ? Tb pena que naum parece funcionar via web naum queria mexer muito no sistema .

[antoni]

p/ vc bloquear o skype so pelo layer7, pq ele conecta em qualquer porta, ate mesmo a 80 (como o msn).

P/ fazer o procedimento como no post acima, tem que ser por ssh.

[FIREFLY]

Bem valeu a ajuda realmente o script pessoal naum aceita nada mesmo , vou dar mais uma pesquisada e tentar o esquema que vc passou , e acho que no fim das contas vou comprar o wappro que ja tem o bloqueio por layer7 atraves da interface web ao menos ja ta mais avançado que o aprouter em termos de facilidade .

Abraços obrigado pelas dicas .

[antoni]

Eu ainda nao vi o wappro em funcionamento. A propaganda é boa, mas nao testei ele ainda.

[naelsilva3]

uso o aprouter desde a versao 5.3
o script pessoal nao funciona de forma alguma, nem mesmo se o fizer via ssh como descrito acima, nao funciona mesmo, ja testei inumeras vezes com a versao 6 e 6.1.

[doidopombal]

Antoni... dá uma explicacao ai pra rapaziada do que é o tráfego NETBIOS em uma rede e um comando do iptables para bloquea-lo

Abraços meu veio

[antoni]

P/ bloquear o netbios é só fechar as portas que ele usa.
O netbios é o protocoo usado pelo windows para enxergar os outros micros da rede.

[doidopombal]

uso o aprouter desde a versao 5.3
o script pessoal nao funciona de forma alguma, nem mesmo se o fizer via ssh como descrito acima, nao funciona mesmo, ja testei inumeras vezes com a versao 6 e 6.1.

Então como todos os outros users conseguem???