IPTABLES FOWARD PADRAO DROP, NAO LER OS ACCEPTS
ReiserFS
nao sei se vc percebeu.. mais essa regra aqui de protecao..
iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
isso deixa qualquer porta sobre o protocolo tcp seja aceita.. porem a unica coisa que ela ira fazer é limitar as aberturas de conexao em 1 vez por segundo..
tire essa regra que o resto ira funcionar como vc quer..
vc tem que saber como usar essas protecoes.. no seu script essa regra vai atrapalhar.. pois ele nao limita portas.. apenas aberturas de conexoes..
IPTABLES FOWARD PADRAO DROP, NAO LER OS ACCEPTS
humm beleza vou tentar mas creio que nao vai pegar pq ja testei tirando essas protecoes ai. e colocando o que o psy falou, tipo antes estava assim com voce falou e tabem nao pegava, mas vou tentar
tipo mudar dakilo que voce falou psy para como esta agora
iptables -A FORWARD -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -p tcp --dport 110 -j ACCEPT
acho q nao muda muito mas vou tentar
vlw ai
IPTABLES FOWARD PADRAO DROP, NAO LER OS ACCEPTS
pow nao rolou ainda,eu tentei algo diferente mas tb nao rolou saca isso:
colokei pra logar o foward e ver oq ta acontecendo:
iptables -A FORWARD -j LOG --log-prefix "FORWARD PACKETS:"
depois criei umas regras assim:
iptables -A FORWARD -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -p tcp --dport 110 -j ACCEPT
iptables -A FORWARD -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -p udp --dport 53 -j ACCEPT
bom depois vi que eu tinha que liberar portas do src para comunicacao
iptables -A FORWARD -p tcp --sport 1:9999 -j ACCEPT
depois fechei o resto:
iptables -A FORWARD -p tcp --dport 1:24 -j DROP
iptables -A FORWARD -p tcp --dport 26:52 -j DROP
iptables -A FORWARD -p tcp --dport 54:109 -j DROP
iptables -A FORWARD -p tcp --dport 111:9999 -j DROP
o padrao do FORWARD em drop. iptables -P FORWARD DROP
bom ai eu fui testar em um pc cliente
WEB - Usa proxy do server OK
EMAIL - Usa SMTP do SERVER e o POP e um ip do server redirecionado para o pop na net OK
DNS - Nao resolve nome, mas nao tem pro pq o squid resolve.
MSN - KAZAA - Infelizmente essas bostas funcionaram.
colocando o FORWARD com padrao em ACCEPT o DNS funciona. mas nao vem em conta.
bom e no log mostra com ha conexoes nas portas que eu bloquiei! look:
May 27 19:07:15 fw kernel: FORWARD PACKETS:IN=eth0 OUT=eth2 SRC=192.168.82.18 DST=64.247.112.101 LEN=40 TOS=0x00 PREC=0x00 TTL=127 ID=8062 DF PROTO=TCP SPT=1439 DPT=1972 WINDOW=17520 RES=0x00 ACK FIN URGP=0
May 27 19:07:15 fw kernel: FORWARD PACKETS:IN=eth2 OUT=eth0 SRC=64.247.112.101 DST=192.168.82.18 LEN=1500 TOS=0x00 PREC=0x00 TTL=105 ID=11857 DF PROTO=TCP SPT=1972 DPT=1439 WINDOW=17110 RES=0x00 ACK URGP=0
May 27 19:07:15 fw kernel: FORWARD PACKETS:IN=eth0 OUT=eth2 SRC=192.168.82.18 DST=64.247.112.101 LEN=60 TOS=0x00 PREC=0x00 TTL=127 ID=8063 DF PROTO=TCP SPT=1439 DPT=1972 WINDOW=17520 RES=0x00 ACK URGP=0
May 27 19:07:15 fw kernel: FORWARD PACKETS:IN=eth2 OUT=eth0 SRC=64.247.112.101 DST=192.168.82.18 LEN=1500 TOS=0x00 PREC=0x00 TTL=105 ID=11859 DF PROTO=TCP SPT=1972 DPT=1439 WINDOW=17110 RES=0x00 ACK URGP=0
algo assim. nao aguento mais alguem me de uma luz de como bloquear esse kazaa lite filho de uma vaca!!!
IPTABLES FOWARD PADRAO DROP, NAO LER OS ACCEPTS
ReiserFS,
Desculpa, mas na sua primeira pergunta vc falou q ñ adinta passar aqueles tutoriais para bloquear p2p. Deixa eu apenas lhe perguntar, vc já tentou essas regras para o Kaazar e o MSN:
Bloquear KaZaA:
iptables -A FORWARD -d 213.248.112.0/24 -j REJECT
iptables -A FORWARD -p TCP --dport 1214 -j REJECT
Bloquear MSN Messenger:
iptables -A FORWARD -p TCP --dport 1863 -j REJECT
iptables -A FORWARD -d 64.4.13.0/24 -j REJECT
Espero ter ajudado!!!! <IMG SRC="images/forum/icons/icon_smile.gif">
IPTABLES FOWARD PADRAO DROP, NAO LER OS ACCEPTS
cara.. eu aidna acho que tem alguam coisa de errado em alguma regra que vc ta fazendo..
eu nao aconselho a usar regras de SRC no forward... utilize-se de regras de stado de conexao.. sao bem mais seguras..
outra coisa... nao existe a necessidade de se DROPAR alguma coisa em uma politica padrao que o default já e DROP.. eu acho que ae esta o seu erro..
deve estar havendo inconsistencia de regras...
eu tenho um client que usa um esquema parecido com esse que vc quer manter.. e te garanto que nao passsa nada de P2P.. porem.. meu sistema de firewall usa conceitos diferentes...