iptables -P FORWARD DROP
!!!!!!!!!!!!!!!!!!!!!!!!! CUIDADO !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Versão Imprimível
iptables -P FORWARD DROP
!!!!!!!!!!!!!!!!!!!!!!!!! CUIDADO !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Tenho um scrip com a seguinte regra:
#!/bin/bash
#Limpando tabelas
iptables -F &&
iptables -X &&
iptables -Z &&
iptables -t nat -F &&
iptables -t nat -X &&
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
#Bloqueando máquinas da rede:
iptables -A FORWARD -s 192.168.0.4 -d 0/0 -p tcp --dport 80 -j DROP
#Liberando acesso interno da rede
iptables -A INPUT -p tcp --syn -s 192.168.0.0/24 -j ACCEPT &&
iptables -A OUTPUT -p tcp --syn -s 192.168.0.0/24 -j ACCEPT &&
iptables -A FORWARD -p tcp --syn -s 192.168.0.0/24 -j ACCEPT &&
#Protecao contra port scanners ocultos
iptables -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
#Protecoes contra ataques
iptables -A INPUT -m state --state INVALID -j DROP
#Bloqueando ICQ com iptables
iptables -A FORWARD -p TCP --dport 5190 -j REJECT
iptables -A FORWARD -d login.icq.com -j REJECT
#Bloqueando MSN Messenger
iptables -A FORWARD -p TCP --dport 1863 -j REJECT
iptables -A FORWARD -d 64.4.13.0/24 -j REJECT
#Bloqueando Yahoo Messenger
iptables -A FORWARD -d cs.yahoo.com -j REJECT
iptables -A FORWARD -d scsa.yahoo.com -j REJECT
#Bloqueando KaZaa
iptables -A FORWARD -d 213.248.112.0/24 -j REJECT
iptables -A FORWARD -p TCP --dport 1214 -j REJECT
#Bloqueando AIM
iptables -A FORWARD -d login.oscar.aol.com -j REJECT
#Bloqueando ICQ
iptables -A FORWARD -p TCP --dport 5190 -j REJECT
iptables -A FORWARD -d login.icq.com -j REJECT
#Bloqueando Morpheus
iptables -A FORWARD -d 206.142.53.0/24 -j REJECT
iptables -A FORWARD -p TCP --dport 1214 -j REJECT
#Ignorar ping´s
echo "1">/proc/sys/net/ipv4/icmp_echo_ignore_all
#Termino das Regras
echo "Iptables Pronto!"
Mas quando eu rodo este script, ninguém acessa. O que tem de errado?
Vc pode tambem direcionar para o squid e criar uma acl para os ips que vc naum quer que acesse. Particularmente prefiro assim.
Abraços
Ex.: iptables -t nat -A PREROUTING -i ethX -p tcp --dport 80 -j REDIRECT --to-port 3128
No squid.conf:
...
acl ips_negados src xxx.xxx.xxx.xxx yyy.yyy.yyy.yyy ...
http_access deny ips_negados