bloqueio do msn não funciona mais

Eu tinha um link só no servidor de internet e funcionava as regras do bloqueio do MSN, mas agora por ter colocado mais um link

não esta mais funcionando..
meu linux e red hat 9.0

e aee esta as regras se alguem ja teve esse mesmo problema e puder me ajudar fico grato

#!/bin/sh
IF_LAN='eth0'
IF_ADSL2='eth2'
GW_ADSL2='200.xxx.xxx.xx2'
/sbin/iptables -F INPUT
/sbin/iptables -F FORWARD
/sbin/iptables -P INPUT DROP
/sbin/iptables -P FORWARD DROP
/sbin/iptables -t nat -F
/sbin/iptables -t mangle -F

/sbin/iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -A INPUT -s 192.168.0.0/24 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 22 -j ACCEPT
/sbin/iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT

route add default gw 200.xxx.xxx.xxx
route add default gw 200.xxx.xxx.xx2

iptables -t mangle -A PREROUTING -i $IF_LAN -p tcp --dport 80 -j MARK --set-mark 2
iptables -t mangle -A PREROUTING -i $IF_LAN -p tcp --dport 443 -j MARK --set-mark 2
iptables -t mangle -A PREROUTING -i $IF_LAN -p tcp --dport 8080 -j MARK --set-mark 2
iptables -t mangle -A OUTPUT -p tcp --dport 80 -j MARK --set-mark 2
iptables -t mangle -A OUTPUT -p tcp --dport 443 -j MARK --set-mark 2
iptables -t mangle -A OUTPUT -p tcp --dport 8080 -j MARK --set-mark 2
ip rule add fwmark 2 table 30 prio 30
ip route add default via 200.xxx.xxx.xx2 dev $IF_ADSL2 table 30

CHATPORT="1863,5190"
/sbin/iptables -I INPUT -p tcp -m multiport --dport ${CHATPORT} -j DROP
/sbin/iptables -A FORWARD -p tcp -m multiport --dport ${CHATPORT} -j DROP
/sbin/iptables -A FORWARD -p tcp -s 192.168.0.0/24 -d 207.46.110.0/24 -j DROP
/sbin/iptables -A FORWARD -p tcp -s 192.168.7.0/24 -d 207.46.104.0/24 -j DROP
/sbin/iptables -A FORWARD -p tcp -s 192.168.7.0/24 -d 64.4.13.0/24 -j DROP
/sbin/iptables -A FORWARD -p tcp --dport 1863 -j REJECT --reject-with tcp-reset
/sbin/iptables -t mangle -A PREROUTING -p tcp --dport 1863 -j DROP
/sbin/iptables -t mangle -A PREROUTING -d 63.208.13.126 -j DROP
/sbin/iptables -t mangle -A PREROUTING -d 64.4.12.200 -j DROP
/sbin/iptables -t mangle -A PREROUTING -d 64.4.12.201 -j DROP
/sbin/iptables -t mangle -A PREROUTING -d 65.54.131.249 -j DROP
/sbin/iptables -t mangle -A PREROUTING -d 65.54.194.118 -j DROP
/sbin/iptables -t mangle -A PREROUTING -d 65.54.211.61 -j DROP
/sbin/iptables -t mangle -A PREROUTING -d 207.46.104.20 -j DROP
/sbin/iptables -t mangle -A PREROUTING -d 207.46.110.2 -j DROP
/sbin/iptables -A FORWARD -d 64.4.13.0/24 -j REJECT
/sbin/iptables -t nat -A POSTROUTING -j MASQUERADE

/sbin/modprobe ip_nat_ftp
/sbin/modprobe ip_conntrack_ftp

ip route flush cache

.. aee esta ele .. sempre funcionou .. quando era apenas um link mas agora por estar dois links não bloqueia mais

explica melhor, que eu n to entendendo, que link eh esse que vc ta falando?

Bom antes eu tinha apenas um speedy bussines.
E tinha essas regras que bloqueava o uso e acesso ao msn.
Agora houve uma necessidade de ter mais um link porem na
mesma maquina e ao colocar esse link(speed bussines) deixou de funcionar essas regras.
Do resto esta tudo funcionando normal
acesso de ssh
saida pelas duas placas

pode entender ?

cara vc usa redhat e n usa RH-Lokkit?

bom, bora tenta resolver teu pro, vc agora ta com 2 ip fixo?
vc tem quantas interfaces na sua maquina?
qual interface vc ta usando pra compartilha a internet?
a interface local eh eth0?

responde isso que posso te ajudar

isso mesmo ..a interface local é eth0
meu eu nunca usei esse RH-Lokkit..

vc devia usar, vc ia apanha no começo mas no futuro ia facilitar sua vida, alen do mais eu posso te ajudar a usar RH-Lokkit,

agora me fala qual a interface que ta sendo usada pra net, vc esqueceu de fala isso, ja ja to indo almoçar, se n responde agora na volta eu responde ok?

bom na realidade são as duas ..
eth1 e eth2 que tem a saida pra internet

Citação:

---

route add default gw 200.xxx.xxx.xxx
route add default gw 200.xxx.xxx.xx2

---

vc nao pode fazer isso ..

se quizer usar dois links no mesmo servidor vc tera que configurar as rotas default via IPROUTE2 e nao via a tabela main do linux...

a unica coisa que vc ta fazendo é marcar os pacotes para um determinado link.. mais para qualquer outro pacote nao marcado por regra.. vai sair pela tabela main.. onde tem duas rotas.. e nunca ira funcionar.. pois o retorno de pacotes nunca sera pela mesma interface..

humm não sei como fazer tem como dar uma força a mexer com isso ?

da uma estudada nisso aqui..

http://lartc.org/howto/lartc.rpdb.html

e tem mais..

nao vejo como isso poderia estar funcionando antes..

olha so suas regras..

/sbin/iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT

CHATPORT="1863,5190"
/sbin/iptables -I INPUT -p tcp -m multiport --dport ${CHATPORT} -j DROP
/sbin/iptables -A FORWARD -p tcp -m multiport --dport ${CHATPORT} -j DROP
/sbin/iptables -A FORWARD -p tcp -s 192.168.0.0/24 -d 207.46.110.0/24 -j DROP
/sbin/iptables -A FORWARD -p tcp -s 192.168.7.0/24 -d 207.46.104.0/24 -j DROP
/sbin/iptables -A FORWARD -p tcp -s 192.168.7.0/24 -d 64.4.13.0/24 -j DROP

a primeira regra da chain FORWARD a ser adicionar sera a:

/sbin/iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT

nao adianta nada vc colocar regras com DROP para essa rede abaixo dessa regra no iptables, pois a primeira regra acima ja condiciona o ACCEPT do pacote.. e as regras de DROP nunca irao ser lidas.. pois a regra ja foi checada no 1 ACCEPT.. e por ae parou o processamento das regras.. uma vez que essa regra for lida por primeiro.. nunca sera lida as regras de DROP na chain FORWARD..

pow danilo, parabens , vc ta majando muito do firewall, continua assim :)


ja ultima regra do mesquerade, usar a opcao -o interface, para especificar qual a interface que vc vai compartilha a internet com as maquinas clientes

Ficaria assim sem as regras do msn é isso ... Danilo


/sbin/iptables -F INPUT
/sbin/iptables -F FORWARD
/sbin/iptables -P INPUT DROP
/sbin/iptables -P FORWARD DROP
/sbin/iptables -t nat -F
/sbin/iptables -t mangle -F

#Regras de chegada
/sbin/iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -A INPUT -s 192.168.0.0/24 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 22 -j ACCEPT


#Regras de Passagem
/sbin/iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT

default via 200.204.154.xxx dev eth1
default via 200.168.1.xxx dev eth2
echo 200 shura >> /etc/iproute2/rt_tables
echo 201 ikki >> /etc/iproute2/rt_tables
ip rule add from 192.168.0.1 table shura
ip rule add from 192.168.0.1 table ikki
ip rule ls

#Regras de NAT
/sbin/iptables -t nat -A POSTROUTING -j MASQUERADE

seguinte...

eu nao sei exatamente o que vc quer.. mais com essas regras ae.. nao ira ter bloqueio nenhum para a rede internet para fora.. ok .. se for isso mesmo que vc quer.. esta certo..

agora isso aqui..

----------------------------------------------------
default via 200.204.154.xxx dev eth1
default via 200.168.1.xxx dev eth2
echo 200 shura >> /etc/iproute2/rt_tables
echo 201 ikki >> /etc/iproute2/rt_tables
ip rule add from 192.168.0.1 table shura
ip rule add from 192.168.0.1 table ikki
ip rule ls
----------------------------------------------------

nao ira funcionar... da uma estudada melhor no iproute2

ops faltou uma parte do iprout

/sbin/iptables -F INPUT
/sbin/iptables -F FORWARD
/sbin/iptables -P INPUT DROP
/sbin/iptables -P FORWARD DROP
/sbin/iptables -t nat -F
/sbin/iptables -t mangle -F

#Regras de chegada
/sbin/iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -A INPUT -s 192.168.0.0/24 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 22 -j ACCEPT


#Regras de Passagem
/sbin/iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT

default via 200.204.xxx.xxx dev eth1
default via 200.168.xxx.xxx dev eth2
echo 200 shura >> /etc/iproute2/rt_tables
echo 201 ikki >> /etc/iproute2/rt_tables
ip rule add from 192.168.0.1 table shura
ip rule add from 192.168.0.1 table ikki
ip rule ls
ip route add default via 200.204.xxx.xxx dev eth1 table shura
ip route add default via 200.168.xxx.xxx dev eth2 table ikki
ip route flush cache

#Regras de NAT
/sbin/iptables -t nat -A POSTROUTING -j MASQUERADE

como eu ja falei antes..

suas regras de iproute2 nao esta corretas..

olha so isso aqui..

ip rule add from 192.168.0.1 table shura
ip rule add from 192.168.0.1 table ikki

vc esta criando duas regras para um mesmo host passar por duas rotas diferentes.. o kernel usara sempre a com maior prioridade.. e a segunda nunca ira ser lida... nao se faz dessa forma..

-------------------------
ip route add default via 200.204.xxx.xxx dev eth1 table shura
ip route add default via 200.168.xxx.xxx dev eth2 table ikki

aqui ainda falta coisa.. e ate esse momento vc ainda nao definiu para o kernel qual sera sua rota de saida.. ou o proprio balanceamento... isso ae so define que um pacote que entre por uma interface siga sempre por um gateay especifico da tabela X... mais ainda assim vc nao informou para o ip route qual sera a rede que sera influenciada por cada rota..

-----------------------------------------
default via 200.204.xxx.xxx dev eth1
default via 200.168.xxx.xxx dev eth2

isso ae acima nao faz sentido estar aqui..

Bom eu uso o squid para filtrar as paginas no entanto não uso o proxy trasparente.
Mas agora eu quero somente bloquear o msn .. mais nada ...

é assim que se configura dois links com o iprout2

Citação:

---

Postado originalmente por silmar

Bom eu uso o squid para filtrar as paginas no entanto não uso o proxy trasparente.
Mas agora eu quero somente bloquear o msn .. mais nada ...

---

Bom.. se vc quer bloquear MSN.. essa regra aqui.. nao podera ficar ae..

/sbin/iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT

nao adianta vc bloquear o MSN pelo squid.. tendo essa regra ae no iptables.. isso ae esta dizendo que tudo o que a estacao requisitar para fora.. sera atendido.. e repassado o pacote.. se quer trancar o msn.. tera que ser mais restritivo no iptables.. e so liberar as portas que lhe interessa..

Citação:

---

é assim que se configura dois links com o iprout2

---

não. Esta faltando regras ae e concordancia de roteamento...
da uma estudada melhor no iproute2 naquele link que te passei..

obrigado pela sua paciencia em corrigir meus erros...

eu fiz o seguinte .. como não consegui entender esse site do iprout2
e procurei no google. achei varias condições.. mas acabei de fazer o seguinte .. peguei outra maquina que ja estava com linux e coloquei o outro link ..

outra hora irei a fundo em relação a esse iprout2, para poder entao aprender e poder usar esse potencial dele ..

sem problemas..

qualquer duvida.. é so perguntar..